방송통신위원회는 지난 2일 개인정보보호 관리체계(PIMS) 인증기준이 세계최초 국제 표준 신규 과제로 채택이 되었다는 보도자료를 내었습니다.


PIMS라는 것은 개인정보보호관리체계로서 개인정보보호에 대한 체계적인 관리가 잘 되어 있는지를 리스트에 따라 인증을 해 주는 국내 심사기준입니다.




보도자료에 따르면 10월 22일부터 27일까지 로마에서 열린 ISO/IEC JTC1/SC27 (국제 표준화 기구/ 국제전기표준회의 합동기술 위원회 1/연구그룹 27) 회의에서 한국이 제안한 신규표준화 과제인 " 개인정보보호 관리체계를 위한 지침"에 대한 제안이 채택이 되어 국제무대에서 개인정보보호 관리체계에 대해 한국이 주도권을 잡을 수 있을 것이라고 보도 하였습니다.


반가운 소식이고 과제를 진행하는 순천향대학교 염흥열 교수님이 지정이 되셨네요. 무엇보다 개인정보보호법이 시행이 되고 이에 대한 체계적인 틀을 국제적인 수준으로 높이고 경쟁력을 강화 할 수 있는 좋은 기회가 될 듯합니다. 


보도자료 전문 첨부 합니다. 조금 늦게 접하게 되었지만 올려 봅니다.. 준비하신 관계자분들 수고 하셨습니다.^^



개인정보보호_관리체계_국제표준_채택_자료(11.2) (1).pdf





신고
Posted by 엔시스

개인정보보호법 시행이 점점 다가 오면서 많은 사람들이 개인정보보호에 관심을 많이가지게 됩니다. 물론 지방에서도 많은 관심을 가지게 되는데요. 아무래도 서울에 비해 그 기회나 정보가 적다보니 상대적으로 많이 궁금한 점들이 있습니다.

올 초에 3번에 걸쳐 부산글로벌IT교육센터에서 세미나가 준비되어 있었는데 그중에 2번을 진행 하였습니다. 지난번에는 정보보호관리체계의 이해 에 대하여 특강이 있었으며, 이번에는 "개인정보보호법 제정에 따른 법분석과 대응방안" "사례중심의 개인정보보호"등의 주제로 3시간 동안 진행을 하였습니다.

 

세미나는 7시부터 -10시까지 진행이 되었는데요. 모두들 퇴근후에 오셨지만 정말 수업집중도가 높았습니다. 한분도 졸고 계시는 분이 없었습니다. 사실 , 법관련 문제나 보안일반에 대한 수업은 조금 지루한 면이 없지 않아 있는데, 질문도 많이 해 주시고 그만큼 관심들이 있다는 말씀이겠지요.

분량이 워낙 많은 분량이라. 3시간에 소화해낸다는 것 자체도 쉽지 않더군요.

하물며, 일반적으로 1시간정도 대충 수박 겉핥기 식으로 뜬 구름 잡기식 세미나나 특강은 지양해야 할 것 같습니다. 어차피 질문하고 토론하고 들으러 온거 조금 디테일하게 수강하시는 분들에게 가려운 곳을 긁어 주는게 좋겠습니다.

세미나는 다음과 같은 내용으로 진행이 되었습니다.

    • 개인정보보호법의 배경과 필요성
    • 개인정보보호법의 법체계 (개별법과 개인정보보호법의 관계)
    • 개인정보보호법 시행후 행정체계의 변화
    • 개인정보보보법 주요 조항 분석
    • 개인정보보호법 시행에 따른 우리의 대응방안
      • 개인정보보법 이해
      • 개인정보보법 기술적.관리적 보호조치 대응방안
      • 개인정보보법 솔루션 이해등등
    • 실제 사례를 통한 개인정보보호법 FAQ까지

    이렇게 진행을 하다보니3시간을 정확하게 진행을 하게 되었습니다. 밤 늦은 시간까지 집중하여 들어주신 분들에게 이 자리를 빌어 감사의 말씀을 드립니다.

    무슨 교육이든 새로운 것은 잘 없습니다. 이미 조금 알고 있는 내용이거나 또는 어렴풋하게 아는 내용들이겠지요. 하지만 이러한 자리를 통하여 자신의 제한된 환경과 시간을 만듬으로 인하여 한번 더 확인하고 살펴 보는 자리가 되는 것입니다.

    아마도 개인정보보호법이 시행이 된다고 하여도 법조문 전체를 한번 줄 그어가면서 읽어 보시는 분들이 몇분이나 있을지 의문입니다. 사실 딱딱한 법이라 재미도 없지만 세미나나 특강시간에 앉아만 있어도 자주 접하게 되니..머리속에 남게 됩니다..

    처음에는 수업중에 PIMS(개인정보보호관리체계)부분도 있었지만 수업에 너무 많은 욕심을 내게 되면 오히려 메세지 전달력이 떨어지고 세미나 참석하신 분들에 집중도도 떨어지고 법 조문도 잘 모르는데, 혹은 개인정보보호 생명주기도 잘 모르는데 관리체계까지 한다는 것은 무리인듯 싶어 (참석자분들을 과소평가 한지도 모르겠지만) 제외하고 진행하였습니다. 다음에 기회가 있으면 마련토록해보겠습니다.

    저는 교육에 대한 두가지 원칙을 가지고 있습니다.

    1. 남을 가르치는것이 자신이 배우는 것이다. -철저하게 실천하고 있습니다.
    2. 교육은 내가 하고싶은 말을 하는것이 아니라 상대방에 귀에 들리게 말하는 것이 진정한 전달 메세지 이다.  결국 많이 알고 있다고 해서 좋은 교육이 아니라 수강자의 눈높이에 맞게 하나라도 알아갈수 있도록 하는 것이 진정한 교육이라 생각합니다.

    저도 퇴근후에 3시간이라는 에너지를 소비했지만 세미나에 대한 준비를 많이 한 만큼 열심히 전달하려고 노력하였고, 자료 준비하면서 많은 공부가 또 되었다는 사실이었습니다.

    최근에 정보보호관리체계나 개인정보보호법등 관리적 보안에 관심을 가지면서, 기존에 시스템관리, 네트워크등 인프라 운영에 대한 지식과 경험, 그리고 각종 SIS자격증과 CISSP를 공부하면서 연구한 여러가지 암호학 관련 이론적인 공부들이 전체적인 틀에서 내려다 볼수 있는 관리적인 정보보호체계마련에 많은 도움이 되고 있습니다.

    따라서, 한분야에 전문가는  현장에서 떠나지 않고 실무와 이론을 겸비한 사람이 전문가가되는게 아닌가 생각을 해 봅니다. 오랜만에 페이스북에서 뵙던 분도 오프라인에서 만나뵙게 되어 반가웠습니다.  전국중심의 보안 실천에 앞장서고 지방에 보안 활성화를 위하여 더욱 열심히 노력하고 달려가겠습니다. 감사합니다.  @엔시스 .

신고
Posted by 엔시스

지금 H 캐피털 해킹으로 금융권으로 일파 만파 퍼지고 있는 가운데 필자가 직접 피해를 입게 되었습니다. 이에 따른 여러가지 문제점을 짚어 보고 그에 따른 개인정보 정보 주체로서 권리를 피력해 보겠습니다. 늘 이야기 했던 실무관점과 개인의 관점에서 개인의 관점입니다. -편집자 주


1. 개요

지금 10년이 넘게 타고 다니는 H 차를 아이들은 똥차라 부르지만 그래도 폐차 할때까지 타야 한다고 하면서 타고 있습니다. 무엇보다 사회생활 중에 제 돈으로 직접 신차를 샀기 때문이죠.

거슬러 올라가면 99년도에 신차를 구입하였는데. 일부는 현금으로 일부는 H캐피털을 이용하여 조금은 부담을 덜려고 캐피털사를 이용했더랬습니다. 그 이후 1년정도 매월 불입했고, 추후 한꺼번에 모두 납입하여 처리했던 기억이 납니다. 36개월 할부지만 그전에 모두 납입했다는 이야기입니다.


2.  H캐피털사 개인정보 유출

지난 주말에 H 캐필터사에서 개인정보가 유출되었다는 보도가 일부 언론을 통하여 나오고 있었고, 흠짓 나도 10여년 전에 사용한 적이 있는데 라고 생각하면서 ..그냥 보고만 있었습니다. 왜냐하면 그 시기가 벌써 10년전에 일이었기 때문입니다.
하지만 언론에서 3.4 DDoS 보다 더 집중 조명이 되면서, 무엇인가 잘못이 많긴 많은 모양이다라는 생각에 오늘 아침에 모디터링 하던 가운데 아이디가 주민번호로 생성이 되었다는 제보를 받게 되었습니다. 필자도 거래했던 기억이 있기에 바로 확인 작업에 들어갔습니다.


3. H캐피털사 , 10년전 db보관과 아이디를 주민번호로 생성

필자가 가장 의문시 되었던것이 아이디를 주민번호로 생성을 하였던 점입니다. 그것은 회원 가입을 위하여 주민번호를 입력을 하게 되면 이미 몇년 몇월이 가입되어 있다라고 나오는 것이죠. 하지만 로그인은 되지 않은 상황입니다. 왜냐하면 이번 조치로 로그인자체는 수정한 모양입니다.

