방송통신위원회는 지난 2일 개인정보보호 관리체계(PIMS) 인증기준이 세계최초 국제 표준 신규 과제로 채택이 되었다는 보도자료를 내었습니다.


PIMS라는 것은 개인정보보호관리체계로서 개인정보보호에 대한 체계적인 관리가 잘 되어 있는지를 리스트에 따라 인증을 해 주는 국내 심사기준입니다.




보도자료에 따르면 10월 22일부터 27일까지 로마에서 열린 ISO/IEC JTC1/SC27 (국제 표준화 기구/ 국제전기표준회의 합동기술 위원회 1/연구그룹 27) 회의에서 한국이 제안한 신규표준화 과제인 " 개인정보보호 관리체계를 위한 지침"에 대한 제안이 채택이 되어 국제무대에서 개인정보보호 관리체계에 대해 한국이 주도권을 잡을 수 있을 것이라고 보도 하였습니다.


반가운 소식이고 과제를 진행하는 순천향대학교 염흥열 교수님이 지정이 되셨네요. 무엇보다 개인정보보호법이 시행이 되고 이에 대한 체계적인 틀을 국제적인 수준으로 높이고 경쟁력을 강화 할 수 있는 좋은 기회가 될 듯합니다. 


보도자료 전문 첨부 합니다. 조금 늦게 접하게 되었지만 올려 봅니다.. 준비하신 관계자분들 수고 하셨습니다.^^



개인정보보호_관리체계_국제표준_채택_자료(11.2) (1).pdf





Posted by 엔시스

관리체계를 수립하고 최종 KISA에서 인증하는 인증심사를 통과를 해야만 인증서가 발급이 됩니다. 제3자의 외부 전문가의 객관적 시각을 통하여 점검을 해 보는 것이죠.




인증 심사에서 주로 심사하는 관점은 3가지로 정리가 될 수 있습니다.

  • 관리과정의 적절성 - 관리과정의 전반적인 적절성과 체계성을 심사.
  • 위험관리 - 위험관리를 통하여 선택된 정보보호대책들이 정확히 구현 되고 사후 관리가 되었는지를 심사.
  • 법의 준거성 - 관리체계 수립시 관련 법률과 제도에 근거한 법의 준거성 측면에서 심사.


아마도 이러한 3가지 측면에서 인증심사를 진행 하게 됩니다. 특히 관리체계의 적적성이란 전문가들 사이에 의견도 달라지고 환경 변화에 따라 변할수 있기 때문에 , 관리체계를 위한 적절한 조직,절차, 방법들이 사용되고 이들이 체계적으로 관리되는지를 보는 것이죠.

따라서, 인증심사시 허점을 찾아내기 보다 전체적인 틀과 운영상태를 중요하게 심사하게 되고, 단기적, 중기적 , 장기적 마스터 플랜을 세워 어떻게 체계적으로 관리해 나갈 것인가에 대한 의지도 중요한 포인트 중에 하나일 것입니다.

예를들어 전산실의 물리적 보호조치가 미흡하여 결함사항이 도출이 되었다고 하면 , 이미 해당년도 예산은 결정이 되어 있고 , 당장 투입할 예산이 없는데도 결함사항을 주어 그것을 보완조치하라는 것은  피 인증 심사기관으로도 힘든 부분일 것입니다.

이럴땐 실무담당자에게 중장기적인 계획을 수립하는 방안을 검토하게끔 조언을 주고 차년도 사후관리 심사시에 적용될 수있는 방안을 권고를 하고 차후 사후관리 심사시에는 반드시 이행 여부를 확인하여 , 보안 관리를 점점 강화해 나갈수 있도록 하는 것이 관리체계의 근본적인 취지일 것입니다. 또한 그것이 심사원의 심사 스킬이 아닌가 생각을 해 봅니다.

무조건 허점을 찾아 단기간 보완조치 하기 힘든 것을 결함을 준다면 실무 담당자는 오히려 더 힘들게 할 수도 있고 관리체계의 어려움을 호소 할 수 있기에 , 그 취지에 벗어날 수 있지 않는가 하는 생각도 해 봅니다.

