개인정보 보호 관리 솔루션 개요

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 5분

    • 개인정보 보호 관리 솔루션은 인용, 정책, 통제 목표, 위험 설명, 개인정보 영향 평가 및 개인정보 위험 평가와 같은 개인정보 관련 라이브러리를 관리하는 프레임워크를 제공합니다. 또한 개인정보 보호 위험 및 규정 준수 태세를 추적하기 위한 처리 활동 기록을 제공합니다.

    개인 정보 보호 프로그램을 계획하기 전에 구현하려는 개인 정보 보호 규정에 따라 개인 정보 라이브러리를 설정했는지 확인합니다. 라이브러리 설정에 대한 자세한 내용은 를 개인정보 보호 관리 라이브러리 관리참조하십시오.

    다음 그림에서는 솔루션을 보여 개인정보 보호 관리 줍니다.
    그림 1. Privacy Management 솔루션 개요
    개인정보 보호 관리 솔루션 개요.

    개인정보 보호 관리 해결 방법은 다음과 같습니다.

    라이브러리 생성

    sn_privacy.manager 역할을 가진 개인 정보 보호 관리자 또는 sn_privacy.admin 역할을 가진 개인 정보 관리자는 다음을 사용하여 라이브러리를 설정해야 합니다.
    • 개인정보 보호 영향 평가
    • 개인 정보 개체
    • 개인정보 보호 규정, 권한 문서, 인용 및 통제 목표입니다.
    • 개인정보 보호 정책 및 절차
    • 개인정보 위험 설명

    개인정보 보호 영향 평가

    강력한 개인 정보 보호 프로그램을 수립하는 과정에서 개인 정보 보호 관리자는 먼저 개인 데이터를 처리하는 조직 자산의 인벤토리를 식별하고 문서화해야 합니다. 이 기본 단계에는 PII(개인 식별 정보)를 처리하는 비즈니스 프로세스, 애플리케이션, 벤더 및 서비스를 검색하고 분류하는 작업이 포함됩니다. 다음 접근 방식은 엔터티 유형, 선별 평가 및 시스템 기반 통찰력을 사용하여 이러한 인벤토리를 체계적으로 검색, 검증 및 문서화하는 방법을 간략하게 설명합니다.

    1. 인벤토리 검색: 개인정보 보호 관리자는 sn_privacy.manager 역할을 사용하여 비즈니스 프로세스, 비즈니스 애플리케이션, 벤더 및 개인 데이터를 처리하는 비즈니스 서비스와 같은 인벤토리를 식별하거나 검색합니다. 이러한 모든 인벤토리는 해당 구성 관리 데이터베이스(CMDB) 테이블에 저장됩니다. 각 비즈니스 소유자가 인벤토리를 관리합니다. 개인정보 보호 관리자는 엔터티 유형 기능을 사용하고 각 인벤토리 기록에 대한 엔터티를 생성합니다. 엔터티 유형에 대한 자세한 내용은 다음 문서를 참조하십시오 엔터티 탐색. 이 단계에서는 검색 방법에 따라 다음 접근 방식 중 하나를 사용하여 처리 활동을 만들 수 있습니다.
      1. 개인 데이터를 처리하는 비즈니스 프로세스 또는 애플리케이션 검색: 비즈니스 프로세스, 애플리케이션, 서비스 또는 벤더가 정보 개체와 연결된 경우 이 방법을 사용합니다. 엔터티 유형 기능을 사용하여 [PI] 정보 객체를 처리하는 엔터티를 검색합니다. 검색 결과에 따라 처리 활동 기록을 직접 생성합니다. 이 방법은 비즈니스 소유자가 인벤토리를 정보 객체와 연결하는 경우에만 사용됩니다. 자세한 내용은 개인정보 보호 프로그램을 계획하기 위한 엔터티 범위 지정 문서를 참조하십시오.
      2. 개인정보 검사 평가 보내기: 정보 객체가 비즈니스 애플리케이션 및 프로세스와 같은 인벤토리와 연결되지 않은 경우 이 방법을 사용합니다. 이 접근 방식에서는 개인 정보 검열 평가를 해당 비즈니스 소유자에게 보냅니다. 이러한 선별 평가에는 기본적인 질문이 포함되어 있습니다. 질문의 몇 가지 예는 다음과 같습니다.
        • 소유한 비즈니스 프로세스 또는 애플리케이션의 일부로 개인 정보를 처리하고 있습니까?
        • 어떤 종류의 개인 정보를 처리하고 있습니까? 예를 들어 이메일, 전화 및 주소를 입력합니다.
        평가 응답에서 개인 데이터가 있는 것으로 확인되면 처리 활동이 자동으로 생성됩니다.
    2. 비즈니스 사용자는 에서 새 애플리케이션 및 프로세스에 직원 센터대한 개인정보 보호 영향 평가를 사전에 제출할 수 있습니다.

