HP Korea

Compliance Management

Solutions-기업의개인정보보호 Compliance Management

2016.8Enterprise Services한국휴렛팩커드

차례

2

Ⅰ. GRC란?

Ⅱ. GRC와 Data Privacy Compliance Management

Ⅲ. HPE 솔루션

Ⅳ. Offerings

Ⅴ. HPE의 역량과차별점

Ⅵ. Buying Factors

Ⅶ. Delivery model

들어가며…

3

■본 Offering의목적

• GRC에대한이해

• Data Privacy Compliance Management의개념아키텍처정립

• Data Privacy Compliance Management 시스템구축을위한상세 Offering 정의: Advise, Transform, Manage

■향후필요한추가작업

• Offering과솔루션상세화 : 각비즈니스레이어에대한상세화작업

• 솔루션모듈중에서상용솔루션또는오픈소스로대체할수있는솔루션매핑

Best of breed로사용/협력가능한솔루션공급사선정

해당솔루션에대한심화학습을통한전체아키텍처보완

주요 용어

4

용어 의미

설문 Compliance 진단을수행할때사용자에게직접보여주는질문항목으로제품이나서비스기획, IT개발, 약관작성등실무분야에서개인정보보호규정을준수하고있는지를점검(Rule engine에서 Rule을실행시킨결과물)

법/규정 Compliance와관련하여기업이지키고확인하여야하는국가나공공기관이정한법또는규정 (예, 개인정보보호법)

정책 개인정보보호와관련되어기업이정한규정 (예, 전사개인정보보호정책)

정책관리 각종규약과 Control을관리

Control 설문의기준/근거가되는규약중에서개인정보보호와관련된항목을추출한것으로써법/규정/정책을 Compliance 진단과평가에적용하기위해상세화한프로시저

Rule 설문을만들기위해 Rule engine에입력하는프로그램. 즉, 텍스트상태의 control을프로그래밍언어로바꾸는것

Rule Engine 입력된텍스트상태의 control을 compliance assessment에서사용되는설문으로만들어주는 interpreter

프로젝트 개인정보보호관련 Compliance여부의진단을시작하고수행하는단위.

HPE의 Data Privacy Compliance Management 솔루션과관련된주요용어는아래와같습니다.

Ⅰ. GRC란?

• GRC란?

• GRC 영역별주요내용• GRC 관련이슈• GRC 성숙도모델

GRC란?

6

GRC란기업이비즈니스를수행하면서준수해야하는각종법규의준수여부/수준(Compliance)과이를따르지않았을경우의영향과위험관리(Risk), 그리고준수절차와방법을총괄관리하는것(Governance)입니다.

Governance

위험이나규제관리를위한의사결정과책임에관한

프레임워크

Risk Management

위험으로부터자산이나사업영역을보호하기위한

프로세스

Compliance

법령에서요구하는규제들을준수하기위한규정(내용)과절차

위험(Risk)

허용규칙

위험(Risk) trade-off 결정

위험(Risk)

trade-off

결정

누가무엇을결정하고,

누가프로세스를준수해야하는지결정

위험(Risk) trade-off 결정

준수하지않았을경우의영향과위험

거버넌스목표선정

대상과프로세스선정

통제활동정의 모니터링

규제항목정의

해당규제관련프로세스식별

통제활동정의모니터링

위험정의

대상위험관련프로세스식별

통제활동정의모니터링

GRC 영역별 주요 내용

7

기업의 GRC에서 Governance는 규칙과관제에대한관리를, Risk management는 준수/미준수에따르는영향과위험을관리하며, Compliance는 실제준수해야할내용을관리합니다.

영역 설명 목적 주요내용/Activities 측정방법(IT 관점)

Governance

기업활동과관련되어준수해야할문화, 목표,

프로세스, 정책,

법/규정에대한관리

완전한관리

• 관리조직(Governing bodies) 설계• 기업의위험관리와위험평가• 비즈니스성과모니터링 & 보고 : balanced

scorecards, risk scorecards, operational controls

dashboards등• 비전설정과정책수립

• 관제목표달성을위한 IT 시스템의활용• 재검의필요없이제때에의사결정이이루어짐• 비즈니스요구와방향에부합하는 IT 시스템의안정성, 무결성, 가용성

• 시의적절하게정책을생성하고관리

Risk

Management

기업의목표달성에영향을미칠수있는사건(위험)의가능성과영향도관리

효율적인위험관리

• Risk 등록• Risk 평가와우선순위결정• Risk 분석• 손실내역과사고대응내역관리• 이슈의근본원인분석과완화

• 잠재위협을선제적으로식별하고관리• 위험식별을위한분명하고문서화된절차• 영향과가능성결정• 완화/이전/수용을위한우선순위설정과관리• 적절한통제방법과솔루션식별• IT시스템의안정성, 무결성, 가용성

Compliance

법/규정,기업의정책과절차, 각종표준등을준수하고이를입증하는행위

규정, 법, 정책의준수

• 요구사항관리 : 법/규정등의요건관리/현행화• Control 관리 : controls 계층구조관리, 테스트• Findings and exceptions

• Compliance증적데이터관리• 진단과감사• 이슈추적과개선• Analytics

• 비즈니스를수행에따른규정과법의영향관리• 적용가능한기업의정책, 법, 규정식별• 법, 규정을준수하도록지원할 IT 시스템의설계,

개발, 운영• 측정가능한 control 관리

GRC 관련 이슈

8

비즈니스의확장에따라준수해야할법/규정이나표준도늘어나고있으며, 또한이들을준수하지않았을경우막대한비용손실과기회의박탈이있으므로 GRC 구현을통해사전에대응하는체계를만들어야합니다.

기업이준수해야 할 법/규정의 잦은변경과 신규생성

GRC 관련 법/규정, 표준 등의준수와 기업내통제실패 사례의증가

인재관리 제도의변화

위험관리와 compliance 관련 기능들이분산되어있음

ERP와 GRC를 비효율적으로사용

프로세스의표준화 강화 추세

(GRC 위반으로 인한잠재적 위험으로부터의)

비용절감

운영모델의 분권화

관련이슈 기대효과

위험노출에 대한즉각적이고 장기적인 해결책수립

위험에대한 사전준비가 가능해지고사건발생시 대응시간(event response time)의개선

유연하고확장 가능한 통제환경 구축

모니터링과개선 작업 등과같은 기업내/외의위험관련 활동을통해서 비용 절감

(법/규정 위반으로인한) 비즈니스실패 위험감소

가치기반의 위험관리를 통해기업 성과와혁신작업의개선

GRC

구현/

대응

GRC 성숙도 모델

9

GRC 관련대응체계를수립은, 당장의요건을만족하기위한 point solution에서 부터기업전반적인 GRC 체계와시스템을구축하는 enterprise transformation으로나아가야합니다.