예외는 있습니다. 실무 담당자가 의사결정자에게 관리체계의 외부 심사원으로부터 심사를 받고 결함을 도출하여 힘을 실리게끔 지원 사격을 원하는 경우가 있습니다. 이럴땐 의사결정자의 마음을 움직여야 함으로 종료보고회의때 실무담당자에 힘도 실어주고 의사결정자의 정보보호에 대한 인식제고도 시킬 겸 적절하게 수위 조절 하여 긴급 보완조치를 취하여야 한다는 당위성을 설명해 주는 것도 좋은 방법중에 하나라 생각합니다.

어떠한 경우 동일한 사업장에 인증심사를 나가보면 작년보다는 올해에 위험관리가 잘 되어 있어 그 취약점을 점점 제거해 나가고 보안이 강화되는 것을 보면 인증심사원으로서는 뿌뜻함을 느끼게 되는 경험도 느끼게 됩니다.  @엔시스.


Posted by 엔시스

2010년 올 한해 개인정보보호에 대한 부분은 개인적으로 많이 접하게 되었는데 연내가 가기 전에 PIMS 관련 도입 입장을 방통위에서 공식 발표를 하였네요. 아마도 개인정보보호법 법안 소심사위 통과후 개인정보보호법 제정의 최종 국회 통과후 후속조치로 적용이 되지 않을까 생각이 듭니다.

하지만 법과 상관없이 개인정보보호를 어떻게 잘 관리하고 체계적으로 정책을 수립하고 관리적,물리적,기술적 보호조치를 취할 것인가에 관점으로 접근 한다면 이제는 소중한 개인에 대한 정보 즉, 개인정보는 기업의 자산이 아니라 정보주체로서 개인정보자기결정권이라는 권리를 가질수 있는 하나의 개인의 권리주체로서 정보이며, 기업이 당연히 보호해야 하는 것중에 하나의 제도 정책이 아닌가 하는 생각을 해 봅니다. 그런 토대 마련이라고나 할까요.

다음은 방통위에서 다음과 같은 보도자료자료 일부입니다.

방송통신위원회(이하 방통위)는 계속되는 개인정보 대량 유출 사고를 방지하고 기업의 사회적 책임을 강화하기 위한 일환으로 기업 스스로 고객의 개인정보를 보호할 수 있는 관리체계를 수립하여 지속적인 보호활동을 수행할 수 있도록 "개인정보보호 관리체계(PIMS) 인증제" 도입을 의결하였다.

※ PIMS(Personal Information Management System) : 개인정보보호 관리체계

“개인정보보호 관리체계 인증제”란 개인정보를 취급하는 기업이 전사차원에서 개인정보 보호 활동을 체계적?지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 것으로, 고객의 개인정보 보호를 위해 필요한 법적인(정보통신망법 등) 요구사항을 포함한 총 3개 분야 119개 통제항목에 대한 점검 과정을 거치게 된다. 특히 인증제도의 신뢰성과 공정성 확보를 위하여 방송통신위원회가 인증제를 직접 관리?감독하고, 한국인터넷진흥원이 인증 신청 기업의 심사를 수행할 예정이다.

방통위 관계자는 “인증제도 도입으로 법률에 명시된 최소한의 보호대책만으로 개인정보 침해사고 방지에 어려움을 겪었던 기업들에게 체계적 개인정보 보호활동을 위한 세부 기준과 방법이 제시되었으며, 국민들에게는 개인정보를 안전하게 관리하는 기업을 객관적으로 식별할 수 있는 기준이 마련되었다는 점에서 의미가 크다”고 밝혔다.

또한 방통위는 12월중에 사업자를 대상으로 인증제 설명회를 개최할 계획이며, 인증 신청 및 심사는 2011년부터 수행할 예정이다.
출처: http://www.kcc.go.kr/user.do?boardId=1042&page=P05030000&dc=K05030000&boardSeq=29997&mode=view





PIMS (Personal Information Management System) 개인정보보호관리체계는 고객의 개인정보 보호를 위해 필요한 법적인 (정보통신망법등) 요구 사항을 포함한 총3개 분야 119개 통제 항목에  325개 세부통제항목에 대한 점검 과정을 거치게 됩니다..