                             <그림설명: H캐피털에 주민번호로 이미 회원가입이 되어있다고 보여지는 화면>

고객님은 이미 현대캐피털에 회원으로 가입이 되어 있다고 합니다. 참..황당하기 그지 없습니다. 한곳을 타켓으로 하여 몰매를 주려는것이 아닙니다.

어떻게 이런일이 생겼을까? 그동안 이러한 부분은 왜 재정비 되지 않았을까? 그져 받으면 그만이고 보내면 그만인 통지만 했다라고 하면 모두일까?


4. 법의 준거성

당신은 '정보통신이용촉진및 정보보호등에 관한 다음 법률을 위반 하셨습니다..

4.1 개인정보의 수집이용동의


제22조(개인정보의 수집·이용 동의 등) ① 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.

1. 개인정보의 수집·이용 목적

2. 수집하는 개인정보의 항목

3. 개인정보의 보유·이용 기간

② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집·이용할 수 있다.

1. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우

2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우

3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우

[전문개정 2008.6.13]   출처: 여기



개인정보 수집에는 위와 같은 항목을 이용자에게 동의를 구하여야 하는데 임의적으로 주민번호로 아이디를 생성하였습니다.

4.2   개인정보동의 받는 방법

제26조의2(동의를 받는 방법) 제22조제1항, 제23조제1항 단서, 제24조의2제1항·제2항, 제25조제1항, 제26조제3항 단서 또는 제63조제2항에 따른 동의(이하 “개인정보 수집·이용·제공 등의 동의”라 한다)를 받는 방법은 개인정보의 수집매체, 업종의 특성 및 이용자의 수 등을 고려하여 대통령령으로 정한다.[전문개정 2008.6.13]


아이디를 임의로 생성을 했기 때문에 받는 방법이 명시가 되지 않고 콜센터에 확인 한 바로는 2005년 시스템 변경 작업하면서 본인이 등록되어 있는 정보에는 이메일이나 휴대폰 번호가 기록이 되어 있지 않았다라고 이야기 하고 있습니다. 제 집전화번호을 사용한지 10년이 넘었습니다. 전화 통지를 하지 않았다라는 것이고, 임의로 만들다 보니 개인정보를 정확하게 수집하지 못한 모양입니다.



4.3  개인정보의 보호조치

제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

② 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다.

[전문개정 2008.6.13]



개인정보의 보호조치 의무를 다 하지 못하였습니다. 필자가 경찰이거나 담당자분들에게 직접 문의한 것이 아니기에 세부 경찰 결과가 나와 봐야 알겠지만  매체에 기사화 된 일부를 보더라도 3. 접속기록의 위조.변조 방지를 위한 조치를 못한 부분에 대한 것은 명시적으로 언론에 공개되었더군요.


4.4  개인정보의 파기

제29조(개인정보의 파기) 정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보를 지체 없이 파기하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지 아니하다.

1. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 수집·이용 목적이나 제22조제2항 각 호에서 정한 해당 목적을 달성한 경우

2. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우

3. 제22조제2항에 따라 이용자의 동의를 받지 아니하고 수집·이용한 경우에는 제27조의2제2항제3호에 따른 개인정보의 보유 및 이용 기간이 끝난 경우

4. 사업을 폐업하는 경우

[전문개정 2008.6.13]



정보통신망법에 개인정보의 보유 및 이용기간이 끝난 경우  즉시 파기 할 것을 법제화 하고 있습니다. 신차 구입시 2009년2월이니까 36개월 할부하여도 그전에 이미 일부 할부와 일시불을 납입했기에 최소한 2002년에는 목적을 다했습니다. 그럼 즉시 파기가 되어야 하는 부분이고, 다른 관계법률에 명시가 되어 있다고 하더라도 최대5년을 넘기지 않습니다. 신용거래에 대한 법률과 통신비밀보호법등에 5년으로 되어 있습니다. 그런데 아직도 해당 개인정보를 파기하지 않고 가지고 있다는 것입니다.


5. 이용자의 권리 주장


개인정보 침해로 인한 이용자의 권리를 주장하였습니다. 다음은 이용자 권리주장에 대한 내역입니다.

-4/13일 10시 29분 : H캐피털사 개인정보피해센터 1588-2114 상담원과 통화
                              최초 접수 상담원에서 다른 상담원으로 이전
-           11시18분 : 고객센터 매니져 분과 통화 29분간 위 사항을 지적하여 이야기함, 주요이야기 포인트는 다음과
                             같습니다.

1) 개인정보 침해 현황을 말해달라 - 잘 모른다.
2) 현재 필자의 개인정보가 누출되었는지 확인해 달라 - 잘 모른다.
3) 향후에 대응방안에 대하여 이야기 해달라 - 딱히 말씀 드릴 내용이 없다. 그럴위치에도 있지 않다.
4) 그럼 매니져분이 하실수 있는 액션은 ?  실제 책임있는 위분에게 말씀 드리겠다.
5) 그냥 이야기 하는 것만으로는 안된다 VOC를 하는 사람은 그 민원이 적용유무를 알고 싶다. 추후 진행 과정을 알려 줄수 있는가? 알려 주겠다. 어떤 수단을 이용할 것인가? 휴대폰으로 알려 주겠다. 하지만 어떤 판단기준을 명확히나 구체화는 단정 하지 못하겠다.

필자도 잘 알기에 매니져가 할일이 있고, 그 위에 책임있는 분이 할 일이 있습니다. 어쨌든 알려 달라고 하고 통화를 마쳤습니다. 필자의 이용자 권리주장은 다음과 같은 근거법령에 의하여 주장 하였습니다.

제30조(이용자의 권리 등) ① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다.

② 이용자는 정보통신서비스 제공자등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.

1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보

2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황

3. 정보통신서비스 제공자등에게 개인정보 수집·이용·제공 등의 동의를 한 현황

③ 정보통신서비스 제공자등은 이용자가 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 하여야 한다.

④ 정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다.

⑤ 정보통신서비스 제공자등은 제2항에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다.

⑥ 정보통신서비스 제공자등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람·제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.

⑦ 영업양수자등에 대하여는 제1항부터 제6항까지의 규정을 준용한다. 이 경우 “정보통신서비스 제공자등”은 “영업양수자등”으로 본다.

[전문개정 2008.6.13]





6. H캐피털 대응 방안

오늘 통화를 하면서 종합적으로 판단해 볼때 2005년 이전에 시스템 구축시 회원 아이디는 주민번호로 생성을 하였다고 합니다. 그때 당시에는 아이디라는 부분이 없다라고는 하지만 상식적으로 이해가 가지 않습니다. 또한 2005년 이후에 각 통지를 통하여 주민번호가 아이디화 되어 있으니 바꾸라는 통지를 했다고는 하지만 증빙이 불 명확합니다. 자꾸 변명하기에만 급급합니다.

현행법상 근거규정-정보통신망법

제32조(손해배상) 이용자는 정보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.[전문개정 2008.6.13]


고의 또는 과실이 없음을 입중하지 못하면 책임을 면할 수 없도록 규정하고 있습니다. 지금이라도 빨리 개인정보 유출 현황과 실제 필자처럼 주민번호가 아이디로 사용된 부분에 대하여 어떻게 대응할 것인지에 대한 대응책을 마련하여 제시를 해야 할 것입니다.

그렇지 못할 경우는 그에 따른 합당한 책임을 지셔야 할 것입니다. 개인정보의 주체는 개인이지 기업이 아니라는 점과 그것은 단지 개인정보를 개인정보의 주체인 '개인' 이 동의 했을때만이 가능한 것이지 위 상황처럼 임의로 가입을 시켜 개인정보의 오.남용과 유출을 가져 왔다는 것에 대하여 유감의 뜻을 표하는 바입니다. 이에 따른 공개적인 H 캐피털측의 입장 표명이 있으셔야 겠습니다. @엔시스.

* 혹시 신차구입시 H캐피털을 이용하신 2005년 이전에 분들은 반드시 사이트에서 확인해 보시고 댓글 주시면 감사하겠습니다.


 

신고
Posted by 엔시스

지난 주말에 모 캐피털에서 개인정보가 유출이 되어 일파만파로 번지고 있습니다.  잠시 짚어 볼수 있는 부분을 여러분들과 함께 공유해 보겠습니다. -편집자주



1. 고객정보 42만건 , 1만3천명 고객정보 유출 어떤것이 임팩트 있을까?
   

개인정보 유출 통계치 뻥튀기 하면 안돼~~


우리가 보통 개인정보유출에 대한 정보 보도는 경찰조사 결과에 따라 매체에 의존하여 접하게 됩니다. 그런데 대부분 개인 정보 42만건 이라고 하면 이것이 꼭 개인정보 42만명을 의미 하는것은 아니기에 이러한 부분을 두리뭉술하게 기술하기 보다는 정확한 통계를 짚어서 몇명의 고객정보가 유출이 되었는지를 조금 더 명확하게 제시 하는게 좋습니다. 실제 오늘 모 언론에서는 1만3천명에 대한 개인정보가 유출되었다고 명시한 매체도 있었습니다.




                                                        
 언론에서는 기사의 임팩트를 주기 위하여 42만건, 등의 건수를 통하여 기술하는 것인데 이러할 경우 제대로 통계화 하지 못하거나 해당 경찰의 추정치만 가지고 언론에 공개 하게되면 결국 다른 매체는 또 그 추정치를 쓰게 되고, 정확한 숫자를 가늠하기 어려울 것입니다. 그러니 기자분들은 해당 경찰이나 해당기업에 정확히 취재후 올바른 유출정보를 전달하는 것도 중요하다 하겠습니다.  1만3천명 이라고 하는것 보다 42만건이라고 하는것이 더 뉴스꺼리에 임팩트가 있지 않습니까? 건수와 건명은 확실히 다르다는 것을 기억해야 합니다.


