개인 정보 침해 평가는 개인의 개인 정보를 위협하는 사건이 발생할 때마다 중요한 역할을 합니다. 이러한 평가는 위반 여부를 결정하는 데 도움이 되며 위반의 범위와 영향을 측정하는 척도 역할을 합니다.
위반 평가를 트리거하는 두 가지 경로가 있습니다. 개인정보 보호 케이스에서 직접 시작하거나 독립 실행형 평가로 위반 평가를 시작할 수 있습니다. 평가가 독립 실행형 평가로 시작되면 결과가 분석되고 필요한 경우 개인정보 보호 케이스가 생성될 수 있습니다. 이러한 유연성을 통해 조직은 잠재적인 침해에 신속하게 대응할 수 있습니다. 각 개인정보 케이스에 대해 위반 평가를 하나만 수행할 수 있습니다.
침해가 발생하는 경우, 특정 기준(예: 개인 데이터로 손상된 서버)은 개인 정보 보호 케이스를 생성하기 전에 위반 평가를 시작하도록 촉구할 수 있습니다. 이 평가의 주요 목적은 손상된 데이터의 특성을 신속하게 확인하는 것입니다. 예를 들어 인시던트가 보안 인시던트와 관련된 경우 보안 분석가는 위반 평가를 작성하고 인시던트 유형, 영향을 받은 위치 및 암호화와 같은 기존 완화 조치에 대한 세부 정보를 제공해야 합니다. 그런 다음 개인 정보 분석가가 평가를 검토하여 사고의 세부 사항을 조사합니다. 이 분석을 바탕으로 향후 발생을 방지하고 위반과 관련된 법적 의무를 관리하기 위해 개인정보 보호 케이스가 생성될 수 있습니다.
개인정보 침해 평가의 요소
개인 정보 침해 평가는 침해가 발생한 관할권을 명확하게 나타내야 합니다. 이는 각 관할 구역이 개인 정보 보호 및 데이터 보호와 관련된 고유한 법률 및 규정에 따라 운영되기 때문에 매우 중요합니다. 또한 PI(개인 식별 정보) 아티팩트를 지정해야 합니다. PI 아티팩트 및 관할 구역이라는 용어는 다음 섹션에 설명되어 있습니다.
PI 아티팩트
PI 아티팩트는 일반적으로 분실 또는 도난당할 수 있는 개인 식별 정보의 물리적 또는 디지털 형식을 나타냅니다. 이러한 아티팩트에는 개인 정보가 포함된 구두(음성 또는 녹음), 시각적(인쇄 또는 표시), 전자적(장치 또는 시스템에 저장됨) 또는 종이 기반(문서 또는 기록) 형식의 데이터가 포함될 수 있습니다. PI 아티팩트에는 인시던트의 특성, 손상에 대한 설명, 받는 사람의 세부 정보, 위험 완화 계획 등의 세부 정보가 포함되어 있습니다.
관할 구역
각 국가 또는 지역마다 다른 법률과 규정이 적용됩니다. 이러한 차이가 있는 경우 위반 평가 중에 영향을 받는 각 관할 구역을 식별해야 합니다. 관할 구역에는 영향을 받은 개인 수와 같은 세부 정보가 포함되어 있습니다.
개인정보 위반 평가 워크플로우
위반 평가는 Employee Center에서 시작할 수 있지만 애플리케이션에서도 시작할 수 있습니다. 다음 이미지는 보안 인시던트의 예를 사용하여 위반 평가 워크플로우를 보여줍니다.