  • 관리과정 요구사항
  • 보호대책 요구사항
  • 생명주기 요구사항

3개의 영역을 잘 파악하면 도움이 되리라 생각이 듭니다. 특히 보도자료 마지막 부분에 '11년 6월경에 PIMS 인증심사원 양성 교육을 계획 하고 있어 개인정보보호에 관심 있는 분들의 좋은 기회가 되지 않을까 생각이 듭니다.

또한 관리체계를 통한 주먹구구식의 개인정보에 대한 부분이 체계화되고 , 개인정보보호 기술적 .관리적 보호조치를 취함으로 인하여 고객의 개인정보를 더 소중히 여길수 있는 좋은 인증 제도로 거듭나지 않을까 생각이 듭니다. 아무튼 좋은 제도로 거듭나길 기대해 봅니다. 보도자료 같이 첨부해 올립니다.  @엔시스.



Posted by 엔시스

개인정보보호관리체계(PIMS) 인증심사원으로 위촉이 되었습니다. 




앞으로 개인정보보호에 대한 다양한 사례를 접하게 될 듯 하고 그러한 지식은 제 블로그를 방문하시는 분들과 개인정보보호의 지식을 함께 공유하도록 하겠습니다...^^;;

어제에도 잠시 모임이 있어 그 곳에서 관련 내용을 이야기 했더니 정말 아무도 잘 모르더라는 생각이 들었습니다. 아마도 관련기관과 개인정보보호관리체계 인증심사원 분들이 많은 교육과 지도
정보를 공유하여 널리 퍼질수 있도록 노력을 해야 겠습니다.

사실,저도 해보니까 그리 만만한 일은 아니라는 생각이 듭니다.
앞으로 더 노력 하도록 하겠습니다.

전주현 올림.



Posted by 엔시스


지난 10월6일부터 8일까지 PIMS(개인정보보호관리체계: 이하 PIMS) 인증 심사원 교육이 서울 강남 AKIS 교육장에서 있었습니다.

PIMS 관련해서는 첫번째 교육으로 관련 노하우와 경험이 많으신 분들이 참석 하셔서 향후 개인정보보호관리체계에 대한 전망은 밝을 것이라는 생각이 들었습니다.

인증심사 교육프랭카드

 

특히 이번 교육은 '개인정보보호법' 통과로 인한 다양한 분야에 계신분들의 관심을 가지고 있고, 향후 이러한 개인정보보호관련체계를 인증 심사를 하는 심사원 양성이라는 측면에서  수업을 허투르 들을수 없었고, 관련 교육생분들도 한분도 졸거나 잡담하는 모습이 없이 진진하게 교육에 임하는 태도에서 이번 교육에 중요성을 인지 할수 있었습니다.

비록, 지방에서 올라가 잠자리와 식사가 편하지는 못하였지만 오랜만에 받는 교육이라 지적 충만감은 밤 늦게 내려오는 KTX안에서도 피곤함을 잊게 하였습니다. (교육생 가운데 유일한 지방에서 올라간 사람 T.T..) 이젠 대전에서도 출퇴근 하시더군요. 부산에서도 출퇴근 하는 날이 올까요?

1차2차로 나누어진 인증심사 양성 교육에서 차후 PIMS 관련하여 인증심사를 맞이 하게 될텐데 각자 교육후 자신의 역량에 매진하여 인증심사원으로서 자질과 품위를 유지하는데에 노력할 필요가 있으며 모자란 학습은 반드시 다시 숙지하여 궁금증이 많은 개인정보보호 담당자분들로 하여금 많은 질의와 궁금증을 해소시켜야 할 의무가 있을 것입니다.

기존에 ISMS는 IT관련 기업이나 원격대학에서 많은 관심을 갖었다면 PIMS는 제조,유통,의료,공공등 다양한 분야에 계신분들이 관심을 가지리라 생각을 합니다.

혹시 조금 더 자세한 내용을 원하시는 분들은 아래 링크를 참고 바랍니다.