<출처 : Ernst & Young, 2015>

전략적목표를 지원하는 전사차원의 GRC 프로그램개발

위험관리의통합

위험관리와통제의개혁

Driver 기반의성과관리로통합

Business intelligence 통합

지속적인모니터링

GRC의 특정 기능과프로세스를 설계하고구축

Compliance 관련 기능의강화

정보아키텍처(IA) 절차와기술의이행

분석(analytics)가능, 사기모니터링

프로세스개선과자동화 (예, 회계마감대사)

GRC를 활용하여 특정이벤트나 상황에대비

비즈니스와 IT 프로세스수립, 통제모니터링, 테스트

민감성테스트, 접근통제, 업무의분리

주로데이터분석과정보관리활동중심

GRC Functional

transformation

GRCenterprise transformation

GRC Point

solutions

Ⅱ. GRC와 Data Privacy Compliance Management

• GRC와 Data Privacy Compliance Management

• 서비스등의개발시개인정보보호준수를위한절차• 기업의개인정보보호 Compliance 관리동향• 개인정보보호관련법과규정

GRC와 Data Privacy Compliance Management

11

HPE의 Data Privacy Compliance Management 솔루션은 GRC 이슈중에서개인정보보호와관련된이슈의규제준수를위한솔루션입니다.

Data Privacy Compliance

Management는…GRC 이슈중에서개인정보보호를위하여법/규정에서요구하는기본사항을충족하는한편, 법/규정이외의내/외부 Risk를종합적으로관리하기위해필요한의사결정과책임에관한정책프레임워크

• 인적사항 : 개인. 가족관계, 가족구성원• 신체정보 : 신체정보, 의료/건강정보, 습관등• 정신정보 : 성향,사상,신조,종교,대여기록등• 재산정보 : 개인금융정보,신용정보• 사회정보 : 교육, 전과기록, 근로,병역정보• 기타 :개인위치정보, IP 정보,전화통화내역

GRC는…지배력,위험관리,규제준수는경영목적에부합되는지속적인경영활동을보장하기위한핵심요소(= 법규에대응하기위한내부통제)

• Governance : 기업의경영자가추진하는 방향으로 나아갈수 있도록기업의자원을 동원 하는힘(지배력)

• Risk : 회사가감당하게 될수 있는위험에 대한사전관리

• Compliance : 규제에대한 수용또는 준수

Data Privacy Compliance Management의 배경

12

IT 기술의발전과이에기반한각종서비스의확대에따라개인정보보호관련규제의준수가매우중요한이슈가되고있습니다.

개인정보보호준수규정과관계된각종서비스의개발/확대

Wearable 스마트기기의확산으로인한무분별한개인정보의취합과저장예) 구글글래스, 스마트워치등

클라우드서비스의확대국경없는데이터저장 Big Data와 IoT기술의발전과관련서비스의확대금융, 의료관련온갖종류의개인정보데이터취합, 응용가능예) 생체인식, 간편결제등

IT 기술의발달과확장으로인한손쉬운개인정보수집과관리

개인정보유출로 인한 피해의증가

각국의개인정보보호규제의위반에따른제재의증가

자국민의개인정보보호를위해무분별한데이터국외이전을제한

러시아자국민의개인정보를수집하거나처리하는데이터서버는러시아영토내설치 (’15.9월)

EU

EU 시민의개인정보를보호하기위해미국과체결한 ‘세이프하버(Safe Habor)’조약무효화(’15.10월)

각국의규제 강화개인정보를취급하는 서비스의 확대

각종이벤트에개인정보의수집 Wearable 스마트기기 Connected Car

미국 FTC(연방거래위원회), 구글의개인정보보호정책합의위반에대한벌금부과

FTC, 페이스북의일방적인개인정보정책변경에따른개인정보보호정책합의

• 19 UK local government authoritiesPII (개인식별정보)유출총벌금 £1.885M부과 ($2.884M, 약 31억원)

• Zurich Insurance SA64만건의개인정보가저장된백업기기분실(암호화미비)벌금 £2.275M 부과 ($3.5M, 약37억원)

• HSBC Actuaries18만건의개인정보가저장된데이터저장미디어분실벌금 £3.2M 부과 ($4.9M, 약 53억원)

• 국민카드, NH농협카드,롯데카드(2014년1월 )역대최대규모의유출사건. 중복및사망자포함약 1억명분의개인정보가유출

• 인터파크개인정보유출(2016.5)인터파크회원 1030만명의정보가사이버 범죄에의해침해

개인정보 보호 관련 법과 규정전세계 72개국에서정보보호법을시행중이며미국, 유럽, 한국에서는규제수준이매우높습니다. 2018년 EU에서더높은수준의 GDPR(General Data Protection Regulation 개인정보보호일반규정)을발효/시행할예정입니다.

13

HEAVY ROBUST MODERATE LIMITEDRegulation & Enforcement

Argentina

Australia

Austria

Belgium

Brazil

British Virgin Islands

Bulgaria

Canada

Cayman Islands

France

Germany

Gibraltar

Greece

Guernsey

Honduras

Hong Kong

Hungary

Iceland

Macau

Malaysia

Malta

Mauritius

Mexico

Monaco

Morocco

Netherlands

New Zealand

Serbia

Singapore

Slovak Republic

South Africa

South Korea

Spain

Sweden

Switzerland

Taiwan

Chile

China

Colombia

Costa Rica

Cyprus

Czech Republic

Denmark

Egypt

Finland

India

Indonesia

Ireland

Israel

Italy

Japan

Jersey

Lithuania

Luxembourg

Norway

Pakistan

Panama

Peru

Philippines

Poland

Portugal

Romania

Russia

Thailand

Trinidad and Tobago

Turkey

UAE - Dubai (DIFC)

UAE - General

Ukraine

United Kingdom

United States

Uruguay

• 전세계 72개국에서정보보호법시행중 주요국가 정보보호법 현황

• United States- Privacy Act, 1974 – including U.S. Department of Justice

Overview

- Privacy Protection Act, 1980 (PPA)

- The HIPAA Privacy Rule

• Canada- The Privacy Act, 1983.6

- Personal Information Protection and Electronic Data Act

(PIPEDA), 2000 (Bill C-6)

• European Union- Data Protection Directive, 1998

- EU Internet Privacy Law, 2002 (DIRECTIVE 2002/58/EC)

- The Privacy Act, 1983.6

• Japan- Personal Information Protection Law (Act)

- Law Summary from Jonesday Publishing

- Law for the Protection of Computer Processed Data Held

by Administrative Organs, 1988.12

• Korea- 개인정보보호법(법률 제13423호)

- 정보통신망 이용촉진 및정보보호등에관한법률(2009)

서비스 등의 개발 시 개인정보 보호 준수를 위한 절차

14

개인정보를처리하는신규프로젝트/시스템개발/약관개발/서비스나제품개발시, 초기기획단계에서부터‘개인정보보호’에 대해종합적으로검토하고의사결정이시작되어야합니다.

