2011년도는 보안 이슈사항이 많은 한해였습니다. 특히 개인정보 유출에 따른 여러가지 이슈가 많다보니 자연스럽게 해당 전문가나 관련 인력을 구하게 됩니다. 또한 2011년 9월30일 개인정보보호법이 전격 시행 됨으로 인하여 일반법으로서 법적인 확대가 더 강화가 되었습니다. 이에 주목 받고 있는 개인정보보호관리사(CPPG) 시험에 대한 개선 사항에 대하여 살펴 보고자 합니다.  -편집자 주


1. 개인정보보호관리사(CPPG)란?

한국CPO포럼에서 주관하고 있는 민간 자격증 시험으로서 - CPPG (Certified Privacy Protection General) : 개인정보관리사 개인정보보호 정책 및 대처 방법론에 대한 지식 및 능력을 갖춘 인력 또는 향후 기업 또는 기관의 개인정보 관리를 희망하는 자로서, 다음의 업무능력을 보유한 자 - 라고 소개가 되어 있습니다.
출처 (http://www.cpptest.or.kr/)





2.  2012년도 8회 시험이 4월시행, 지금까지 지방에서는 시험을 볼수 없다(?)

보통 1년에 2-3회 시험을 치른다고 가정을 하면 시험 진행한지 약 2-3년이 흘러갔습니다. 올해에는 4월에 시험이 있습니다...

개인정보보호법의 시행과 최근 보안 이슈사항으로 인하여 많은 사람들이 관심을 끌고 있는데 유독 시험은 서울에서만 시험을 보고 있습니다.

따라서, 지방에 거주하는 사람이 시험을 보기 위해서는 서울까지 가야만 하는 경우가 발생을 합니다. 이러한 사항들은 관계자분들을 통하여 필자는 여러채널을 통하여 말씀을 드렸으나 아직까지 이루어지지 않고 있네요.

초기에는 사업진행하기 위한 초석이라고 생각을 하겠지만 이제 조금 더 폭 넓은 수요층을 감안한다면 전국에서 시험을 볼수 있도록 조치를 취해야 할 것입니다.  그렇지 않는다면 단순한 자격사업에 일관으로 밖에는 볼 수 없을 것입니다. 2012년도에는 꼭 전국 주요도시에서도 시험을 볼 수 있도록 관계자 분들께서는 조치를 취해 주시면 감사하겠습니다.


3.  정보통신망법 위주가 아닌 개인정보보호법도 포함하는 시험이 되어야


개인정보보호관리사 시험이 정보통신망법 위주의 시험으로 출제가 되어 있고, 지난해 개인정보보호법이 통과된 이후에는 개인정보보호법도 포함이 되어야 합니다.

이러한 사항은 가이드라인에도 반드시 반영이 되어야 하고, 실제 개인정보보호 관련하여 일반인들이 정보통신망법에 적용이 되는지 개인정보보호법에 적용이 되는지를 알아야 하고 자격증 소지자라면 반드시 2개의 법적 이해도와 지식을 포함하고 있어야 진정한 자격인증이 된다고 생각이 듭니다. 따라서, 이번 2012년 8회차 부터는 이러한 부분을 반영하여 적극 시험이 되어야 겠습니다.


개인정보보호에 대한 지식을 측정하는 자격으로서 올바른 방향으로 가야 한다는 것은 바람직 하다는 생각이며 평소 이에 관련된 생각을 가지고 있었기에 블로그에 포스팅 해 봅니다.  이제는 지방에서 더 이상 먼곳으로 가지 않더라도 시험을 볼 수 있는 조치가 취해지길 기대해 봅니다.   @엔시스.

신고
Posted by 엔시스

개인정보보호법 제정을 눈앞에 두고 있는 상황이라 , 각 기관이나 조직, 그리고 관련 업계에선 개인정보보호에 대한 관심이 뜨겁기만 하다. 이에 관련 근거와 인력 기준을 마련하기 위하여 관련 자격증에 관심을 가지고 있는데 '개인정보관리사' 자격증과 개인적인 정책 대안을 제시해 보고 싶다. -주인백


개인정보보호관리사 주관은 한국CPO 포럼에서 주관하고 있는데 오늘자 신문에 다음과 같이 공고가 올라왔다. 주변에 아는 지인들도 많이들 문의가 오고 있기에 살펴 보았다.  올해에도 4/10일 시행한다고 되어 있다.