2. 개인정보 유출 라이프 사이프 사이클 파악이 중요


보안사건 사고가 발생하는 경우에 위의 경우에는 개인정보 유출로써 해킹을 당하게 되면 결국 법적 책임소재를 가릴수 밖에 없습니다. 그럴경우에 비지니스 모델이 개인정보 라이프 사이클(Privacy Lifecycel)에 따라 어떻게 흘러가는지를 파악하는것이 우선입니다.  언론에서는 단순히 개인정보 유출되었다고만 했지..세부 구성을 파악하는 것이 아니기 때문입니다. 특히 개인정보에 대해서는 이러한 부분을 가리는것이 중요합니다.

  • 개인정보 3자 제공시
    • 개인정보를 수집시에 약관에 제3자 제공에 대한 부분을 명시를 하고 개인정보를 동의를 받게 됩니다. 하지만 대부분 일반인들은 개인정보 수집 동의시 약관과 개인정보 취급방침에 대하여 상세히 읽어 보지 않습니다. 여기서 말하는 제3자 제공이라고 하는것은 수집은 A라는 업체에서 했지만 개인정보를 수집 목적외에 B라는 업체에 제공하는 것을 동의 하는 경우를 말합니다. 이럴경우 법적 책임은 B업체에 관리 감독과 책임이 있습니다.  개인정보 수집 목적외에 사용될 경우입니다. 
  • 개인정보 위탁시
    • 개인정보 위탁시에는 개인정보 수집 목적과 동일하게 사용하는 경우로, 예를 들어 A쇼핑몰에서 물건을 구입하여 B택배회사를 통하여 배달을 받고자 할때 B택배 회사에 개인정보를 위탁하게 되는 것이죠. 이런경우에 개인정보 수집에 동의 할수 없다면 직거래 할수밖에 없는 것입니다.

최근에는 "정보통신 이용촉진 및 정보보호등에 관한 법률"을 개정하여 이러한 개인정보 수집시에 제3자 제공과 위탁에 대하여 동의 하지 않는다는 이유로 서비스를 제공을 거부 할 수 없는 개인정보 권한 강화를 위해 법을 개정한 바가 있습니다.


3. 보안 사건사고시 준수사항

우선 사건 사고가 발생을 했기 때문에 빠른 대응과 신속한 조치가 이루어지도록 TFT팀을 가동해야 합니다. 이것은 평소에 시나리오화 되어 있어야 합니다.

3.1 기업 측면

  • 업무 연속성계획(BCP)에 준하여 대외 언론 대응
    • 업무연속성계획(Business Continue Plain) 에 준하여 사고 대응 TFT팀을 가동하여 창구를 일원화 시키고 언론에 적절하게 대응을 하면서 정확하게 고객 정보 유출에 대한 대응을 해야 합니다.
    • 무엇보다 고객들의 혼란과 불안을 안정시키기 위하여 홈페이지 공지 및 현안에 대하여 최대한 신속하고 빠르게 대응을 해야 하며, 대응방안을 제시해 주어야 합니다.
  • 최고 책임자의 사과
    • 최고 책임자의 보안 사고에 대한 책임에 대한 사과를 먼저 하고 수습과 대응방안을 강구 하여야 합니다. 또한 고객의 피해를 최소화 하겠다는 의지를 표명하고 경찰의 협조에 적극 대응을 해야 합니다

3.2 개인 측면

  • 개인피해 최소화
    • 언론과 매체를 통하여 자신이 거래하고 있는 기업의 개인정보나 보안사고가 발생했다고 접하였을 시에는 빠른시일내에 관련 정보를 숙지하고 웹페이지의 경우 접속하여 비밀번호 변경등 1차적인 조치를 취하는게 좋겠습니다. 또한 조금 더 꼼꼼하신 분들은 동일한 패스워드로 다른 타 사이트에 그대로 적용을 하고 있다면 타사이트의 비밀번호도 전부 교체 해야 합니다.
  • 개인정보 권리 강화
    • 대부분 자신의 개인정보가 유출 되었다고 하더라도 너무 많은 학습을 통하여 이제는 흔히 일어날수 있는 일이라고 치부하는 경우가 있습니다. 하지만 무엇보다 개인정보 유출은 제2 제3의 사건 사고를 이어질 수 있으므로 자신과 상관 없다고 하여 관심 밖에 일로 두어서는 안됩니다. 직접적인 피해자는 어떠한 피해가 일어났는지를 요구 할 수 있고 알수 있는 권리가 있습니다.


4.  개인정보 유출에 따른 우리의 대응과제

  • 법의 준거성
    • 우리가 옳고 그름을 판단할때에는 감정으로 이루어지는 것이 아닙니다. 법치국가인 만큼 법을 얼마나 지키는가 아닌가에 대한 법의 준거성 측면을 강조 할 수 있기 때문에 이러한 개인정보 유출로 인하여 해외로 빠져 나가거나 중국이나 암거래 시장으로 흘러 들어가게 되면 국익에 반하게 되는 것입니다. 따라서 법적 최소한의 기술적,관리적 보호조치 의무를 다해야 할 것입니다.
  • 보안인식의 확대
    • 보안 사건사고가 한번씩 나고 나면 잠시 언론에서 반짝하다가 사라지는 경우가 비밀비재 합니다. 보안은 직간접적으로 우리 생활과 너무나 많은 부분이 접해 있기에 보안인식을 확대하고 종합적인 대책을 강구해야 할것입니다. 이런 사유로 늦었지만 '개인정보보호법' 이제 제정이 되었고, 9월에 시행만 남겨 둔 시점에서 또 다시 이러한 보안사건사고가 생기는게 안타까울 마음뿐입니다. 국민 모두가 보안인식을 생활화 하는데에 앞장을 서야 하겠습니다.
  • CEO의 보안에 대한 투자 확대
    • 이러한 보안사건 사고가 생기면 모두 해당 업무 담당자의 몫으로 돌리는 경우가 있는데, 실제 실무에서 해당 업무 담당자의 이야기들을 들어 보면 결구 보안은 비용이라는 이야기와 보안 투자에 인색하다는 이야기를 너무나 많이 듣습니다. 우스게 소리로 이런 보안 사고들이 일어나야 경각심을 가진다라는 말이 결코 우스게 소리로 들리지 않을 만큼 중요한 사안임에도 불구하고 현실은 안타깝기만 합니다.


결론

오늘 한 언론 기사에서 CEO가 고개숙이고 고객들에게 사과하는 사진 장면을 보았습니다.  보안 사고는 결국 회사 이미지 추락으로 가져 오게 됩니다. 주가도 하락이 되고 그에 대한 책임은 또 고스란히 최고 책임자인 CEO로 돌아 오게 됩니다. 보안 마인드를 가지고 있는 CEO인지 아니면 그렇지 않는 CEO인지에 따라 회사의 여러가지 신뢰에 성공 여부가 돌아 올 것입니다.

보안사고는 바로 표면적으로 돌아 오게 됩니다. 사이트가 다운된다든지, 고객정보가 유출되었다든지 ..하지만 고객들은 1차적인 책임은 해당 기업으로 화살이 가게 마련입니다.

조금 더 보안에 대한 투자와 보안업무를 담당하는 담당자의 처우개선과 보안에 대한 인식을 더 확대하는 일련의 조치가 취해지지 않는이상 이러한 보안사고는 끊임없이 일어나고 비난 받을 것입니다. 그져 강건너 불구경 하듯이 나만 아니면 돼라는 식으로 안일한 대처를 하다간 하루 아침에 신뢰도가 추락하고 보안에 투자한 비용보다 더 값진 비용을 치러야 할 것입니다.  

"보안은 성공 비지니스의 핵심입니다. "    -엔시스


신고
Posted by 엔시스

사업자를 위한 개인정보 질의 문답 자료입니다.

출처: kisa



신고
Posted by 엔시스

3/29일 어제 행안부 웹사이트와 관보를 통하여 개인정보보호법 공포가 되었습니다. 하나씩 법률적 절차에 따라서 진행이 되고 있는것이지요. 왜 우리가 개인정보보호법에 관심을 가져야 하고, 대응해야 할 자세는 무엇인지 생각해 보겠습니다. -편집자 주


어제 개인정보보호법이 공포가 되었습니다. 이제 6개월이 지나면 실제 시행에 들어가게 되겠습니다. 아직도 많은 분들이 혼란스러워 합니다. 하지만 차분히 개인정보보호법의 입법 취지와 배경을 이해하고 우리가 적극 대처해 나가야 하는것이 올바른 길이라 생각이 듭니다.

개인정보보호법 공포내용   http://bit.ly/hNXddp 


3/30일자 주요 언론매체 기사를 살펴 보겠습니다. 관련 글의 저작권은 해당 매체에 있음을 알려 드립니다.

 



주요 항목

1) CCTV 를 목욕탕이나 탈의실등에 임의로 설치 할 수 없게 되었습니다. 
    ; 실제 공공기관에 설치한 CCTV만 규제를 하였으나 이젠 민간이 설치하는 CCTV도 규제 대상이 되는 경우입니다.