1. 회사의법무부서(또는법률전문가)로부터신규서비스등에대해검토를받는다.

개인정보의처리가발생하는새로운서비스의개발, 신규프로젝트의착수, 새로운시스템개발시관련법령에대해종합적인검토를통해법적으로준수해야하는체크리스트를확인한다.

2. 법/규정이외에내•외부 Risk에대해정보보호부서/법무부서/정책부서에서검토하여최종의사결정을받는다.

법령을모두준수하였지만, 고객으로부터부정적인평가를불러오거나언론의된서리를맞을수있는프라이버시관련기능이나기술이포함되어있는지확인하고이에대한 Risk 검토를해야한다.

3. 서비스부서와기술부서에서는위법/규정이나정책결정사항을신규서비스나시스템등에반영한다.

신규서비스나새로운시스템기획부서는위에서검토한내용과도출된개선사항을서비스나시스템기획서에반영한다.

<출처 : “개인정보보호 GRC“, NHN>

기업의 개인정보보호 Compliance 관리 동향국내/외개인정보보호 Compliance를 위하여,글로벌기업은조직, 시스템/솔루션, 인증측면에서 Compliance 관리체계를구축하고있으며, HPE는글로벌 Compliance 관리조직과지원시스템을도입하여이에대응하고있습니다.

Compliance

관리조직구성

Compliance

시스템/솔루션도입

국내/외Compliance

공인인증취득

전사 Compliance 관리컨트롤타워역할 조직/프로세스/정책에대한거버넌스 Compliance 관련준수여부모니터링및 감사 관련법/규정,규제동향파악과사고대응

Compliance 관리를위한 IT 시스템도입 전문적인 Compliance 솔루션도입또는 구축 정보보안솔루션과연계적용 (ESM)

정보보안및개인정보보호인증취득- ISO27001, BS10012, ISMS, PIMS 등

국내/외 Compliance표준준수입증 고객으로부터개인정보보호관련신뢰성확보

개인정보보호 Compliance 관리 체계 HPE의글로벌 Compliance 관리체계 구현사례

[공인인증]

BS 10012:2009 – PIMS

ISO 27001:2013 – ISMS

ISO 22301:2012 – BCMS

[조직] HPE Privacy Office

[시스템] HPE Privacy Advisor

[시스템] HPE Privacy Rulebook

15

개인정보 유출, 위반 사례2013년 영국에서의 A전자 Smart TV 개인정보무단수집사건등을통해글로벌기업들의개인정보관리에대한관심이높아졌습니다.

• 2013년영국에서A전자의스마트TV에서사생활보호기능을작동시켜도고객동의없이시청정보가무단으로수집되는현상확인

• 영국정보감독위원회(ICO)의데이터보호법위반혐의조사

• 북미지역판매 TV도해당기능이있는지논란이됨

• 최근 A 전자는노르웨이인증기관인 DNV로 부터개인정보관리체계와관련된국제인증을획득

A Smart TV 개인정보 무단수집

16

개인정보 침해 사고 유형별 현황(한국, 2011)

17

Ⅲ. HPE의솔루션Data Privacy Compliance Management

• Data Privacy Compliance Management 시스템• Data Privacy Compliance Management 시스템의구조• 각영역별설명 : Portal, 프로세스관리, 정책관리, 진단관리, 사고대응관리, 감사관리, 컨텐츠관리• 기대효과

지원

Data Privacy Compliance Management 시스템

19

HPE의 Data Privacy Compliance Management 시스템은기업의개인정보보호규제준수의효율적인관리를위한 IT 시스템으로데이터공통비즈니스프리젠테이션레이어로구성되어있습니다.

Portal

프로세스관리

모니터링

Logging워크플로우 분석 검색 엔진

법/규정

프리젠테이션

레이어

비즈니스

레이어

데이터

레이어

룰 엔진

대시보드 리포트 공지/알림 권한

진단관리정책관리 감사관리사고대응관리 컨텐츠관리

약관 Control정책 설문교육,훈련

인증(ISO, BS)

번역

수집

공통

레이어

Data Privacy Compliance Management 시스템의 구조

20

HPE의개인정보보호규정준수관리를위한시스템의각각의구성요소들간의관계는아래와같습니다.

프로세스관리Assessment프로세스시작, 프로젝트/프로젝트그룹관리, 진행상황모니터링

진단관리

• 진단• 결과보고서• 지침/법무의견/승인• 규약변경알림

정책관리

• 규약조회• 규약현행화• Control 관리• Control trade-off 결정• 설문작성

감사관리

• 모니터링(포털)

• 증적관리 -유형별• 결과보고서

사고대응관리

• 고객불만 접수• 프로세스 처리결과관리

컨텐츠관리

• 법규 version 관리• 매핑관리 : 법규-

control-설문

법/규정/정책/약관데이터베이스

법/규정/정책/약관의개정, 추가

초기등록/현행화

Rule engine

Rule설문

검색엔진Workflow

DPCM Portal

설문시작

수집

모니터링 업데이트

검색

업데이트업데이트

비즈니스레이어와법규데이터베이스로부터데이터를받아 Dashboard,

법규의검색, 사용자권한관리, 알림,리포팅/통계기능을제공

정의

PortalDPCM의포털은각업무영역(Business Layer)에 접근하는통로이자각종대시보드, 모니터링, 진행현황등에대한정보를일목요연하게보여줍니다.