                                                                 <출처: 디지털타임스 2011.02.21일자>


개인정보보호법과 개인정보관리사와의 함수관계

개인정보보호법이 제정이 되면 6개월후에 효력이 발생을 한다. 따라서 산업전반에 걸쳐 개인정보보호법에 대한 관심과 많은 부분들이 변화를 일으킬 것이다. 그것이 민간과 공공을 아우르는 일반법으로서 제정이 되기 때문이다. 또한 개인정보 사각지대를 없애기 위한 국익차원에서 제정하는 법이기 때문이다.

그런 가운데 이미 KISA에서 발주하는 일부 '개인정보'관련 용역의 경우 '개인정보관리사' 소지자를 직접 언급하여 RFP를 공지하고 있다. 이러한 것은 실질적으로 CPPG에 대한 관계기관의 기준으로 삼을수 있다는 것이다. 따라서 앞으로 CPPG에 대한 수요는 더욱 증가하리라 생각을 한다. 어쩌면 SIS자격증 보다 타이밍이 아주 시기 적절한 듯 하다. 하지만 개인정보보호에 국한 되어 있기에 디테일 하게는 적용이 될지 몰라도 전반적인 부분에 있어서는 SIS가 더욱 적용이 좋을 듯하다..

왜냐하면 개인정보보호법과 개인정보보호에서 기술적,관리적 보호조치를 취해야 하는 부분에서는 CPPG만 소지 하고있다고 해서 해결될 문제는 아니라는 것이다.


개인정보보호 업무에도 SIS자격증의 인센티브 확대 적용

자격증이 모든 것을 해결해 주는 것은 아니지만 인력에 대한 기준선 제시에 있어서 '자격증'이 객관적 기준제시에 가장 많이 사용하고
있기에 정보보호 관련 자격증에도 관심들을 많이 가지고 있다. 하지만 실제 자격증에 대한 인센티브는 아쉬운 편이다. 개인정보보호관련하여서도 그냥 민간자격증 CPPG만 고집할 것이 아니라 국가공인 자격증인 SIS 자격증 소지자도 포함하여야 한다고 생각을 한다. 국내 보안관련 인력자격기준시에 국가공인 SIS 자격증 적용을 하지 않는다면 무엇을 적용할 것인가? 각종 용역에 있어서도 민간자격증 보다도 SIS 자격증 소지자에 대한 인센티브도 주어야 할 것이다. 그렇지 않으면 SIS자격증에 대한 국가공인이라는 권위는 점점 약화 될 것이다..



CPPG(개인정보보호관리사), 지방에선 시험 볼수 없나?

개인정보보호법이 제정이 되면 수도권뿐만 아니라 지방 공공기관, 지자체 , 기업등에서도 분주하게 준비를 할것이다. 특히 개인정보 처리자 입장에서는 조금 더 전문성을 키우기 위하여 관련 자격증에 관심을 지방에 거주하는 분들도 관심을 가질텐데..어떤대안을 가지고 있는지 궁금하다. 아마도 관계자분들이 신경을 쓰는 것으로 알고 있는데 뚜렷한 이야기가 없어서 시험을 보기 위하여 KTX비용까지 지불하면서 민간자격증 CPPG 시험을 보러 가야 하는지까지 의문이 든다.

관련 용역에는 CPPG 자격증 소지자를 언급하고 있고, 특히 개인정보보호 처리자나 취급자, 관련 분야에 개인정보보호를 담당을 한다면 이러한 부분에 있어서 지방에 수요는 더욱 늘어 날 것으로 본다. 이러한 측면에서 빠른 시일내에 전국 5대 광역시에서 시험을 볼수 있도록 조치를 취해 주었으면 하는 바램이 든다.