2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향

1) 개인정보보호에 대한 법 및  제도 운영 특징 

가) 개인정보보호의 특징

   - 무엇이든 그렇듯이 법과 제도 운영에 있어 가장 기본이 되는 것은 바로 '법의 해석' 입니다. 특히 유권해석이 필요한 부분은 다양한 경험을 통하고, 관련 전문가에 자문을 받아 케이스 바이 케이스를 학습하는 것이 좋겠고, 관련 법 조항이나 시행령, 규칙, 조례,지침, 고시등은 반드시 살펴 봐야 하는 부분들입니다.

- 따라서, 점검해야 할 사항과 법 해석에 있어 논란에 여지가 있는 부분들은 구체적이고 명확한 법적 근거제시가 중요하며 많은 학습이 필요하다는 생각이 들었습니다.

- 개인정보보호 생명주기 (Life cycle) : 개인정보보호도 사람과 마찬가지로 하나의 공통된 사이클이 형성이 되는데 이것을 개인정보보호 생명주기라 합니다. 사람은 태어나지만 개인정보는 수집단계를 시작하여 이용,저장, 파기까지의 일련의 사이클로 형성이 되는데 각 주기마다 개인정보에 대한 특성을 이해 하는 것이 중요합니다. 이러한 이해에는 반드시 예외 조항이 있어 예외 조항과 기존의 법리적 해석..그리고 법의 준거성 측면에서 이해 하는것도 중요하겠습니다.


나) 이젠 보안전문가도 법과 제도운영 알아야 프로페션얼

- IT보안전문가 < 법률 전문가

개인정보보호를 한다는 것은 결국 법과 제도 운영에 이해가 많아야 하며 이러한 부분에 있어 법을 전공한 사람이라면 더욱 장점이 있지 않을까 하는 생각도 됩니다. 그 중심에 있는 "정보통신망법"과 "공공기관에 관한 개인정보보호법률"등이 있겠지요. 그 이하 법률->시행령->고시 순으로 되겠지만 아무튼 기술적 보안에 치우친 분들은 법의 용어나 유권해석에 있어 애로사항이 있을수도 있겠습니다. 하루 빨리 적응이 필요 한듯 합니다.

- 법률전문가 < IT보안전문가

이렇게 조금은 법률적 제도적 측면에 기울어진 보안은 법률제도 운영에 노하우가 있는 분이 강점이 있을테고 기술적 보안에 강점이 있는 경우에는 기술적 보안에 이점이 있겠지만 결국 컨버전스 되는게 아닌가 하는 생각이 듭니다.


- 법률 = 기술 같이 할수 있는 전문가

이젠 법전공 하신분이 기술적 보안을 한다든지. 아니면 기술적 보안을 하신 분이 법을 공부한다라고 하면 결국 진정한 보안전문가는 법과 제도를 함께 아우르면서 기술적인 부분을 해결해 나가는 것이 진정한 프로페션얼한 전문가가 아닌가 하는 생각을 해 보았구요.

하나의 조직은 어떠한 정책에서 출발하여 보안도 거버넌스적인 측면에서 비지니스에 영향을 미칠수 있다는 전문가의 설득이야말로 진정한 보안에 중요성을 일깨울수 있는 전문가가 아닌가 생각해 봅니다.

마지막으로 느낀점은 개별법으로 산재되어 있어 법의 사각지대를 메울수 있는 부분은 충족 할수 있겠지만, 너무 다양한 분야를 아우룰려면 때로는 또 전문적인 개별법이 또 필요한 시점이 있지 않을까 하는 생각도 해 보았습니다.

우선은 개별적 이익보다는 개인정보보호의 법의 사각지대를 없애는 공공의 목적이 더 큰 만큼 관련 분야 전문가분들이 힘을 합쳐 규제의 대상이 되는 힘겨운 법이 아니라, 반대로 생각하면 법의 요건만 충족하면 마음대로 비지니스 할수 있는 하나의 기회로 삼을 수 있는 오픈된 마인드가 필요한 시점이 아닌가 생각해 봅니다.

관련기관에서도 제도 운영과 확산에 의지를 피력한 만큼 인증심사원으로서 자긍심과 개인정보보호 인식 확산에 앞장 서야 겠다는 마음을  다시한번 가지는 계기가 되었습니다.  미흡한 힘이지만 더욱 노력하여 전국민 보안인식제고 보안마인드 향상에 앞장 서겠습니다.  @엔시스.

Posted by 엔시스