Dashboard와검색기능• 시스템상의업무진행현황, 할당된작업현황조회• 포털내부정보에대한검색기능지원• 포털의검색엔진은 DB와파일시스템의정보를수집하여사용자에게통합검색을가능케하고영역별검색결과를보여줌

알림(Notification)

• 알림규칙설정을통해 SMS/Mail을통한알림기능지원

보고서/통계• 다양한 View의리포팅/통계기능제공• 사용자/시스템/업무별맞춤정보제공• 다양한통계정보제공으로업무현황파악과의사결정기반마련

주요기능과 특성

SC Portal

게시판 자료실 FAQ 공지사항

게시판 내용 ……. 2014-10-18 14:04

게시판 내용 ……. 2014-10-18 14:04

게시판 내용 ……. 2014-10-18 14:04

게시판 내용 ……. 2014-10-18 14:04

게시판 내용 ……. 2014-10-18 14:04

게시판 내용 ……. 2014-10-18 14:04

Dashboard ComplianceProcess Policy Incident Audit

[진행현황 ]

약관개발 10건

사고처리 8건

요청처리 2건

홍길동님안녕하세요 로그아웃

5

10

15

어드민 사이트맵

진행중인프로젝트

[Admin 권한]

• 기획/요청

• 진단

• 약관개발

[사용자권한]

• 조회약관 사고처리 요청

English

프로젝트 시작일 단계 상태 비고

OO 약관 개발프로젝트 2016.7.15 시작

XXXX 어플리케이션개발 2016.3.20 법무검토중 법무팀의견 반영

KKK서비스개발 2016.8.2 진단완료

21

약관/제품/서비스/어플리케이션개발시개인정보보호와관련된법규의준수여부를점검하기위한프로세스의시작과진행과정을모니터링

정의

프로세스 관리프로세스관리에서는개발하고자하는약관/서비스/제품/어플리케이션등이개인정보보호를준수하는지여부를진단하는전체프로세스를모니터링하고관련작업의세부내역을확인할수있습니다.

통합Workflow 구현

• 개인정보 Compliance 생명주기전반을관리

• Workflow 기반의통합된 E2E 프로세스모니터링

• 진행상황가시화를통한통제가능

• 약관/제품/서비스/어플리케이션기획/개발프로세스중개발/검정활동과Compliance 프로세스의연계

이슈관리와품질관리, 감사지원

• 제품/서비스전체단계에발생한이슈트래킹관리

• 품질검수를위한테스트설계변경수행검수완료프로세스지원

주요기능과 특성프로세스관리

Workflow

진단

Biz Process

어플리케이션/활동

기획 설계 개발/검증 출시/적용

약관제품서비스App

시작 검토법무팀확인

조치결과

완료

진단관리 Portal

감사관리

조치

업데이트보고서, 공지

품질관리이슈관리

설문평가

사고대응관리

활용

22

제품, 서비스, IT, 마케팅, 법무 등 조직 개인정보 Compliance 관리에필요한컨텐츠인정책,법/규정, Control,설문,

약관을한곳에게시하고, 업무상개인정보를취급하는제품/서비스기획

부서, IT 부서,마케팅부서등이컨텐츠를손쉽게조회

정의

정책 관리정책관리는정책,법/규정, Control, 설문,약관에대한게시와조회기능을지원하며,변경된법/규정의내용과동향정보를제공합니다.

• 정책, 법/규정, Control, 설문, 약관등컨텐츠게시, 조회, 현행화

• 정책, 법/규정변경/추가에따라영향받는 Control의우선순위및

트레이드오프를관리

• 다국어검색지원

∙ 다양한국가별언어로법/규정검색가능

∙ 검색어에대한다국어번역(교차어) 지원

• 제정시점/적용시점별법/규정정보검색지원

• 법/규정정보에대한알림/공지구현

주요기능과 특성정책관리

• 정책, 법/규정, Control, 설문, 약관등컨텐츠의 게시및조회• Control의우선순위 및트레이드오프 관리• 설문텍스트의 조회및수정

컨텐츠관리

• 컨텐츠의등록 및관리• 컨텐츠의버전 및매핑관리• Control 변경/추가에따라영향받는설문입력

진단관리

• Compliance 진단 수행• 보고서및가이드 생성• 진단프로젝트에 대한라이프사이클 관리

설문 룰 입력

정책, 법/규정, Control, 설문, 약관 제공

정책, 법/규정, Control, 설문, 약관 제공 정책, 법/규정, Control, 설문, 약관 제공

23

Compliance 진단

• Compliance 진단수행∙ 개인정보취급업무에대한설문을통한진단∙ 진단결과에대한리뷰/승인/의견

• 보고서및가이드생성∙ 개인정보취급업무에대한설문후보고서생성∙ 진단결과에대한가이드및상담제공

• 진단프로젝트에대한라이프사이클관리∙ 개인정보취급업무에대한진단내용및이력 조회∙ 컨텐츠관리모듈이설문룰입력시리뷰/승인

• 선행설문답변을근거로관련있는후속설문을동적으로생성• 보고서는 Compliance/Risk 지표, Control 준수 상태,추가자료 (체크리스트,추가 Compliance 요건),근거자료 (위반 법/규정,관련Control)를 포함

주요기능과 특성

진단 관리진단관리는 HPE의개인정보보호경험과지식을바탕으로,업무상개인정보취급시관련 Risk와 Compliance 이슈를진단하는룰엔진기반지능형의사결정지원시스템입니다.

제품및서비스기획, 약관제작, IT 개발,마케팅등의업무를수행할때개발/검증단계에서개인정보관련 Risk와 Compliance 이슈를진단하고,

사후에개인정보보호법/규정및 Control변경시영향받는업무를식별하고재진단

정의

설문 응답

• 서비스/제품/약관등 기획

• 진단 프로젝트생성

• 업무 정보 입력

• 진단 설문 응답

• 추가 요건 대응

제품/서비스기획 부서

진단 관리

• 설문 생성

• 응답 분석

• 보고서 생성

• 가이드 생성

• 진단 프로젝트관리

진단 리뷰

• 진단 프로젝트리뷰

• 관련 법/규정 확인

• 추가 요건 생성

• 진단 프로젝트승인

• 설문 룰 입력 승인

Compliance관리 부서

설문

응답

진단

결과

진단

결과

리뷰

결과

룰 엔진

24

정책관리

참조확인

정책관리

참조

개인정보보호 Compliance 관련사고에대한신속한감지, 조사, 조치와재발방지활동에대한통합적인관리또는모니터링활동

정의

사고대응 관리콜센터, 미디어에보도된사고, 기타신고및내부감지된 Compliance 사고대응이력을관리함으로써, 재발을방지하고사후대응에활용합니다.