2) 아이핀 의무도입 (공공,민간)
    ; 꼭 아이핀이라고 못 박을 필요는 없겠지만 주민번호 대체수단을 강구해야 합니다.

3) 법의 준용사업자 확대 -> 기존 50만에서 350만 사업자
   ; 준용 사업자분들도 이제는 관심을 가지셔야 합니다..그것이 남에 일이 아님을 아셔야 합니다.

4) 국회,법원,헌법재판소, 의료기관,협회,비영리단체
    ; 기존의 사각지대에 있던 개인정보를 확대 보호하게 됩니다.

5) 단체소송 허용
    ; 개인정보 침해시 단체소송 대상을 권리침해 행위, 중단, 정치 청구소송으로 제한 하여 실시.
      자칫 오해 하기 쉬운 부분이 개인정보에 대한 유,노출에 대한 피해 배상 단체 소송이 아님을 인지하셔야
     합니다.

6) 기타 개인정보위원회와 사무국 구성
     ; 장관급의 개인정보보호위원회가 구성이 되고 사무국이 만들어 집니다.

    
그러면 국민들은 어떻게 대비를 하고 준비를 하여야 할 것인가에 대하여 필자 나름대로 3가지 측면에서 고려하여 대응방안을 제시해 보겠습니다.

  • 개인
    • 우선 개인정보의 주체는 개인정보 자기결정권을 가지고 있는 "개인" 이라는 사실을 우리는 간과해서는 안됩니다. 이제는 법으로 명시가 되어 있고 , 그에 따른 처벌과 원칙이 있기에 자신의 개인정보 침해에 대한 권리를 주장 할 수 있게 되었습니다. 물론, 그정에도 '정보통신 이용촉진 및 정보보호등에 관한 법률'에 명시가 되어 있기는 하지만 조금 더 일반법으로서의 '개인정보보호법'이 가지는 의미가 크다 함으로 조금 더 관심이 증가 될것은 자명한 것입니다.
  • 기업과 CEO
    • 이러한 기업과 단체에서는 CEO의 '보안'에 대한 관심이 제일 우선입니다. 여러가지 개인정보보호 관련 컨설팅이나 정보보호관리체계 인증심사시에 담당자의 애로사항이 바로 의사결정권자의 무관심이거나 업무 우선순위에서 밀리는 것을 이야기 합니다. 기업의 경영자는 이제 보안에 대한 새로운 시각과 마인드 , 비용이 아닌 투자에 개념으로 접근하는 새로운 보안의 시각을 갖추지 않으면 이제 동종업계 타사와 또 다른 경쟁에서 뒤쳐지게 될 것입니다. 또한 보안에 대한 자금이 늘 문제이지만 한꺼번에 많은 투자를 하기보다는 중.장기적으로 한단계씩 진행을 하면서 고도화 하는 사업으로 가져가는 것이 올바른 결정이 될듯합니다.
  • 개인정보보호취급자
    • 가장 애로사항이 많은 업무 담당자라 하겠습니다. 우선 개인정보보호법 제정의 의미와 이해를 위한 노력이 필요하며, 자구책 마련에 최선을 다해야 할 것입니다. 또한 경영자는 개인정보취급자에 대한 배려와 인센티브 그에 따른 보상체계를 자체 마련하지 않는다면 결국 악순환을 반복하게 될 수도 있습니다. 또한 개인정보와 조직내에 구성원등은 많은 협조와 이해가 필요로 하는 부분이기도 합니다. 개인정보의 기술적.관리적 조치에 대한 이해도로 향상을 해야 하겠습니다.

개인정보보호법 시행되면 파파라치 활개 치지 않을까?

법의 준거성 측면에서 법의 준수 여부를 가지는 성질이다보니 앞으로는 개인정보취급방침이나 개인정보 저장 , 열람과 수정권 등 ..각종 여러가지 혼란스러운 부분들이 발생 할 수 있습니다. 이러한 사항들만 골라서 신고하는 파파라치들도 나타나지 않을까 우려가 됩니다.
 
이러한 부분을 최대한 방지하기 위해서는 다양한 보완책을 마련하여  업종별, 산업규모별, 베스트프랙티스를 만들어 인식 전파에 최선의 노력을 다해야 할 것입니다. 불합리한 것이 있으면 개정을 통하여 수정하고 법이라고 해서 반드시 법이 옳다고는 할 수 없습니다. 하지만 대부분 무관심이 불러오는 것은 또 다른 구속으로 다가 올 것입니다.

따라서, 많은 관심과 국가기관과 업계, 그리고 산학협력등에서 조기 정착을 할 수 있도록 다 같이 노력하고 힘써 개인정보보호법제정의 취지와 의미를 꼭 되살려야 하겠습니다.  @엔시스.

개인정보보호법 관련 포스팅

2011/03/09 - [Privacy Security] - [보안칼럼] 개인정보보호법 법사위 통과의 의의와 배경
2011/01/17 - [Privacy Security] - 개인정보 출력, 복사물 관련 보호조치 완화돼~~
2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향
2010/08/08 - [Privacy Security] - 개인정보보호법통과와 개인정보보호 감독 독립기구 설립 시급해
2010/04/11 - [Privacy Security] - [개인정보보호법] 제정으로 현재와 달라지는 점
2009/04/20 - [Privacy Security] - 우리동네에서 사업하는 삼촌, 개인정보보호 소홀로 처벌받을수 있어


*전주현의 개인정보보호길라잡이 : http://www.privacyguide.co.kr


신고
Posted by 엔시스

그동안 국회에서 표류하고만 있던 개인정보보호법이 오늘자 2011년 3월9일 법제사법위원회 법안2소위를 통과했다. 이로써 법안공포 6개월뒤부터 효력을 발휘하게 되었기에 9월부터는 개인정보보호법 적용이 이루어질 전망이다. 이에 따른 의의와 배경을 알아보자.


그동안 수차례 개인정보보호법에 제정에 대한 요구가 있었으나 여러가지 현안과 사건사고로 인하여 통과를 하지 못하고 오늘 법안2소위를 통과 하게 되었다.

개인정보보호법 관련 포스팅

2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향
2010/08/08 - [Privacy Security] - 개인정보보호법통과와 개인정보보호 감독 독립기구 설립 시급해
2010/04/11 - [Privacy Security] - [개인정보보호법] 제정으로 현재와 달라지는 점
2008/08/12 - [Privacy Security] - 개인정보보호법 제정 법률안 입법예고 -행정안전부
2008/04/30 - [Security Policy] - 개인정보보호법 연내 제정
2006/05/12 - [Privacy Security] - 개인정보보호法 시행 1년 일 기업은 지금


1. 이제는 더 이상 미룰수 없는 시대적 요구사항반영

개인정보보호법 제정에 의미는 시대적 요구사항이고 더 이상 미룰수 없는 현안 사항이기도 하였다. 또한 아래 포스팅 한바와 같이 이번 3.4 DDoS 공격이 또 한번 적절한 타이밍 역할을 한것이 아닌가 하는 필자의 추측도 든다.

2011/03/07 - [Lecture&Comlumn] - [칼럼] 3.3 DDoS 공격이 '개인정보보호법 제정'에 불씨를 당겨야

포스팅에서도 밝혔지만 이제는 더 이상 개인정보 사각지대를 둘수 없고 공공과 민간을 아우룰수 있는 개인정보보호법을 통하여 국민의 일반법으로서 개인의 소중한 정보를 보호해야 하는것이다. 중국 검색 포털에서 대한민국 주민번호가 그대로 노출이되고 금전적 거래를 하고 과도한 개인정보 수집으로 인한 유출의 피해는 고스란히 각 개인으로 또 다시 돌아오는데 제도권에서 가만히 있는다는 것은 아마도 통과되지 못했을 경우에 부담도 작용이 되었을 것이다.


2. 개인정보보호법 규제라는 성격보다는 개인정보를 보호해야 한다는 진흥의 관점으로 봐야

우선 법이라고 하면 규제의 성격이 강하다. 이것은 이래서 안되고, 저것은 저래서 안되고, 무조건 안되는 법적 규제의 성격으로 접근하기 보다는 개인정보의 소중함을 일깨우는 진흥의 개념으로 접근을 해야 한다. 무조건 배척하기보다는 오히려 법적준거성을 지킴으로 인하여 그외적인 부분에 있어서는 오히려 더 자유로울수 있지 않을까 하는 생각도 든다. 지금까지 처벌한 규정조차 없고, 근거 규정이 없어 불기소처분이되고 특히 오프라인 사각지대에 있는 수많은 업체들도 있었던게 사실이다. 우선은 그렇게 출발을 한다는 시점에서 환영 할만하다.

그렇다고 무조건 반길것만은 아니다. 법이라는 것이 해석상에 있어서 애매함이 있고, 대부분 법학자가 아니고, 또한 유권해석을 내림에 있어 애로 사항들이 있다.

또한, 법이 제정만 되었지, 각 부처별로 다양한 분야에 대통령령이나 시행,지침과 같은 세부안을 마련을 해야 하고 우선적으로 많은 관련 업체의 혼란을 방지를 해야 할 것이다.


