Plan · 1단계
계획
목표·범위·자원을 정의합니다
- PII 처리활동 매핑(ROPA)
- DPIA 영향평가
- 개인정보 정책
- 정보주체 권리 절차
RESULTS AT A GLANCE
-
1차 통과ISO 27701
-
GDPR / PIPA다중 규제 일괄 대응
-
ZERO개인정보 사고 보고
01 · CHALLENGE
문제
DTC 헬스 SaaS — 한국 PIPA + EU GDPR + 미국 CCPA 다중 개인정보 규제 대응. ISO 27001 보유 중이나 PII 처리·동의·정보주체 권리 통제 미흡.
02 · SOLUTION
해결
PII Controller/Processor 역할 매핑 + Annex A·B 통제 적용. DPIA(개인정보 영향평가) · ROPA(처리활동기록) · 정보주체 권리 응답 워크플로. Cookie · 동의 관리(CMP) · 데이터 라이프사이클 자동화.
03 · RESULTS
측정
가능한 결과
GA4·Meta Pixel·서버 로그가 같은 숫자를 가리키게 만든 다음에 출시했습니다. 측정 가능한 지표만 기재 — 기대치가 아닌 실제 결과.
-
1차 통과ISO 27701
-
GDPR / PIPA다중 규제 일괄 대응
-
ZERO개인정보 사고 보고
"27001 위에 27701 을 얹으니 글로벌 개인정보 규제가 한 시스템에 들어왔습니다."
— 개인정보·데이터 고객사
ISO Annex SL · HLS Clauses 4–10
ISO 27701 요구사항 — 조항 4~10 전체 구조
ISO 경영시스템은 Annex SL High-Level Structure(HLS)에 따라 조항 4(조직 상황)부터 조항 10(개선)까지 7개 영역으로 구성됩니다. ISO 27701는 이 표준 골격 위에 다음 영역에 특화되어 있습니다.
STANDARD FOCUS · ISO 27701
개인정보보호경영시스템 (PIMS). ISO 27001 확장 — PII 컨트롤러·프로세서 역할, GDPR·PIPA 매핑, DPIA, 정보주체 권리 대응(접근·정정·삭제·이동).
-
4
조직 상황 (Context of the Organization)
조직과 그 상황을 이해하고, 이해관계자의 요구·기대를 파악하여 경영시스템의 적용범위와 프로세스를 결정합니다.
- 4.1
-
조직과 그 상황의 이해
경영시스템의 의도된 결과 달성에 영향을 줄 수 있는 외부·내부 이슈를 결정. 전략 방향 (PEST·SWOT) 정기 모니터링·검토.
- 4.2
-
이해관계자의 요구 및 기대 이해
경영시스템과 관련된 이해관계자(고객·규제기관·임직원·공급자 등)와 그들의 요구사항을 결정 → 컴플라이언스 의무 도출.
- 4.3
-
경영시스템 적용범위 결정
경계·적용 가능성을 결정하여 문서화. 외부·내부 이슈, 컴플라이언스 의무, 조직의 제품·서비스를 고려.
- 4.4
-
경영시스템 및 그 프로세스
필요한 프로세스 식별 — 입력·출력, 순서·상호작용, 자원, 책임, 리스크와 기회 처리, 성과 지표(KPI), 개선 메커니즘 정의.
-
5
리더십 (Leadership)
최고경영자의 리더십·의지, 경영시스템에 대한 책임, 정책 수립, 역할·책임·권한 부여를 다룹니다.
- 5.1
-
리더십과 의지 표명
최고경영자가 경영시스템 효과성에 대한 책임 (accountability) 을 짐. 정책·목표가 전략 방향과 호환, 비즈니스 프로세스에 통합되도록 보장.
- 5.2
-
방침 (Policy)
조직 목적·상황에 적합한 정책 수립·문서화·전달·활용. 지속적 개선 의지 포함.
- 5.3
-
조직의 역할·책임 및 권한
각 역할의 책임·권한을 부여·전달. 경영시스템 표준 적합성 + 의도된 결과 달성을 누가 책임지는지 명확화.