주요기능과 특성

다양한접수채널

• 콜센터, 모니터링시스템, ITSM등다양한시스템연계제공을통한사고접수기능제공

사고처리절차지원

• Workflow기반의사고처리프로세스지원

• 처리이력기반효율적사고처리지원

• 사고대응프로세스의가시성제공

지속적추적관리

• 동일사고방지를위한지속적모니터링및개선

• 사고조치실적관리

사고유입

사고유형 분류

사고조사

사고등록 사고전파

대응팀구성

영향도분석

조치계획수립

사고조치

조치결과확인

결과보고

내용고유

모니터링

피드백

사고이력

사고대응 프로세스 지원

사고처리 이력관리

조치결과 리포트

사고대응관리

진단관리정책관리 감사관리 컨텐츠관리

• 법/규정• 정책• control…

• 사고이력정보

• 설문검토 • 진단검증

25

감사관리는운영활동전반에걸쳐정기적이고지속적인감사와사후조치를추적관리

정의

감사 관리정기적/비정기적으로수행되는기업내부의개인정보보호규정준수상태를점검또는감사하는프로세스를지원하는모듈로써감사프로세스관리기능과, 감사결과에따른사후활동을관리하는기능으로구성되어있습니다.

주요기능과 특성

주요감사관리대상

• Data Privacy Compliance 절차준수여부

• 법/규정과 Control의적절한현행화수준

감사관리

• 감사일정계획관리

• 감사결과등록과공유

Action/Action item 관리

• 감사결과와연계된 Action Item 등록과업무분장관리

• Action Item 수행프로세스지원

감사실적과통계관리

• 감사와 Action 수행실적 (건수) 관리

• 감사와 Action 수행지표관리 (준수율, 적합도, 이행율)

감사관리 Action 관리

Action Item01

등록Audit

계획수립Audit

실행

Action Item

도출

Audit

결과보고

Action Item02

등록

Action Item03

등록

Action Item01

조치결과등록

Action Item02

조치결과등록

Action Item03

조치결과등록

• Audit 대상• Audit 조직• Audit 일정

감사실적관리

프로세스준수율 규제대응적합도 개선과제이행율

정책관리 진단관리

• 법 /규정정보• 정책정보

• 진단이력• 진단결과

• Action Item

정보

• 감사결과 • 조치결과

26

법규/정책/가이드등의데이터를수집하여초기구축하고, 이후법규와control 공급사를활용하여변경내용을현행화하고법규-control-설문간의매핑관계관리

정의

컨텐츠 관리컨텐츠관리에서는 DPCM의핵심인컨텐츠, 즉법/규정, 정책, 표준등을현행화하고이들과 control 간의매핑관계와그이력을관리합니다. 또한각종법/규정등의파일을보관합니다.

법규현행화

• 법규서비스제공업체를이용한자동수집과분석• 영향도분석을통해필요한법규정보를 DB에반영 : 버전관리• 법규정보에대한알림/공지구현

계층적상속성확보를위한데이터관리구조

• 계층적(법규-항목-조문) 법규정보관리• 변경사항에대한이력관리• 제정시점/적용시점별법규정보검색지원

매핑관리

• 법규/정책/약관과 control, 설문항목간의매핑관리• 매핑이력/추적관리

주요기능과 특성

Control

library

provider

수집/정제/분류(법/규정, 각종표준등의수집)

법/규정

이력

정책

이력

약관

이력

Control

이력

파일storage

매핑정보

검색엔진

데이터관리(법규 DB)

문서관리자료검색매핑관리버전관리

진단관리

등록/업데이트활용(설문)

27

비즈니스레이어

정의

공통 기능공통기능은 Portal과 Business Layer 영역의프로세스, 법규데이터베이스를구현또는지원하기위한기능모듈로써분석, 검색엔진, 룰엔진, 워크플로우, logging이 있습니다.

주요기능과 특성

법/규정

정책

Control

설문

진단관리정책관리 감사관리사고대응관리

컨텐츠관리

분석

• 다양한통계• 업무보고서• 진행현황조회

포털과업무프로세스에서사용되는각종통계, 설문생성, 승인절차관리,

이력관리등을지원

룰엔진 워크플로우 Logging

검색엔진

대상수집 형식변환 색인추출

질의해석 후보추출 검색결과도출

룰엔진

• 법/규정, 정책, Control 문서의내용을변환입력하면, 정의된규칙에따라설문을생성함

워크플로우

• 설계된업무프로세스에따른업무흐름을지원함

Logging

• 각종처리정보와분석에필요한정보를저장함

검색엔진

• 저장된데이터에대하신속한검색을지원함

분석

• 저장된데이터에대하신속한검색을지원함

비즈니스수행결과검색요청

검색결과

28

29

법규수집• Regulation Library

- 세계각국의개인정보보호관련법과규정의수집과제공

• UCF(Unified Compliance Framework) 라이브러리제공

- 1,200건이상의규정데이터베이스보유

- 법/규정과표준에대한근거자료와참고문헌제공

번역• 서비스대상국가정책과법규번역서비스지원

- 주요언어번역서비스제공

- 개인정보보호관련정책과법규번역제공

• 관련법규변경시변경사항번역지원

- 실시간번역지원으로빠른대응가능

인증지원• 인증종류

- Data Privacy : ISO 27001, BSI 10012

- Compliance : ISO 19600

- Risk Management : ISO 31000

• 인증위한프로세스제공, 실사지원,준비산출물 Translation 수행

교육/훈련• 변경된법규에대한변화관리

- 변경사항전파와교육/훈련지원

• 교육/훈련커리큘럼제공

- 개인정보보호관련법/규정에대한유형별, 레벨별커리큘럼구성

- 교육/훈련 BPO 서비스제공

준비사항

지원 기능Data Privacy Compliance Management 시스템을 운영하기 위해서는 구축 이후 지속적인 법/규정의 현행화와 이에 따른교육/훈련지원이 지속적으로 이루어져야 합니다.

기대 효과기업은 DPCM 시스템을구축함으로써개인정보보호관련법/규정의위반에따른위험과비용손실을예방할수있을뿐만아니라구성원들이개인정보보호에대한인식을강화할수있습니다.