3. 관련부처의 노력과 향후 대응 방안 마련

이렇게 개인정보보호법이 통과 되는것에는 그동안 여러 관련 부처에서 마음 고생 많이 했을것이다. 그리고 각종 준비도 많이 했지만 여러가지 이해관계에 걸려 보안에 관심 있는 한 사람으로서 많이 안타까움을 느꼈다. 그런 보이지 않는 부분에서 고생하신 분들에게 박수를 보내드리고 싶고, 이제는 국민들이 혼란 스럽지 않게 보다 체계적이고 활성화와 마찰이 생기지 않도록 준비에 만전을 기해야 할 것이다.

작년에 개인정보보호관련 강의와 pims 인증심사 교육, 그리고 다양하게 주변에서 개인정보보호에 대한 인식에 대하여 여러가지 의견을 청취할 기회가 있었는데 그분들이 요구하는 몇가지 주요 사안을 언급하고자 하니 관계자 분들은 참고 하시여 정책 수립과 운영에 도움이 되었으면 한다.

 

  • 개인정보보호법에 대한 이해력 부재 - 법의 유권해석과 준거성 문제
  • 개인정보보호에 대한 기술적 관리적 보호조치의 구체적 사례 - 모범사례 필요
  • 개인정보보호에 대한 범위문제 - 어디서 어디까지 보호 해야하는지를 잘 모르는 문제
  • 개별법에서 일반법으로 통합시 - 다시 개별법의 요구가 있을터, 준비마련 부재.
  • 개인정보보호 인식 부재 - 관련 업계와 담당자만 관심이 있지 나머지는 인식부재로 인한 협력 호소
  • 개인정보의 라이프 사이클 이해 부족
  • 개인정보 영향평가 확대 - 교육 필요
  • 개인정보보호 담당자의 처우 문제 - 업무 과중으로 인한 담당자 기피 현상 (인센티브 확대 -중요한 문제)
  • 개인정보보호법 시행후 파파라치 생길 우려성 제기
  • 중소비지니스 영세업체 어떻게 대처해야 하는가? 등등

 

마무리

아무튼 , 이제 주사위는 던져졌고, 지난번 국내 최대 보안커뮤니티 보안인닷컴(http://www.boanin.com) 에서 어떤분은 개인정보보호법 제정에 따른 불만을 표출하고 이의를 제기하기도 하는 모습을 보았다. 하지만 시대의 요구를 거스를수는 없고, 그동안 개인정보 유출에 따른 여러가지 부작용과 국익으로 생각해 본다면 지금이라도 표류하지 않고 통과된것이 어쩌면 다행일지도 모른다. 2011년 앞으로 많은 변화가 예상되는 만큼 각 조직과 기업에 보안담당자, 개인정보보호담당자, 처리자, 취급자는 조금 더 개인의 업무에 있어서 스킬업을 시켜야 할 것이고, 일반 국민이나 관련이 없는 사람도 많은 것에 협조와 이해를 해 주어야 올바른 초기 시행에 혼란을 주지 않을 것이다.  대한민국이 정보보호 후진국이라는 소리를 듣지 않고 글로벌 시대에 앞서 가려면 그만큼 많은 이해와 노력이 필요로 하는 법 제정임에는 틀림이 없다. 개인정보보호법 제정으로 인하여 국민의 보안인식제고와 마인드가 한층 더 업그레이드가 되는 계기가 되길 기대해 본다.  @엔시스.





신고
Posted by 엔시스

관리체계를 수립하고 최종 KISA에서 인증하는 인증심사를 통과를 해야만 인증서가 발급이 됩니다. 제3자의 외부 전문가의 객관적 시각을 통하여 점검을 해 보는 것이죠.




인증 심사에서 주로 심사하는 관점은 3가지로 정리가 될 수 있습니다.

  • 관리과정의 적절성 - 관리과정의 전반적인 적절성과 체계성을 심사.
  • 위험관리 - 위험관리를 통하여 선택된 정보보호대책들이 정확히 구현 되고 사후 관리가 되었는지를 심사.
  • 법의 준거성 - 관리체계 수립시 관련 법률과 제도에 근거한 법의 준거성 측면에서 심사.


아마도 이러한 3가지 측면에서 인증심사를 진행 하게 됩니다. 특히 관리체계의 적적성이란 전문가들 사이에 의견도 달라지고 환경 변화에 따라 변할수 있기 때문에 , 관리체계를 위한 적절한 조직,절차, 방법들이 사용되고 이들이 체계적으로 관리되는지를 보는 것이죠.

따라서, 인증심사시 허점을 찾아내기 보다 전체적인 틀과 운영상태를 중요하게 심사하게 되고, 단기적, 중기적 , 장기적 마스터 플랜을 세워 어떻게 체계적으로 관리해 나갈 것인가에 대한 의지도 중요한 포인트 중에 하나일 것입니다.

예를들어 전산실의 물리적 보호조치가 미흡하여 결함사항이 도출이 되었다고 하면 , 이미 해당년도 예산은 결정이 되어 있고 , 당장 투입할 예산이 없는데도 결함사항을 주어 그것을 보완조치하라는 것은  피 인증 심사기관으로도 힘든 부분일 것입니다.

이럴땐 실무담당자에게 중장기적인 계획을 수립하는 방안을 검토하게끔 조언을 주고 차년도 사후관리 심사시에 적용될 수있는 방안을 권고를 하고 차후 사후관리 심사시에는 반드시 이행 여부를 확인하여 , 보안 관리를 점점 강화해 나갈수 있도록 하는 것이 관리체계의 근본적인 취지일 것입니다. 또한 그것이 심사원의 심사 스킬이 아닌가 생각을 해 봅니다.

무조건 허점을 찾아 단기간 보완조치 하기 힘든 것을 결함을 준다면 실무 담당자는 오히려 더 힘들게 할 수도 있고 관리체계의 어려움을 호소 할 수 있기에 , 그 취지에 벗어날 수 있지 않는가 하는 생각도 해 봅니다.

예외는 있습니다. 실무 담당자가 의사결정자에게 관리체계의 외부 심사원으로부터 심사를 받고 결함을 도출하여 힘을 실리게끔 지원 사격을 원하는 경우가 있습니다. 이럴땐 의사결정자의 마음을 움직여야 함으로 종료보고회의때 실무담당자에 힘도 실어주고 의사결정자의 정보보호에 대한 인식제고도 시킬 겸 적절하게 수위 조절 하여 긴급 보완조치를 취하여야 한다는 당위성을 설명해 주는 것도 좋은 방법중에 하나라 생각합니다.

어떠한 경우 동일한 사업장에 인증심사를 나가보면 작년보다는 올해에 위험관리가 잘 되어 있어 그 취약점을 점점 제거해 나가고 보안이 강화되는 것을 보면 인증심사원으로서는 뿌뜻함을 느끼게 되는 경험도 느끼게 됩니다.  @엔시스.


신고
Posted by 엔시스

개인정보보호법에 대한 관심이 많은 가운데 방송통신위에서 "개인정보 기술적.관리적 보호조치"를 일부 개정 하였다. 




개정된 내용을 신.구문표를 비교하여 살펴 보자

신‧구조문 대비표

현 행

개 정 안

제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.

1. ~ 2. (생 략)

<신 설>

 

 

 

 

 

 

3. ~ 10. (생 략)

제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.

1. 2. (현행과 같음)

2의2. “내부관리계획”이라 함은 정보통신서비스 제공자등이 개인정보의 안전한 취급을 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획을 말한다.

3. ~ 10. (현행과 같음)

제3조(내부관리계획의 수립․시행)개인정보 보호 조직의 구성 및 운영은 다음 각 호의 사항을 포함하여야 한다.

 

1. 5. (생 략)

② 정보통신서비스 제공자등은 다음 각 호의 사항을 포함하는 개인정보보호 교육 계획을 수립하여 개인정보관리책임자 및 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야 한다.

1. 3. (생 략)

③ 정보통신서비스 제공자등은 제4조에서 제8조까지의 보호조치 이행을 위한 세부적인 추진방안을 마련하여야 한다.

제3조(내부관리계획의 수립․시행)정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호 조직을 구성․운영하여야 한다.

1. 5. (현행과 같음)

② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보관리책임자 및 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야 한다.

 

1. 3. (현행과 같음)

③ 정보통신서비스 제공자등은 제1항 및 제2항에 대한 세부 계획, 제4조부터 제8조까지의 보호조치 이행을 위한 세부적인 추진방안을 포함한 내부관리계획을 수립․시행하여야 한다.

제8조(출력․복사시 보호조치) ① (생 략)

② 정보통신서비스 제공자등은 개인정보취급자가 개인정보를 종이로 인쇄하거나, 디스켓, 콤팩트디스크 등 이동 가능한 저장매체에 복사할 경우 다음 각 호의 사항을 기록하고 개인정보관리책임자의 사전승인을 받도록 조치한다. 출력․복사물로부터 다시 출력 또는 복사하는 경우도 또한 같다.

1. 출력․복사물 일련번호

2. 출력․복사물의 형태

3. 출력․복사 일시

4. 출력․복사의 목적

5. 출력․복사를 한 자의 소속 및 성명

6. 출력․복사물을 전달 받을 자

7. 출력․복사물의 파기일자

8. 출력․복사물의 파기 책임자

③ 제2항의 의한 출력․복사물에는 정보통신서비스 제공자의 명칭 및 제2항제1호의 일련번호를 표시한다. 다만, 우편발송, 고지서 발급 등을 위하여 개인단위로 종이에 인쇄하는 경우는 일련번호를 표시하지 않아도 된다.

