반응형

"개인정보보호관리체계(PIMS) 조기정착과 심사원의 역할 "  - 보안뉴스에 기고한 내용입니다.

보안뉴스 : http://www.boannews.com/media/view.asp?page=1&gpage=1&idx=23330&search=&find=&kind=0

========================================================




원문

정보보호관리체계(이하 ISMS) 인증심사원 활동을 시작한지 3년이라는 시간이 흘렀다. 기업 업무에 집중을 하다보면 많은 인증심사를 할 수는 없지만 나름 시간을 할애하여 인증심사에 임하다보면 정보보호관리체계에 대한 전반적인 프레임워크를 다시한번 점검해 볼수 있고,인증기업은 최초심사시 보다 사후관리나 갱신심사시에 더욱 보안이 강화된 이행 증적사항을 검토하고 있노라면 인증심사원으로서는 결함사항을 발견하려는 노고는 따르지만 한편으로는 ISMS 원래 취지에 부합하는 것 같아 자긍심도 느끼게 된다.


ISMS와 PIMS의 차이점

필자는 얼마전 개인정보보호관리체계(이하 PIMS)인증 심사원 양성교육을 이수하게 되었다. 개인정보보호관리체계(PIMS) 인증심사를 하기 위한 심사원 양성교육인 셈이다. 기존 ISMS인증심사원들과 개인정보보호담당자, 컨설턴트등을 일정비율로 선발 하였다고 한다. 들리는 후문에는 이번 교육과정생 선발도 상당한 경쟁률이 있었다고 한다.


혹자는 ISMS와 PIMS의 차이점이 무엇인지 잘 모르고 그냥 ISMS에서 개인정보보호쪽에 조금 특화된 관리체계가 아닌가 하는 생각을 할지 모른다. 하지만 ISMS와 PIMS는 조금 담고 있는 배경 사상(?)이 틀리다고 볼수 있다. 그럼 한번 가볍게 살펴보자.


ISMS는 자신의 조직이나 기업에 자산을 식별하고 식별한 자산에 대한 취약성 점검과 위험평가를 하고 위험도를 산정하여 위험도가 높은 자산에 대한 보호조치를 우선하는 것은 당연한 것이다. 이런측면에서 볼 때 ISMS는 기업 자산에 대한 보호조치를 위한 관리체계인 셈이다.


하지만, PIMS는 즉, 기업에서 수집하는 개인정보의 주체는 기업이 아닌 개인정보를 제공하고 있는 개인이 주체라는 점에서 접근하는 방식이 ISMS와 다르다는 것을 인지하여야 한다. 따라서 개인정보를 수집하는 쪽에서는 반드시 개인에 대한 동의를 얻어서 이용해야 하는 것은 어쩌면 당연한 것이다.


이러한 개인정보보호에 대한 관리를 체계적으로 하는 것이 개인정보보호관리체계(PIMS)에 대한 최우선 목적이다. 기존 ISMS와 중첩되거나 유사한 부분이 다소 있으며 이러한 부분은 상호인증을 통하여 일부 면제하거나 융통성을 발휘 할수 있을 것이다.


PIMS의 핵심은 개인정보보호 생명주기

사람이 태어나서 죽을때까지 주기를 라이프사이클(Life cycle)이라 한다. 마찬가지로 개인정보도 개인정보가 태어나는 것은 아니지만 개인정보 수집에서부터 이용,저장,파기에 이르는 개인정보생명주기는 ISMS와 차별점이 되는 개인정보보호관리체계에 핵심부분이 될 것이다. 이는 인증심사원으로 인증심사시에 기업과 조직에서 개인정보의 흐름이 어떻게 흘러가는지를 빨리 이해를 하여 개인정보 라이프 사이클을 파악하는 것이 관건이라 할 수 있겠다. 이러한 부분은 PIMS 인증심사원이나 개인정보취급자 모두 잘 알고 있어야 하는 사항중에 하나이다.


PIMS제도가 보다 조기 안착하기 위해 모두가 노력해야

ISMS나 PIMS 모두 권고 사항이지 의무화 사항은 아니다. 보안이라는 측면에서 해도그만 안해도 그만이라는 인식이라면 굳이 할려고 하지 않는 심리가 기저에 깔려 있다. 조기 PIMS 제도 정착을 위해서라도 각 부문별 역할을 제안해 보기로 한다.