개인정보 보호관련 Risk

감소

능동적인 규제 동향 및 사고 수집을 통해 선제적 사고 대응 기반 마련

사전예방 : 제품/서비스의 개발/검증 단계에서 Compliance 위배 요소 사전 점검하여 Risk 감소

Compliance 비용절감 법무 검토 비용, 규제 기관 보고 비용, 규제 위반 소송 비용, 법정 증거 준비 비용, 과징금 등 각종 비용의 절감

개인정보 Compliance 관리와 시스템 자동화를 통한 Compliance 운영 비용 절감

Compliance 관리가시성

개인정보보호 Compliance 진단 프로세스에 대한 강제 및 진단 후 종합적인 리포트/가이드 제공

개인정보보호 Compliance 진단이 필요한 업무에 대한 프로세스 진행 및 진단 현황에 대한 가시성 확보

Compliance 인식강화 제품/서비스의 개발/검증 단계에서 Compliance 진단 프로세스 강제하여 직원들에게 Compliance 인식 강화

법/규정, Control, 설문, 약관의 변경 발생 시, 유관 업무에 대한 Compliance 재진단 프로세스를 강제 적용

신속한사고 대응 사후조치 : 법/규정 변화 및 사고 발생 시, 제품, 서비스, 약관 등에 대한 영향을 식별하여 신속한 사고 대응

법/규정 – Control – 설문 – 약관 간 매핑 및 이력 정보 관리하므로, 컨텐츠 별로 연관된 항목을 하나의 Thread로 연결

30

Ⅳ. OfferingsAdvise, Transform, and Manage

Breadth of HPE Services to Compliance ManagementHPE의 Data Privacy Compliance Management 솔루션과관련된 offering은 컨설팅부터시작하여시스템의구축과운영까지모든단계의서비스를제공합니다.

32

Transform

Manage

Advise

HPE Data Privacy

Compliance Management

• Governance 체계수립

• Compliance를위한관제방법과절차의합리화/최적화

• 장기적인로드맵을수립하고단기간에빨리수행해야할요소(quick wins)

식별

• 업무상의요건정의

• Compliance Management 관련솔루션(패키지또는 In-house 개발,

Best-of-breed 등)선정

• Compliance Management 시스템운영

• 다른업무영역(어플리케이션)이나조직과업무프로세스통합

• 유지보수프로그램수립

• 개인정보보호를위한 Compliance

Management시스템(어플리케이션) 구축

• 솔루션(시스템)의핵심요소들중심의개발/확장

• 모니터링과통제의자동화

• 지속적인모니터링수행

Advice 서비스

33

영역 설명 주요내용/Activities 주요산출물

Awareness Workshop개인정보보호관리의개요와발생/대응사례등을공유함으로써관라의중요도나필요성에대한고객공감대형성

• 개인정보보호관련규제동향, 위반사례,

Global 기업대응사례공유• 개인정보보호관련고객이슈공유

workshop 수행후개략적솔루션도출• DPCM 시스템주요기능 Demo 수행

• 개인정보보호관련규제동향• 개인정보보호관련위반사례• Global 기업대응사례• 고객별이슈리스트

Assessment service

for gap analysis고객사개인정보보호관리현황분석을통합하고개선과제도출

• 고객사개인정보보호관리정책, 절차,

조직, 시스템분석수행• 선진사례및관련규제와의 Gap 분석• To-Be 관리체계로이행하기위한과제도출

• 고객사개인정보보호현황분석서• Gap분석서• 과제도출• 과제별우선순위및 실행로드맵도출• 개인정보보호 Compliance 관리시스템요건분석

개인정보보호거버넌스체계설계

고객사개인정보보호거버넌스체계에대한통합컨설팅서비스제공

• 개인정보보호거버넌스체계정립-운영정책정의, 문서화, 조직구성-모니터링및보고체계정의-운영프로세스정의

• 개인정보보호관련거버넌스정책서• 개인정보보호거버넌스운영프로세스정의서

• 개인정보보호거버넌스 R&R 정의서

인증지원서비스Data Privacy관련 ISO 국제인증취득지원서비스

• 인증규격에다른내부시스템사전감사수행

• 개선요건도출및개선작업지원• 인증신과취득절차가이드

• 인증내부감사보고서-프로세스개선요건-문서화요구사항보안사항-시스템개선요건 등

HPE는개인정보보호관리영역에대한깊은이해와다양한구축과운영경험을바탕으로진단과컨설팅관련서비스를제공합니다.

Transform 서비스

34

영역 설명 주요내용/Activities 주요산출물

Data Privacy

Compliance

Management(DPCM)

시스템 POC

DPCM 시스템이고객비즈니스환경과요구사항에적합한지여부에대한 POC 진행서비스

• 현행시스템분석

• 적용대상모듈분석

• POC시스템구축

• 기능검증

• POC 요건정의서

• POC환경정의서

• POC 결과보고서

Data Privacy

Compliance

Management(DPCM)

시스템 구축서비스

고객사환경에특화된 DPCM 시스템의설계와구축

- 솔루션기반

- In-house 개발

• 현행시스템분석

• 적용대상모듈분석

• 요구사항상세화

• 설계

• DPCM 시스템구축

• 테스트

• 안정화

• 유관데이터이관

• 요구사항정의서

• 분석서

• 설계서

• 테스트시나리오

• 테스트결과서

Transform 서비스는 Data Privacy Compliance Management 시스템구축을위한 POC와구축서비스로구성되며, 구축서비스는고객의요구사항에따라솔루션기반또는 In-House 개발방식모두지원가능합니다.

Manage 서비스

35

영역 설명 주요내용/Activities 주요산출물

AMS

(Application

Management Service)

DPCM 시스템운영

• 시스템모니터링

• DPCM관련 S/R (Service Request)

접수와 조치수행

• 운영성과보고

• 룰엔진업데이트수행

• 운영보고서 (실적/성과)

• 개선현황보고서

Compliance 현행화서비스

정책, 법규, 컨트롤, 설문, 약관등번역,

현행화서비스

• 서비스대상국가의정책과법규제/개정모니터링과정보제공

• 서비스대상국가에적용되는컨트롤을작성하여제공

• 신규적용대상컨트롤정보에기준한업데이트설문도출

• 서비스대상국가정책과법규번역서비스제공

• 서비스대상국가정책과법규문서

• 적용대상컨트롤문서

• 번역산출물

• 업데이트대상설문

구축된 Data Privacy Compliance Management 시스템을운영하기위한서비스로, 어플리케이션운영과각종법규와표준의현행화서비스로구성됩니다.

Ⅴ. HPE의역량과 차별점

• 개인정보보호 Compliance 관리토털솔루션• 검증된 HPE Compliance Intelligence

• 시행착오를최소화하는 DPCM 구축 Framework

제품 서비스 IT

기획 개발 검수 운영

마케팅

기업의 조직과 업무 프로세스

법무

개인정보보호 Compliance 관리 토털 솔루션Data Privacy Compliance Management는 IT 시스템구축뿐아니라,거버넌스설계와시스템의운영, 각국의법/규정과 Control의현행화까지포괄하는개인정보보호 Compliance 관리토털솔루션입니다.