④ 개인정보관리책임자는 제2항의 사전승인을 함에 있어 제2항 각 호의 사항이 법에 위배되는지 여부를 확인하고, 개인정보취급자가 출력․복사물을 불법 유출하면 법에 따라 책임을 지게 됨을 승인받고자 하는 개인정보취급자에게 주지시킨다.

제8조(출력․복사시 보호조치) ① (현행과 같음)

② 정보통신서비스 제공자등은 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외부 저장매체 등 개인정보의 출력․복사물을 안전하게 관리하기 위해 출력․복사 기록 등 필요한 보호조치를 갖추어야 한다.

 

 

 

<각 호 삭제>

 

 

 

 

 

 

 

 

<삭 제>

 

 

 

 

 

 

<삭 제>

 

 


가장 눈에 띄는 출력, 복사물에 대한 사항으로 기존에는 상당히 강화되고 엄격화 되었는데 지금은 필요한 조치를 갖추어야 한다라고 규정하고 있다.

조금 완화된 느낌은 좋은데 자칫, 너무 구체적이지 못하여 혼란이 올 수 있지 않을까 하는 생각도 있다. 하지만 중요한 것은 규제보다는 스스로 개인정보를 소중하게 취급하고 다룰수 있게 함께 동참하자는 의미가 크기 때문에 조금 완화된 느낌으로 적절한 조치를 취하는게 좋겠다. 

개인정보보호 기술적.관리적 보호조치 자료를 같이 첨부 하니 참고 하길 바랍니다.




신고
Posted by 엔시스

개인정보관계상 일부만 오픈합니다.



개인정보보호법 제정을 앞두고 많은 분들이 개인정보보호법과 시행에 관심을 두고 있는 가운데 PIMS(개인정보보호관리체계) 인증심사원에 위촉이 되었습니다.

보안은 관심에서 시작이 된다라고 생각합니다. PIMS 교육 받기까지 약간의 우여곡절이 있었지만 무엇보다 중요한 것은 위촉이 아니라 실질적인 행동과 인식제고에 기여를 하여야 한다고 생각을 합니다.

저는 다음과 같이 3년동안 활동할 계획입니다.

 

  • PIMS 인증심사원으로서 자질함양과 지식축적에 심혈을 기울일 예정입니다. 무엇보다 중요한 핵심 키워드 중에 하나입니다.
  • PIMS 에 대한 전반적인 이해를 하고 PIMS 제도 확산에 기여를 하겠습니다. 그 가운데 제가 할 수 있는 것은 블로그를 통하여 연구하고 학습한 내용을 다른 분들과 공유하는 것입니다.
  • 개인정보보호법에 대하여 보다 많은 이해와 그것을 필요로 하는 분들에게 조금 더 쉽게 다가 갈수 있도록 이해의 폭을 넓혀 많은 실증 사례를 연구 해 볼 예정입니다.
  • 산업별 사례 연구를 해 볼 생각입니다.


ISMS와 PIMS - 국내 관리적 보안의 중심

국내에서 시행되는 관리적 보안에 대표적인 사례는 ISMS(정보보호관리체계)와 향후 시행이 될 PIMS가 있습니다. 이러한 관리체계를 공부하고 연구하고 프레임워크를 만들어 본다는 것은 과거에 주먹구구식에 지나지 않았던 보안을 조금 더 체계적인 관리를 통하여 기업과 조직에 한단계 업그레이드 시키는 일입니다. 그러한 점에서 스스로 많은 노력을 하려고 합니다.

  • ISMS : 자산이 우리 조직과 우리기업의 것으로, 자산의 가치를 산정하여 보안 위험으로부터 보호 하려는   데 목적이 있습니다. 잘 체계적으로 관리하고 보호조치 함으로 인하여 우리 기업에 신뢰와 이미지 향상에 도움이 됩니다.
  • PIMS : 개인정보는 정보주체의 '개인정보자기결정권'의 하나로 기업이나 서비스 사업자가 고객의 정보를 동의를 얻어 수집하여 이용,저장,제공,파기의 단계를 거쳐 (생명주기) 어떻게 하면 효율적이고 보호조치를 잘 할수 있을 건지에 대한 방어적 조치 개념이라 본다면 그 출발 사상부터 틀리기에 둘 모두를 경험 할 수 있는 좋은 기회인듯 합니다.

 
개인정보보호법과 기타 관리적 보안제도 정착을 위해선

법과 제도 정착을 위해선 관련 기관과 정부, 그리고 무엇보다 일반 국민들의 관심과 지지가 있어야 하며 이러한 법률과 제도는 규제의 대상이 아닌, 정보주체로서 개인정보를 보호 하고 과거의 개인정보 유출로 인한 경제적 , 정신적 피해를 막고자 함이며, 또한 공공과 민간을 아우르는 일반법으로서 많은 관심을 가져야 합니다. 국민의 각자  소중한 개인정보를 지키는 자신의 법이라 생각하고 한번쯤 귀기울일때가 아닌가 생각해 봅니다. 더욱 열심히 노력하겠습니다.  @엔시스.

신고
Posted by 엔시스

2010년 올 한해 개인정보보호에 대한 부분은 개인적으로 많이 접하게 되었는데 연내가 가기 전에 PIMS 관련 도입 입장을 방통위에서 공식 발표를 하였네요. 아마도 개인정보보호법 법안 소심사위 통과후 개인정보보호법 제정의 최종 국회 통과후 후속조치로 적용이 되지 않을까 생각이 듭니다.

하지만 법과 상관없이 개인정보보호를 어떻게 잘 관리하고 체계적으로 정책을 수립하고 관리적,물리적,기술적 보호조치를 취할 것인가에 관점으로 접근 한다면 이제는 소중한 개인에 대한 정보 즉, 개인정보는 기업의 자산이 아니라 정보주체로서 개인정보자기결정권이라는 권리를 가질수 있는 하나의 개인의 권리주체로서 정보이며, 기업이 당연히 보호해야 하는 것중에 하나의 제도 정책이 아닌가 하는 생각을 해 봅니다. 그런 토대 마련이라고나 할까요.

다음은 방통위에서 다음과 같은 보도자료자료 일부입니다.

방송통신위원회(이하 방통위)는 계속되는 개인정보 대량 유출 사고를 방지하고 기업의 사회적 책임을 강화하기 위한 일환으로 기업 스스로 고객의 개인정보를 보호할 수 있는 관리체계를 수립하여 지속적인 보호활동을 수행할 수 있도록 "개인정보보호 관리체계(PIMS) 인증제" 도입을 의결하였다.

※ PIMS(Personal Information Management System) : 개인정보보호 관리체계

“개인정보보호 관리체계 인증제”란 개인정보를 취급하는 기업이 전사차원에서 개인정보 보호 활동을 체계적?지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 것으로, 고객의 개인정보 보호를 위해 필요한 법적인(정보통신망법 등) 요구사항을 포함한 총 3개 분야 119개 통제항목에 대한 점검 과정을 거치게 된다. 특히 인증제도의 신뢰성과 공정성 확보를 위하여 방송통신위원회가 인증제를 직접 관리?감독하고, 한국인터넷진흥원이 인증 신청 기업의 심사를 수행할 예정이다.

방통위 관계자는 “인증제도 도입으로 법률에 명시된 최소한의 보호대책만으로 개인정보 침해사고 방지에 어려움을 겪었던 기업들에게 체계적 개인정보 보호활동을 위한 세부 기준과 방법이 제시되었으며, 국민들에게는 개인정보를 안전하게 관리하는 기업을 객관적으로 식별할 수 있는 기준이 마련되었다는 점에서 의미가 크다”고 밝혔다.

또한 방통위는 12월중에 사업자를 대상으로 인증제 설명회를 개최할 계획이며, 인증 신청 및 심사는 2011년부터 수행할 예정이다.
출처: http://www.kcc.go.kr/user.do?boardId=1042&page=P05030000&dc=K05030000&boardSeq=29997&mode=view





PIMS (Personal Information Management System) 개인정보보호관리체계는 고객의 개인정보 보호를 위해 필요한 법적인 (정보통신망법등) 요구 사항을 포함한 총3개 분야 119개 통제 항목에  325개 세부통제항목에 대한 점검 과정을 거치게 됩니다..

  • 관리과정 요구사항
  • 보호대책 요구사항
  • 생명주기 요구사항

3개의 영역을 잘 파악하면 도움이 되리라 생각이 듭니다. 특히 보도자료 마지막 부분에 '11년 6월경에 PIMS 인증심사원 양성 교육을 계획 하고 있어 개인정보보호에 관심 있는 분들의 좋은 기회가 되지 않을까 생각이 듭니다.

또한 관리체계를 통한 주먹구구식의 개인정보에 대한 부분이 체계화되고 , 개인정보보호 기술적 .관리적 보호조치를 취함으로 인하여 고객의 개인정보를 더 소중히 여길수 있는 좋은 인증 제도로 거듭나지 않을까 생각이 듭니다. 아무튼 좋은 제도로 거듭나길 기대해 봅니다. 보도자료 같이 첨부해 올립니다.  @엔시스.



신고
Posted by 엔시스

개인정보보호관리체계(PIMS) 인증심사원으로 위촉이 되었습니다. 