1) 보안업계

-개인정보보호에 대한 테스크 포스를 구성해서 전문 역량을 강화한다.

-개인정보보호에 대한 컨설팅 사업을 강화 한다.

-기술적,관리적 보호조치로 인한 솔루션 판매 전략을 수립한다.

-개인정보보호솔수션에 대한 마케팅, 홍보를 하고 확대하고 보급한다.

-개인정보보호관련 인재 양성 및 인력을 확보한다.

-개인정보보호 컨설팅 인력은 개인정보관련 법과제도 운영에 대한 지식을 습득한다.

-개인정보보호에 대한 잘 구축된 사례를 발굴 벤치 마킹하여 컨설팅을 한다.

-자사만의 개인정보보호 컨설팅 방법론을 마련한다.


2) 개인정보보호 관련 기관과 주무부서

-개인정보보호에 대한 규제보다는 교육을 통한 개인정보보호의 중요성 확산

-이에 따른 주기적인 교육 (지역별 , 산업별, 대중소규모별)

-온라인을 통한 각종 개인정보보호 동영상 홍보 활용

-개인정보보호 우수 기업이나 사이트에 대해서는 그에 따른 인센티브 적용

-개인정보보호관리체계(PIMS)인증 활용과 확산 및 교육

-규제적인 성격보다는 필요성을 위한 교육, 베스트프랙티스 및 사례 발굴

-각종 컨퍼런스와 세미나 활발하게 열어 저변과 인식의 확대

-서울수도권 중심의 교육및 확산이 아닌 전국중심 개인정보보호 교육 확대

-개인정보보호 캠페인

-개인정보보호 홍보대사 위촉

-각종 커뮤니티등을 활용한 개인정보보호의 중요성 전파

-개인정보보호 우수사이트 인증 마크 부여

-개인정보보호관리사 자격증 확대 보급 및 인센티브 부여 (전국시험 준비)

-각 개인정보 담당자, 취급자,책임자,관리자의 개인정보보호에 대한 대응방안모색


3) 개인정보보호 취급자, 담당자, 관리자, 책임자

-개인정보보호에 대한 법과 제도 운영을 이해를 한다.

-관련 교육이 있으면 우선적으로 교육을 받는다.

-기존 정보통신 이용촉진 및 정보보호등에 관한 법률과 공공기관 개인정보보호에 관한 법률을 살펴 본다

-개인정보보호법에 대한 기존 발의안을 살펴본다.

-개인정보 기술적,관리적 보호조치에 대한 이해를 한다.

-동종업계 개인정보보호 우수사례를 벤치마킹하고 우리 조직에 맞는 방법론을 찾아 본다.

-개인정보보호 전문업체 컨설팅을 받는다.

-개인정보보호에 대한 법의 준거성을 이해하고 자사에 긍정적인 효과를 극대화 하도록 노력한다.


개인정보보호법이 법안소심사위를 통과하였고 추후 공포가 되고 법이 시행이 되면 일반법으로서 민간과 공공을 아우르는 일반법적인 성격을 지니게 된다. 이러한 측면에서 법관련기관이나 비영리사이트, 동창회, 각기관 인사부서까지 개인정보를 취급하는 모든 곳이 법에 적용이 됨으로 인하여 법의 사각지대가 사라지는 것이 무엇보다 개인정보보호법 제정의 큰 취지이다.


이러한 측면에서 한단계 더 나아가 개인정보보호를 조금 더 체계적이고 기술적,관리적 보호조치를 잘 할 수 있는 개인정보보호관리체계(PIMS)의 역할은 더 확대되고 처음 진입장벽을 낮추어 많은 곳에서 관심을 가지고 기업과 조직의 개인정보보호에 만전을 기할 수 있는 제도로 정착이 되길 기대해 본다. 그렇게 하기 위하여 PIMS 인증심사원은 다양한 지식과 사고로 심사원으로서의 자질과 품위를 가지고 보다 PIMS의 저변 확대와 보급차원에서 심혈을 기울여야 할 것이다.

[글·전주현/CISSP협회 이사(보안인닷컴 운영자)/ sis@sis.pe.kr]


,