-
6
기획 (Planning)
리스크와 기회를 다루는 조치, 목표 수립과 달성 기획, 변경의 기획을 통해 경영시스템 효과성을 확보합니다.
- 6.1
-
리스크와 기회를 다루는 조치
4.1·4.2 에서 도출한 이슈·요구를 고려해 의도된 결과 달성에 영향을 주는 리스크·기회를 결정·평가·처리. 경영시스템 프로세스에 조치 통합.
- 6.2
-
목표 및 목표 달성 기획
관련 부서·계층별 측정 가능한 목표 수립. 무엇을·자원·책임·기한·평가 방법 포함된 실행 계획 문서화.
- 6.3
-
변경의 기획
경영시스템에 변경이 필요할 때 계획적·체계적 방식으로 수행 — 목적, 잠재적 결과, 무결성, 자원 가용성, 책임·권한 배분 고려.
-
7
지원 (Support)
자원, 역량, 인식, 의사소통, 문서화된 정보 — 경영시스템 운영에 필요한 모든 지원 요소를 다룹니다.
- 7.1
-
자원 (Resources)
경영시스템 수립·실행·유지·지속개선에 필요한 자원 결정·제공. 사람·기반구조·환경·모니터링/측정 자원·조직 지식 포함.
- 7.2
-
역량 (Competence)
성과·효과성에 영향을 주는 직원의 필요 역량 결정. 교육·훈련·경험으로 역량 확보, 조치의 효과성 평가, 증빙 보유.
- 7.3
-
인식 (Awareness)
직원이 정책·관련 목표·자신의 기여·미준수 시 영향을 인식하도록 함.
- 7.4
-
의사소통 (Communication)
내·외부 의사소통 결정 — 무엇을·언제·누구에게·어떻게·누가.
- 7.5
-
문서화된 정보
표준이 요구하는 + 효과성에 필요한 문서를 작성·갱신·관리. 식별·검토·승인·배포·접근·변경관리·보존·폐기 통제.
-
8
운영 (Operation)
기획에서 정의한 프로세스를 실제로 실행 — 운영 기획·관리, 외주 프로세스 통제, 변경·비상 상황 대응.
- 8.1
-
운영 기획 및 관리
기획된 결과 달성을 위한 프로세스 수립·실행·관리. 기준·관리, 문서화, 외주 프로세스 통제 포함.
※ 규격별 차이 각 경영시스템 규격마다 8장은 가장 큰 분량 — 핵심 운영 요구사항이 집중됨. 9001은 제품/서비스 기획·설계·구매·생산·인도, 27001은 운영 보안·정보분류·암호화, 14001은 환경 운영 통제·비상 대응, 45001은 위험요인 식별·위험성 평가·작업허가·비상사태.
-
9
성과 평가 (Performance Evaluation)
모니터링·측정·분석·평가, 내부심사, 경영검토 — 경영시스템이 효과적으로 작동하는지 객관적으로 확인합니다.
- 9.1
-
모니터링·측정·분석·평가
무엇을·언제·어떻게 모니터링·측정할지 결정. 결과 분석·평가로 경영시스템의 적합성·적절성·효과성 판단.
- 9.2
-
내부심사 (Internal Audit)
계획된 주기로 내부심사 수행 — 자체 요구사항 + 표준 요구사항 적합성 + 효과적 실행·유지 확인. 심사원의 객관성·공평성 확보.
- 9.3
-
경영검토 (Management Review)
최고경영자가 경영시스템의 적합성·적절성·효과성을 계획된 주기로 검토. 내부심사 결과·이해관계자 피드백·KPI·시정조치·개선기회 종합.
-
10
개선 (Improvement)
부적합 발생 시 시정조치, 지속적 개선을 통해 경영시스템의 적합성·적절성·효과성을 향상시킵니다.
- 10.1
-
일반 (General)
개선 기회 결정 + 의도된 결과 달성을 위한 필요 조치 실행.
