ISO/IEC 27701 · 개인정보보호경영시스템(PIMS)
ISO 27701 개인정보보호경영시스템
개인정보보호법·GDPR 등 국내외 규제에 하나의 체계로 대응합니다
OVERVIEW
개념 정의
ISO/IEC 27701은 개인정보보호경영시스템(PIMS)을 수립·구현·유지관리하기 위한 요구사항을 규정한 최초의 글로벌 개인정보보호 경영시스템 표준입니다. 개인정보 처리자(Controller)와 수탁자(Processor) 모두에게 적용되며, GDPR·개인정보보호법 등 국내외 규제 대응의 핵심 인증입니다.
GDPR·CCPA 등 주요 개인정보보호법 요구사항을 매핑한 부록을 제공해 하나의 관리체계로 다수 법규에 동시 대응할 수 있습니다. 원래 ISO 27001의 확장(extension)으로 설계되었으나, 2025년 개정판부터는 ISO 27001 없이도 단독 인증이 가능하며 전환기한은 2028년 10월입니다. ISO 27001을 이미 보유한 기업은 확장 인증으로 추가 심사기간을 크게 줄일 수 있습니다.
핵심 개념
최초의 PIMS 표준
국제표준
개인정보보호경영시스템(PIMS)에 대한 최초의 글로벌 표준입니다.
GDPR 매핑
다중 규제 대응
GDPR·CCPA 등 주요 개인정보보호법 요구사항을 매핑해 하나의 체계로 대응합니다.
ISO 27001 확장 가능
연계 인증
ISO 27001 보유 기업은 확장 인증으로 추가 심사기간을 단축할 수 있습니다.
2028.10
단독인증 전환기한
2025년 개정판부터 ISO 27001 없이 단독 인증이 가능하며 전환기한은 2028년 10월입니다.
대상 기업
개인정보 처리자·수탁자
개인정보를 직접 수집·처리하거나 위탁받아 처리하는 모든 기업
GDPR 적용 대상기업
EU 거주자 개인정보를 처리하는 해외진출·수출기업
플랫폼·핀테크 기업
대규모 회원정보를 관리하는 온라인 서비스 기업
ISO 27001 보유기업
기존 정보보안체계를 개인정보보호까지 확장하려는 기업
진행 프로세스
위험성평가부터 인증심사까지 4단계로 진행됩니다.
개인정보 처리현황 진단
수집·저장·처리·공유·파기 전 과정을 파악합니다.
PIMS 구축
개인정보보호 정책·통제를 ISO 27001 체계에 통합하거나 단독 구축합니다.
내부심사
개인정보보호 운영현황을 점검합니다.
인증심사
1단계 문서심사, 2단계 현장심사를 거쳐 인증서를 발급받습니다.
결과물
ISO 27701 인증서
개인정보보호정책 및 처리방침
GDPR 등 규제 매핑 문서
개인정보 처리현황 및 위험평가 기록
기대 효과
개인정보 유출 리스크 저감
체계적 관리로 개인정보 침해사고 가능성을 낮춥니다.
글로벌 규제 동시 대응
GDPR·개인정보보호법 등을 하나의 체계로 관리합니다.
고객·파트너 신뢰도 제고
개인정보 위탁·수탁 계약에서 신뢰 기반을 확보합니다.
ISO 27001과 통합운영
기존 정보보안체계와 통합해 운영 효율을 높입니다.