■기존 IT 투자를 보호하는유연한 솔루션

■개인정보보호 Compliance 관리체계에 필요한서비스

• 기업의개인정보보호 Compliance 관리체계에필요한모든서비스제공

∙ 기업고객의조직및프로세스와정렬된거버넌스설계및인증

∙ 설계된거버넌스를지원하기위한 IT시스템인 DPCM 시스템구축

∙ Compliance 관리업무수행을위한 DPCM 시스템운영

∙ 정책, 법/규정, Control, 설문, 약관등 DPCM 시스템이사용하는컨텐츠운영

• 오퍼링,솔루션모듈,관리대상컨텐츠,제휴솔루션을요건에맞게유연하게선택하여기존 IT 투자를보호

∙ 오퍼링 – Advise서비스, Transform 서비스, Manage 서비스

∙ 솔루션모듈 –프로세스관리, 정책관리, 진단관리,

사고대응관리, 감사관리, 컨텐츠관리

∙ 관리컨텐츠 –정책, 법/규정, Control, 설문, 약관

∙ Best of breed –해당분야의베스트솔루션과제휴

Data Privacy Compliance Management

Advise

거버넌스 설계

Transform

시스템 구축

Manage

기업의 Compliance 대응 프로세스

시스템 운영

컨텐츠 운영

37

검증된 HPE Compliance IntelligenceHPE는그동안경험한개인정보보호 Compliance 관리와글로벌네트워크를 Compliance Intelligence로체계화하여, 2010년부터 HPE 전세계조직뿐만아니라글로벌기업고객에게서비스를제공하고있습니다.

Control법/규정 Control표준/지침 설문

법/규정, Control, 설문 구축 법/규정, Control, 설문 현행화 글로벌 인증 지원, Control 개발, 감사Compliance 진단 룰 엔진 셋업

개인정보 Compliance 진단을 위한룰 엔진 기반 설문조사

국가별 개인정보보호 법/규정, Policy, Standard, Specification 참조

국가별 개인정보보호 법/규정, Control 수집 및 업데이트

HPE Privacy Advisor(룰 엔진 기반 Compliance 진단)

HPE Global Network(법/규정 및 Control 업데이트)

HPE GRC(컨설팅, 구축, 운영 서비스)

HPE Privacy Rulebook(개인정보보호 Rule 참조)

38

시행착오를 최소화하는 DPCM 구축 FrameworkHPE의 GRC, Data Privacy Audit, Information Security 등관련 Framework에기반한 DPCM Framework를사용하여글로벌트랜드와고객요구사항에맞는개인정보보호 Compliance 관리시스템을구축합니다.

Data Privacy Compliance Mgmt시스템

GRC Framework

• GRC 조직과 프로세스 설계, 구축• 기업의 업무 별 컨트롤 타워와 R&R • GRC 각 영역 별 업무 및 기능

Data Privacy Framework

• 정책 가시성 제공• Risk 진단• 능동적 개입/지원

• 보안 평가• 교육/훈련• 모니터링

Information Security Framework

• 인프라, 운영, 프로세스, 소프트웨어, 거버넌스 측면에서의 정보보안

• 계약, 운영, 기술, 감독 관련 Best Practice

Audit & Assurance Framework

• COSO 모델에 기반한 Control 및 감사 체계• Control 환경 구축, Risk 진단, Control 활동,

정보공유, 소통, 모니터링

39

Ⅵ. Buying factors

Are you READY?기업이개인정보보호관련규제의준수를제대로이행하고있는지여부는조직, 위험관리, 관리시스템, 법/규정의현행화의관점에서점검해야합니다.

41

서비스하는대상국들의관련법/규정과산업표준은항상최신상태로유지되고있는가?

개인정보에대한주요 Risk에대해최고경영진에게즉시보고가되고, 의사결정이

내려지는가?

개인정보의수집부터파기까지전체프로세스를관리할개인정보보호전담

조직이있는가?

개인정보보호관련규제의준수를보장할수있는전사적인통합 IT 지원시스템이있는가?

Organization& Process

Supportby IT

Risk Management

Up-to-Date

Buying factorsHPE의 DPCM 솔루션은개인정보보호관련 compliance를 통합관리할수있는시스템을구축할뿐만아니라자사의운영노하우를기반으로법/규정과진단관리서비스를안정적으로지원합니다.

What do customers want? What are the key buying factors when choosing a vendor?

A.사업부별, 프로젝트별로분산관리되고있는개인정보보호관련 Compliance의통합관리• Compliance를위한일관되고체계적인절차와방법의부재(Governance)

• 감사또는위험에대비한증적자료의관리미흡

B.개인정보보호관련 Compliance를위한통합관리시스템과절차의도입• E2E 프로세스에대한모니터링부재• 시스템이구축되어있지않거나, 일부부서에서만또는부서별로따로구축/운영하므로통합모니터링불가

• 불이행또는잘못된수행에대한통제불가• 법규DB, 정책관리, Compliance 평가, 사고관리등과의통합관리부재

C.세계각국의관련법규의현행화를통한 Compliance

Assessment의최신상태유지• 각국의관련법규수집과현행화의어려움• 현행화된법규에대한 Compliance 업데이트어려움• 법규와 compliance(를위한설문)간의매핑이력정보관리어려움

1. 개인정보보호 Compliance를위한 Governance를설계한경험이있는가?

• 각국의개인정보보호에대한충분한이해와관련이슈와위험에대한지식• 개인정보보호 Compliance를위한 Governance를설계한경험과지식• 실제개인정보보호 Compliance를위한 governance를구축/운영하고있는지

2. 개인정보보호 Compliance를위한어플리케이션을설계하고구축한경험이있는가?

• 개인정보보호 compliance를위한검증된어플리케이션을보유하고있는지아니면해당어플리케이션을구축한경험이있는지

• 법규와고객의요구사항에맞춰유연하게시스템을구성할수있는지• 다양한솔루션(상용, 오픈소스) 또는 Legacy와의유기적인결합이가능한지

3. 각종법규를현행화하여유지할수있는가?