앞으로 개인정보보호에 대한 다양한 사례를 접하게 될 듯 하고 그러한 지식은 제 블로그를 방문하시는 분들과 개인정보보호의 지식을 함께 공유하도록 하겠습니다...^^;;

어제에도 잠시 모임이 있어 그 곳에서 관련 내용을 이야기 했더니 정말 아무도 잘 모르더라는 생각이 들었습니다. 아마도 관련기관과 개인정보보호관리체계 인증심사원 분들이 많은 교육과 지도
정보를 공유하여 널리 퍼질수 있도록 노력을 해야 겠습니다.

사실,저도 해보니까 그리 만만한 일은 아니라는 생각이 듭니다.
앞으로 더 노력 하도록 하겠습니다.

전주현 올림.



신고
Posted by 엔시스

 

[행정안전부] 민간사업자를 위한 개인정보보호 전문교육-부산

 

행정안전부와 한국인터넷진흥원에서는 내년에 새롭게 제정되는 개인정보보호법 의무사항의 이해를 도모하여
기업의 개인정보보호 역량강화에 도움이 되고자  10/26(화) 부산에서 개인정보보호 순회교육을 실시합니다.
 
내년도 법 시행에 대비하여 해당 지역의 사업자분들이 필수적으로 준수해야할 사항이 교육될 수 있도록
교육에 참석 하시면 지역에 있으신 분들은 많은 도움이 되겠습니다.

 

------------------교육 개요----------------------------------------
1) 대상 : 기업내 책임자 및 업무 담당자
 
2) 권역별 교육 일정

- 영남권 : 10. 26(화) 14:00 ~16:30. 국제신문 문화센터
- 제주권 : 10. 27(수) 14:00 ~ 16:30, 제주벤처마루 4층
- 호남권 : 10.29(금) 14:00 ~16:00, 정부광주 합동청사
 
 
3) 교육 내용
- 사례 중심의 개인정보보호 관리방안
- 새롭게 제정되는 개인정보보호법 주요 내용 안내 등
 
4) 교육 신청
- 기간 : 2010. 10. 13(수) 부터
- 신청 방법 : 인터넷 또는 전화, 이메일
- 인터넷 : http://privacy.kisa.or.kr/edu2
- 전화 : 02-405-4712/ 4841
- 이메일 : mskim@kisa.or.kr/  maryj@kisa.or.kr

 

====================================================

 자세한 내용은 위 링크를 참고 하시면 되겠습니다..^^;; 나도 가 봐야 하나..? 어쩌나?



신고
Posted by 엔시스

"개인정보보호관리체계(PIMS) 조기정착과 심사원의 역할 "  - 보안뉴스에 기고한 내용입니다.

보안뉴스 : http://www.boannews.com/media/view.asp?page=1&gpage=1&idx=23330&search=&find=&kind=0

========================================================




원문

정보보호관리체계(이하 ISMS) 인증심사원 활동을 시작한지 3년이라는 시간이 흘렀다. 기업 업무에 집중을 하다보면 많은 인증심사를 할 수는 없지만 나름 시간을 할애하여 인증심사에 임하다보면 정보보호관리체계에 대한 전반적인 프레임워크를 다시한번 점검해 볼수 있고,인증기업은 최초심사시 보다 사후관리나 갱신심사시에 더욱 보안이 강화된 이행 증적사항을 검토하고 있노라면 인증심사원으로서는 결함사항을 발견하려는 노고는 따르지만 한편으로는 ISMS 원래 취지에 부합하는 것 같아 자긍심도 느끼게 된다.


ISMS와 PIMS의 차이점

필자는 얼마전 개인정보보호관리체계(이하 PIMS)인증 심사원 양성교육을 이수하게 되었다. 개인정보보호관리체계(PIMS) 인증심사를 하기 위한 심사원 양성교육인 셈이다. 기존 ISMS인증심사원들과 개인정보보호담당자, 컨설턴트등을 일정비율로 선발 하였다고 한다. 들리는 후문에는 이번 교육과정생 선발도 상당한 경쟁률이 있었다고 한다.


혹자는 ISMS와 PIMS의 차이점이 무엇인지 잘 모르고 그냥 ISMS에서 개인정보보호쪽에 조금 특화된 관리체계가 아닌가 하는 생각을 할지 모른다. 하지만 ISMS와 PIMS는 조금 담고 있는 배경 사상(?)이 틀리다고 볼수 있다. 그럼 한번 가볍게 살펴보자.


ISMS는 자신의 조직이나 기업에 자산을 식별하고 식별한 자산에 대한 취약성 점검과 위험평가를 하고 위험도를 산정하여 위험도가 높은 자산에 대한 보호조치를 우선하는 것은 당연한 것이다. 이런측면에서 볼 때 ISMS는 기업 자산에 대한 보호조치를 위한 관리체계인 셈이다.


하지만, PIMS는 즉, 기업에서 수집하는 개인정보의 주체는 기업이 아닌 개인정보를 제공하고 있는 개인이 주체라는 점에서 접근하는 방식이 ISMS와 다르다는 것을 인지하여야 한다. 따라서 개인정보를 수집하는 쪽에서는 반드시 개인에 대한 동의를 얻어서 이용해야 하는 것은 어쩌면 당연한 것이다.


이러한 개인정보보호에 대한 관리를 체계적으로 하는 것이 개인정보보호관리체계(PIMS)에 대한 최우선 목적이다. 기존 ISMS와 중첩되거나 유사한 부분이 다소 있으며 이러한 부분은 상호인증을 통하여 일부 면제하거나 융통성을 발휘 할수 있을 것이다.


PIMS의 핵심은 개인정보보호 생명주기

사람이 태어나서 죽을때까지 주기를 라이프사이클(Life cycle)이라 한다. 마찬가지로 개인정보도 개인정보가 태어나는 것은 아니지만 개인정보 수집에서부터 이용,저장,파기에 이르는 개인정보생명주기는 ISMS와 차별점이 되는 개인정보보호관리체계에 핵심부분이 될 것이다. 이는 인증심사원으로 인증심사시에 기업과 조직에서 개인정보의 흐름이 어떻게 흘러가는지를 빨리 이해를 하여 개인정보 라이프 사이클을 파악하는 것이 관건이라 할 수 있겠다. 이러한 부분은 PIMS 인증심사원이나 개인정보취급자 모두 잘 알고 있어야 하는 사항중에 하나이다.


PIMS제도가 보다 조기 안착하기 위해 모두가 노력해야

ISMS나 PIMS 모두 권고 사항이지 의무화 사항은 아니다. 보안이라는 측면에서 해도그만 안해도 그만이라는 인식이라면 굳이 할려고 하지 않는 심리가 기저에 깔려 있다. 조기 PIMS 제도 정착을 위해서라도 각 부문별 역할을 제안해 보기로 한다.


1) 보안업계

-개인정보보호에 대한 테스크 포스를 구성해서 전문 역량을 강화한다.

-개인정보보호에 대한 컨설팅 사업을 강화 한다.

-기술적,관리적 보호조치로 인한 솔루션 판매 전략을 수립한다.

-개인정보보호솔수션에 대한 마케팅, 홍보를 하고 확대하고 보급한다.

-개인정보보호관련 인재 양성 및 인력을 확보한다.

-개인정보보호 컨설팅 인력은 개인정보관련 법과제도 운영에 대한 지식을 습득한다.

-개인정보보호에 대한 잘 구축된 사례를 발굴 벤치 마킹하여 컨설팅을 한다.

-자사만의 개인정보보호 컨설팅 방법론을 마련한다.


2) 개인정보보호 관련 기관과 주무부서

-개인정보보호에 대한 규제보다는 교육을 통한 개인정보보호의 중요성 확산

-이에 따른 주기적인 교육 (지역별 , 산업별, 대중소규모별)

-온라인을 통한 각종 개인정보보호 동영상 홍보 활용

-개인정보보호 우수 기업이나 사이트에 대해서는 그에 따른 인센티브 적용

-개인정보보호관리체계(PIMS)인증 활용과 확산 및 교육

-규제적인 성격보다는 필요성을 위한 교육, 베스트프랙티스 및 사례 발굴

-각종 컨퍼런스와 세미나 활발하게 열어 저변과 인식의 확대

-서울수도권 중심의 교육및 확산이 아닌 전국중심 개인정보보호 교육 확대

-개인정보보호 캠페인

-개인정보보호 홍보대사 위촉

-각종 커뮤니티등을 활용한 개인정보보호의 중요성 전파

-개인정보보호 우수사이트 인증 마크 부여

-개인정보보호관리사 자격증 확대 보급 및 인센티브 부여 (전국시험 준비)

-각 개인정보 담당자, 취급자,책임자,관리자의 개인정보보호에 대한 대응방안모색


3) 개인정보보호 취급자, 담당자, 관리자, 책임자

-개인정보보호에 대한 법과 제도 운영을 이해를 한다.

-관련 교육이 있으면 우선적으로 교육을 받는다.

-기존 정보통신 이용촉진 및 정보보호등에 관한 법률과 공공기관 개인정보보호에 관한 법률을 살펴 본다

-개인정보보호법에 대한 기존 발의안을 살펴본다.

-개인정보 기술적,관리적 보호조치에 대한 이해를 한다.

-동종업계 개인정보보호 우수사례를 벤치마킹하고 우리 조직에 맞는 방법론을 찾아 본다.

-개인정보보호 전문업체 컨설팅을 받는다.

-개인정보보호에 대한 법의 준거성을 이해하고 자사에 긍정적인 효과를 극대화 하도록 노력한다.