    처리 활동 관리 및 업데이트

    1. 처리 활동 생성 또는 업데이트: sn_privacy.analyst 역할을 가진 개인정보 분석가는 처리 활동이 생성된 후 처리 활동 또는 비즈니스 소유자에게 PIA(개인정보 보호 영향 평가)를 보냅니다. 개인정보 보호 영향 평가는 처리 활동이 개인 정보를 처리하는 이유와 방법을 이해하는 데 도움이 됩니다. 이 평가에서는 PI 데이터 저장에 대한 근거, 다른 시스템과의 PI 데이터 교환, PI 데이터의 보안과 같은 정보를 수집합니다.
    2. PIA 전송 또는 자동 시작: 개인정보 분석가는 추가 정보를 수집해야 할 때마다 처리 활동에서 PIA(개인정보 보호 영향 평가)를 보냅니다. 또는 개인정보 보호 관리자와 개인정보 보호 관리자가 정의한 개인정보 보호 프로그램 빈도에 따라 평가를 자동으로 시작할 수도 있습니다. 이러한 기능을 사용하여 자동 시작 일정을 만들 수 있습니다 ServiceNow AI Platform .
    3. 처리 활동과 관련된 위험 및 통제 적용: 개인정보 분석가는 처리 활동에서 개인 정보가 어떻게 사용되는지 이해한 후에는 평가 응답에 따라 필요한 위험 설명, 통제, 정책 및 권한 문서가 처리 활동에 자동으로 적용됩니다. 평가를 구성하는 방법에 대한 자세한 내용은 평가 템플릿 생성을 참조하세요. 통제가 추가된 후 개인정보 분석가는 통제를 검토하고 필요에 따라 통제를 추가하거나 제거할 수 있습니다.
    4. 통제 증명 보내기: 최종 통제 집합이 처리 활동과 연결되면 적용된 모든 통제에 대한 증거를 수집하기 위해 비즈니스 프로세스 소유자 또는 애플리케이션 소유자에게 통제 증명이 전송됩니다. 비즈니스 소유자가 각 통제에 대한 증거로 통제 증명에 응답하면 준수 및 미준수 통제가 식별됩니다. 이 식별은 처리 활동의 규정 준수 태세를 결정합니다.
    5. 문제 보고 및 모니터링: 미준수 통제에 대한 문제가 자동으로 생성되며 해당 비즈니스 소유자에게 할당됩니다. 개인정보 분석가가 문제를 모니터링합니다.
    6. 문제 관리: 문제를 관리하기 위해 비즈니스 소유자는 다음 중 하나를 수행할 수 있습니다.
      • 문제 해결: 문제를 해결하면 컨트롤이 규정을 준수하게 됩니다.
      • 정책 예외 발생: 즉시 해결할 수 없는 문제에 대해 예외가 발생합니다. 개인정보 분석가는 정책 예외를 검토하고 문제의 중요도에 따라 예외를 수락하거나 거부할 수 있습니다.
    7. 지속적인 통제 모니터링: 개인정보 분석가는 표시기 기능을 사용하여 처리 활동에 대한 통제를 지속적으로 모니터링합니다. 표시기에 대한 자세한 내용은 위험 표시기, 통제 표시기 및 표시기 템플릿을 참조하십시오.

    처리 활동의 중요도 평가

    중요도 점수는 처리 활동 수준에서 요인을 평가하여 처리 활동 수준에서 위험 태세를 제공합니다. 처리 활동이 생성되거나 업데이트되면 높은 수준의 위험 점수 또는 중요도 점수를 이해하기 위해 처리 활동에 대해 중요도 평가가 수행됩니다.

    개인정보 위험 평가 수행

    개인정보 위험 평가는 중요도 점수가 높은 경우 수행되는 상세한 평가입니다. 처리 활동과 관련된 각 위험을 평가하고 처리 활동에 대해 집계된 위험 점수를 알고 있습니다. 개인정보 보호 위험을 평가한 후에는 개요 섹션의 위험 히트맵에서 개인정보 위험 태세를 볼 수 있습니다. 히트맵은 고유 및 잔여 위험에 대한 자세한 정보를 제공합니다.