• 법규현행화유지/관리경험이있는지• 자체법규현행화솔루션또는서비스가있는지• 법규와 control 공급사와의 interface 경험• 법규와 control, 설문항목간의매핑 관리, 매핑이력관리를할수있는지

4. Global business 경험이있는가?

• 글로벌기업, 글로벌비즈니스를대상으로한컨설팅, 구축, 운영경험이있는지• 법규, 기술관련글로벌벤더들과의네트워크가있는지

42

Ⅶ. Delivery model

• 통합개인정보보호 Compliance 관리체계구축• Service Excellence

개인정보보호관련 Compliance 관리강화를목적으로조직/프로세스, 관리시스템구축, 인증지원등을통해통합 Data Privacy Compliance Management 체계를완성합니다.

기존 신규

정보보안 ISO27001 ISO31000

개인정보 PIMS BS10012

개선활동

조직 Compliance 통제 조직 구성

프로세스개인정보 Compliance대응 프로세스 개선

Compliance

조직/프로세스

Compliance

관리시스템

Compliance

공인인증&

법/규정현행화

개인정보Compliance

관리강화

개인정보보호 Compliance 관리체계

통합 개인정보 보호 Compliance 관리 체계 구축

프로세스관리

진단관리

정책관리

사고대응관리

감사관리

컨텐츠관리

사업부1 사업부2 사업부3 전사…

기획 설계/개발 검수 운영

Compliance 대응프로세스

Data Privacy Compliance Management

거버넌스설계

시스템운영

Data Privacy Compliance Mgmt 시스템 구축

법규현행화

구체화

지원

44

1

2

3

Service ExcellenceHPE는체계적인방법론에기반한숙련된전문가들이내부운영경험과솔루션을기반으로하여고객에게최고의솔루션/서비스를제공합니다.

45

Methodology어플리케이션구축을위한통합방법론보유 (EDGE, Development

Methodology 등)

Experiences관련또는유사시스템구축과운영경험

Solution실제 HPE 내부에서구축하여운영중인시스템기반의통합 Compliance

Management 솔루션

GRC팀Compliance 관련요건분석과컨설팅역량

각종법규의현행화

Global DeliveryHPE의 Compliance

Management 시스템의구축과운영역량

End-to-end solution관련법규관리부터진단, 사고대응, 감사지원관리까지개인정보보호 Compliance를위한모든기능구현

Customized고객의상황과요구사항에맞춘유연한시스템구축.

기출시된솔루션을포함한최적의시스템구축가능

Up-to-date library세계각국의관련법규를항상최신상태로유지하고이와관련된설문도실시간업데이트

HP ES HP PracticeLibrary

ProviderService Excellence

Regulation Library세계각국의개인정보보호관련법과규정제공

ControlsCompliance 진단을위한설문기준이되는 control 제공

Vendors• UCF

• Data Guidance

감사합니다

첨부

Data PrivacyISO 27001

ISO 27001

• 1995년 BSI(British Standardization Institute)에서개발한 BS 7799를 ISO와IEC에서표준화해서 2005년도에공표

• 14개도메인 113개통제항목으로구성

• 기관의주요정보자산을보호하기위해정보보호관리절차와과정을체계적으로수립하여지속적으로관리및운영하기위해구축한종합적인체계

• 계획수립(Plan) –실행(Do) – 점검(Check) – 조치(Act) 프로세스의순환적활동

기대효과

• 위험요소를식별하고이를관리또는제거하는제어장치역할

• 전체비즈니스또는일부선택된부분에유연하게적용가능

• 이해관계자와고객의데이터를보호함으로써신뢰강화

• 컴플라이언스를증명하여공급자들의선호도가향상

• 컴플라이언스를입증함으로써조직에대한기대가부드러워짐

ISO 27001 Framework & Structure

48

Data PrivacyBS 10012

기대효과

• 개인정보보호분야의세부요구사항을충족하는개인정보관리체계를구축한기업에부여

• 개인정보의관리체계수립, 이행과운영

• 개인정보관리활동에대한감사및경영검토

• 개인정보의수집, 처리및저장과폐기

• 기술적보안통제

PDCA cycle applied to the management of personal information

BS 10012

• 2009년도 BSI(British Standardization Institute)에서공표

• Data Protection Act 1998(DPA)의요구사항에대한컴플라이언스향상과유지를위하여조직이개인정보경영시스템(PIMS: Personal Information

Management System)의수립과운영을규정하기위한규격

• BS 10012의구성

• 개인정보관리를위한기본체계및신뢰를제공하고, DPA 컴플라이언스에대한평가를위해내부및외부평가가효과적으로이루어질수있도록함

49

ComplianceISO 19600

ISO 19600

• 2012년호주표준인 AS 8306을기반으로 ISO에컴플라이언스표준에대한개발을제안을바탕으로 ISO/PC 271이결성

• 조직이운영하고있는 Compliance management 에대한기존의접근방식을개선하고넓히는것을지원하고자개발

• HLS 방식을따르기때문에, 기존 ISO 경영시스템들과통합되어적용

기대효과

• 올바른행동은결국회사의 ‘운영 자격‘의 기초가 됨

• 준수해야하는법적요구사항의수의증가와그요구사항의복잡함에대응하기위해서는조직내에서체계적이고계획된접근방법 필요

• 조직이법과규제를더진지하게준수하고이행하는것에대한책임을받아들일때정부감사및감독기관으로부터혜택을 받을수있음

• 본표준준수를통해조직의준법경영이준비가되어있기때문에당국의강도높은감사도유연하게대처하여많은시간손실및 기업활동제한의어려움을피할수있음

50

Risk ManagementISO 31000

ISO 31000

• 2009년도 ISO(International Organization for Standardization)에서발행

• 효과적인 Risk 관리를위한원칙을수립

• 조직이운영중인관리프로세스와의연동을위한프레임웍제공

• 모든형태의조직에서효과적인 Risk 관리를위해범용적으로적용

• Risk 기반경영시스템(ISO 9001, ISO 14001, OHSAS 18001, ISO 22000,

SIO 27001, SIO 28000등)과의호환성을통한시스템효과성및효율성증대

• 인증서취득을위한규격은아님

기대효과

• 목표달성가능성향상

• 적극적관리를촉진관리향상

• 조직전반적위험을식별및처리할필요성을인식

• 기회와위협식별향상

• 조직에적절한위험관리관행적용

• 관련된법규/규제요구사항및국제기준준수

• 재무보고개선

• 이해관계자의신임과신뢰향상

• 의사결정과기획의신뢰할만한기반수립

• 위험처리를위한효과적리소스배분및활용

• 운영효과성및효율성향상

• 환경적보호는물론보건안전성과향상

• 손실방지및사고관리향상

• 손실최소화

• 조직적학습향상

• 조직의복원력향상

51