개인정보보호법이 법안소심사위를 통과하였고 추후 공포가 되고 법이 시행이 되면 일반법으로서 민간과 공공을 아우르는 일반법적인 성격을 지니게 된다. 이러한 측면에서 법관련기관이나 비영리사이트, 동창회, 각기관 인사부서까지 개인정보를 취급하는 모든 곳이 법에 적용이 됨으로 인하여 법의 사각지대가 사라지는 것이 무엇보다 개인정보보호법 제정의 큰 취지이다.


이러한 측면에서 한단계 더 나아가 개인정보보호를 조금 더 체계적이고 기술적,관리적 보호조치를 잘 할 수 있는 개인정보보호관리체계(PIMS)의 역할은 더 확대되고 처음 진입장벽을 낮추어 많은 곳에서 관심을 가지고 기업과 조직의 개인정보보호에 만전을 기할 수 있는 제도로 정착이 되길 기대해 본다. 그렇게 하기 위하여 PIMS 인증심사원은 다양한 지식과 사고로 심사원으로서의 자질과 품위를 가지고 보다 PIMS의 저변 확대와 보급차원에서 심혈을 기울여야 할 것이다.

[글·전주현/CISSP협회 이사(보안인닷컴 운영자)/ sis@sis.pe.kr]


신고
Posted by 엔시스


지난 10월6일부터 8일까지 PIMS(개인정보보호관리체계: 이하 PIMS) 인증 심사원 교육이 서울 강남 AKIS 교육장에서 있었습니다.

PIMS 관련해서는 첫번째 교육으로 관련 노하우와 경험이 많으신 분들이 참석 하셔서 향후 개인정보보호관리체계에 대한 전망은 밝을 것이라는 생각이 들었습니다.

인증심사 교육프랭카드

 

특히 이번 교육은 '개인정보보호법' 통과로 인한 다양한 분야에 계신분들의 관심을 가지고 있고, 향후 이러한 개인정보보호관련체계를 인증 심사를 하는 심사원 양성이라는 측면에서  수업을 허투르 들을수 없었고, 관련 교육생분들도 한분도 졸거나 잡담하는 모습이 없이 진진하게 교육에 임하는 태도에서 이번 교육에 중요성을 인지 할수 있었습니다.

비록, 지방에서 올라가 잠자리와 식사가 편하지는 못하였지만 오랜만에 받는 교육이라 지적 충만감은 밤 늦게 내려오는 KTX안에서도 피곤함을 잊게 하였습니다. (교육생 가운데 유일한 지방에서 올라간 사람 T.T..) 이젠 대전에서도 출퇴근 하시더군요. 부산에서도 출퇴근 하는 날이 올까요?

1차2차로 나누어진 인증심사 양성 교육에서 차후 PIMS 관련하여 인증심사를 맞이 하게 될텐데 각자 교육후 자신의 역량에 매진하여 인증심사원으로서 자질과 품위를 유지하는데에 노력할 필요가 있으며 모자란 학습은 반드시 다시 숙지하여 궁금증이 많은 개인정보보호 담당자분들로 하여금 많은 질의와 궁금증을 해소시켜야 할 의무가 있을 것입니다.

기존에 ISMS는 IT관련 기업이나 원격대학에서 많은 관심을 갖었다면 PIMS는 제조,유통,의료,공공등 다양한 분야에 계신분들이 관심을 가지리라 생각을 합니다.

혹시 조금 더 자세한 내용을 원하시는 분들은 아래 링크를 참고 바랍니다.

2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향

1) 개인정보보호에 대한 법 및  제도 운영 특징 

가) 개인정보보호의 특징

   - 무엇이든 그렇듯이 법과 제도 운영에 있어 가장 기본이 되는 것은 바로 '법의 해석' 입니다. 특히 유권해석이 필요한 부분은 다양한 경험을 통하고, 관련 전문가에 자문을 받아 케이스 바이 케이스를 학습하는 것이 좋겠고, 관련 법 조항이나 시행령, 규칙, 조례,지침, 고시등은 반드시 살펴 봐야 하는 부분들입니다.

- 따라서, 점검해야 할 사항과 법 해석에 있어 논란에 여지가 있는 부분들은 구체적이고 명확한 법적 근거제시가 중요하며 많은 학습이 필요하다는 생각이 들었습니다.

- 개인정보보호 생명주기 (Life cycle) : 개인정보보호도 사람과 마찬가지로 하나의 공통된 사이클이 형성이 되는데 이것을 개인정보보호 생명주기라 합니다. 사람은 태어나지만 개인정보는 수집단계를 시작하여 이용,저장, 파기까지의 일련의 사이클로 형성이 되는데 각 주기마다 개인정보에 대한 특성을 이해 하는 것이 중요합니다. 이러한 이해에는 반드시 예외 조항이 있어 예외 조항과 기존의 법리적 해석..그리고 법의 준거성 측면에서 이해 하는것도 중요하겠습니다.


나) 이젠 보안전문가도 법과 제도운영 알아야 프로페션얼

- IT보안전문가 < 법률 전문가

개인정보보호를 한다는 것은 결국 법과 제도 운영에 이해가 많아야 하며 이러한 부분에 있어 법을 전공한 사람이라면 더욱 장점이 있지 않을까 하는 생각도 됩니다. 그 중심에 있는 "정보통신망법"과 "공공기관에 관한 개인정보보호법률"등이 있겠지요. 그 이하 법률->시행령->고시 순으로 되겠지만 아무튼 기술적 보안에 치우친 분들은 법의 용어나 유권해석에 있어 애로사항이 있을수도 있겠습니다. 하루 빨리 적응이 필요 한듯 합니다.

- 법률전문가 < IT보안전문가

이렇게 조금은 법률적 제도적 측면에 기울어진 보안은 법률제도 운영에 노하우가 있는 분이 강점이 있을테고 기술적 보안에 강점이 있는 경우에는 기술적 보안에 이점이 있겠지만 결국 컨버전스 되는게 아닌가 하는 생각이 듭니다.


- 법률 = 기술 같이 할수 있는 전문가

이젠 법전공 하신분이 기술적 보안을 한다든지. 아니면 기술적 보안을 하신 분이 법을 공부한다라고 하면 결국 진정한 보안전문가는 법과 제도를 함께 아우르면서 기술적인 부분을 해결해 나가는 것이 진정한 프로페션얼한 전문가가 아닌가 하는 생각을 해 보았구요.

하나의 조직은 어떠한 정책에서 출발하여 보안도 거버넌스적인 측면에서 비지니스에 영향을 미칠수 있다는 전문가의 설득이야말로 진정한 보안에 중요성을 일깨울수 있는 전문가가 아닌가 생각해 봅니다.

마지막으로 느낀점은 개별법으로 산재되어 있어 법의 사각지대를 메울수 있는 부분은 충족 할수 있겠지만, 너무 다양한 분야를 아우룰려면 때로는 또 전문적인 개별법이 또 필요한 시점이 있지 않을까 하는 생각도 해 보았습니다.

우선은 개별적 이익보다는 개인정보보호의 법의 사각지대를 없애는 공공의 목적이 더 큰 만큼 관련 분야 전문가분들이 힘을 합쳐 규제의 대상이 되는 힘겨운 법이 아니라, 반대로 생각하면 법의 요건만 충족하면 마음대로 비지니스 할수 있는 하나의 기회로 삼을 수 있는 오픈된 마인드가 필요한 시점이 아닌가 생각해 봅니다.

관련기관에서도 제도 운영과 확산에 의지를 피력한 만큼 인증심사원으로서 자긍심과 개인정보보호 인식 확산에 앞장 서야 겠다는 마음을  다시한번 가지는 계기가 되었습니다.  미흡한 힘이지만 더욱 노력하여 전국민 보안인식제고 보안마인드 향상에 앞장 서겠습니다.  @엔시스.

신고
Posted by 엔시스



올해 연초에 관련 내용을 검토 해 본 적이 있는데요. 이제서야 하반기때 시행이 되는가 봅니다. 우선 관련 내용에 따른 공청회를 연다고 하니까 많은 의견을 주시면 될 듯 하구요.

개인적으로 연초에 검토하면서 느낀점은 기존에 있던 ISMS 와 PIMS가 공통적인 분모가 제법 있다는 것입니다. 이러한 것을 어떻게 풀어갈 것인가가 가장 중요한 이유일 것이고, 조금 큰 안목에서 본다면 ISMS (정보보호관리체계)를 인증 받는다고 하면 일정 공통되는 도메인은 상호 인증을 해 주는 방안이 적절하다고 생각을 합니다.

조금 쉽게 말한다면 ISMS 인증 심사를 통과한 기업이나 조직은 PI MS 에서 특정 부분은 통과시키고 개인정보보호에 대한 국한된 부분에서 검토 해 볼 필요가 있지 않나 생각을 합니다.

물론 ISMS 인증심사를 거치지 않은 곳에서는 PIMS 그대로 적용이 되어야 겠지만요. 아무튼 개인정보보호에 대한 부분은 많은 이슈가 되는 부분이고 특히 주민번호가 개인을 식별하는 수단으로 사용되는 만큼 각 개인정보보호에 대한 보호조치 및 규제는 지속적으로 대두 될 것으로 전망을 합니다.  개인정보보호에 대한 인식도 더 높아 졌으면 하는 바램을 갖어 봅니다.

신고
Posted by 엔시스