- 10.2
-
부적합 및 시정조치 (Nonconformity & Corrective Action)
부적합 발생 시 즉시 대응 + 결과 처리. 원인분석(RCA) + 재발방지 시정조치 + 효과성 검토 + 변경 반영. 문서화된 정보 보유.
- 10.3
-
지속적 개선 (Continual Improvement)
경영시스템의 적합성·적절성·효과성을 지속적으로 개선.
ⓘ 본 7-조항 구조는 ISO/IEC Directives Part 1 Annex SL 의 High-Level Structure를 따릅니다. ISC인증원이 KAB-accredited 인증심사 시 동일 골격으로 적합성을 평가합니다.
Plan · Do · Check · Act Cycle
ISO 27701 인증심사 PDCA 사이클
ISO 경영시스템은 PDCA(Plan-Do-Check-Act) 4단계를 반복하며 지속적으로 개선됩니다. ISO 27701 인증심사에서 각 단계별 핵심 활동은 다음과 같습니다.
Do · 2단계
실행
프로세스를 운영하고 자원을 투입합니다
- GDPR·PIPA 통제 구현
- 동의 관리 시스템
- DPO 지정·역할
- 처리자 계약·감독
Check · 3단계
점검
모니터링·심사·경영검토로 검증합니다
- 개인정보 사고 모니터링
- 권리 요청 처리 모니터
- 내부심사·MR
- 처리자 감사
Act · 4단계
조치
시정·예방·개선으로 다음 사이클 준비
- 유출 사고 통보·시정
- 정책 업데이트
- 정보주체 신뢰 회복
- 프라이버시 by Design
P 계획
→
D 실행
→
C 점검
→
A 조치
↻
다음 사이클
Certification Cycle · 4-Year Loop
ISO 27701 인증심사는 PDCA 사이클을 1년 단위로 반복합니다 — 최초 인증(Stage 1+2) → 사후심사 1·2차 (12·24개월) → 3년 만료 전 갱신심사. 각 라운드마다 위 4단계 활동을 점검하여 지속적 개선을 검증합니다.
● 100% 사전 예약제
퀄리티 유지를 위해 월별 TO를 제한 하고 있습니다.
문의 남겨주시면 30분 이내, 합리적인 솔루션을 제안드립니다.
- 이번 주
- 0건
- 이번 달
- 12건
- 누적
- 30건
실시간 프로젝트 문의 최근 24건
- 박** 차장 Pro 패키지 의뢰 05.09
- 박** 차장 모바일 앱 의뢰 05.07
- 박** 사장 패키지 상담 요청 05.07
- 한** 이사 Basic 패키지 의뢰 05.07
- 윤** 실장 Basic 패키지 의뢰 05.07
- 임** 사장 Pro 패키지 의뢰 05.06
- 서** 이사 Enterprise 패키지 의뢰 05.06
- 서** 부장 Pro 패키지 의뢰 05.04
- 정** 매니저 Basic 패키지 의뢰 05.03
- 최** 매니저 패키지 상담 요청 05.03
- 권** 과장 Enterprise 패키지 의뢰 05.03
- 권** 실장 Pro 패키지 의뢰 05.01
- 장** 매니저 모바일 앱 의뢰 04.29
- 박** 이사 Pro 패키지 의뢰 04.29
- 임** 부장 Pro 패키지 의뢰 04.28
- 임** 팀장 모바일 앱 의뢰 04.28
- 오** 대표 Pro 패키지 의뢰 04.25
- 권** 본부장 모바일 앱 의뢰 04.25
- 서** 본부장 패키지 상담 요청 04.25
- 조** 대표 Basic 패키지 의뢰 04.24
- 서** 본부장 모바일 앱 의뢰 04.23
- 박** 사장 Pro 패키지 의뢰 04.22
- 박** 이사 Pro 패키지 의뢰 04.20
- 서** 실장 패키지 상담 요청 04.20
무료 견적 요청
필수 항목을 입력해 주시면 30분 이내 연락드립니다.