수험생 유치도 좋겠지만 정책적인 부문과 수도권 지역의 니즈를 반영하여 진행 하는 것이 더 바람직 하지 않을까 생각을 해보면서 늘 지역에서 사는 서러움을 이 하나의 포스트에 실어 본다.  @엔시스.,

신고
Posted by 엔시스


지난 10월6일부터 8일까지 PIMS(개인정보보호관리체계: 이하 PIMS) 인증 심사원 교육이 서울 강남 AKIS 교육장에서 있었습니다.

PIMS 관련해서는 첫번째 교육으로 관련 노하우와 경험이 많으신 분들이 참석 하셔서 향후 개인정보보호관리체계에 대한 전망은 밝을 것이라는 생각이 들었습니다.

인증심사 교육프랭카드

 

특히 이번 교육은 '개인정보보호법' 통과로 인한 다양한 분야에 계신분들의 관심을 가지고 있고, 향후 이러한 개인정보보호관련체계를 인증 심사를 하는 심사원 양성이라는 측면에서  수업을 허투르 들을수 없었고, 관련 교육생분들도 한분도 졸거나 잡담하는 모습이 없이 진진하게 교육에 임하는 태도에서 이번 교육에 중요성을 인지 할수 있었습니다.

비록, 지방에서 올라가 잠자리와 식사가 편하지는 못하였지만 오랜만에 받는 교육이라 지적 충만감은 밤 늦게 내려오는 KTX안에서도 피곤함을 잊게 하였습니다. (교육생 가운데 유일한 지방에서 올라간 사람 T.T..) 이젠 대전에서도 출퇴근 하시더군요. 부산에서도 출퇴근 하는 날이 올까요?

1차2차로 나누어진 인증심사 양성 교육에서 차후 PIMS 관련하여 인증심사를 맞이 하게 될텐데 각자 교육후 자신의 역량에 매진하여 인증심사원으로서 자질과 품위를 유지하는데에 노력할 필요가 있으며 모자란 학습은 반드시 다시 숙지하여 궁금증이 많은 개인정보보호 담당자분들로 하여금 많은 질의와 궁금증을 해소시켜야 할 의무가 있을 것입니다.

기존에 ISMS는 IT관련 기업이나 원격대학에서 많은 관심을 갖었다면 PIMS는 제조,유통,의료,공공등 다양한 분야에 계신분들이 관심을 가지리라 생각을 합니다.

혹시 조금 더 자세한 내용을 원하시는 분들은 아래 링크를 참고 바랍니다.

2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향

1) 개인정보보호에 대한 법 및  제도 운영 특징 

가) 개인정보보호의 특징

   - 무엇이든 그렇듯이 법과 제도 운영에 있어 가장 기본이 되는 것은 바로 '법의 해석' 입니다. 특히 유권해석이 필요한 부분은 다양한 경험을 통하고, 관련 전문가에 자문을 받아 케이스 바이 케이스를 학습하는 것이 좋겠고, 관련 법 조항이나 시행령, 규칙, 조례,지침, 고시등은 반드시 살펴 봐야 하는 부분들입니다.

- 따라서, 점검해야 할 사항과 법 해석에 있어 논란에 여지가 있는 부분들은 구체적이고 명확한 법적 근거제시가 중요하며 많은 학습이 필요하다는 생각이 들었습니다.

- 개인정보보호 생명주기 (Life cycle) : 개인정보보호도 사람과 마찬가지로 하나의 공통된 사이클이 형성이 되는데 이것을 개인정보보호 생명주기라 합니다. 사람은 태어나지만 개인정보는 수집단계를 시작하여 이용,저장, 파기까지의 일련의 사이클로 형성이 되는데 각 주기마다 개인정보에 대한 특성을 이해 하는 것이 중요합니다. 이러한 이해에는 반드시 예외 조항이 있어 예외 조항과 기존의 법리적 해석..그리고 법의 준거성 측면에서 이해 하는것도 중요하겠습니다.


나) 이젠 보안전문가도 법과 제도운영 알아야 프로페션얼

- IT보안전문가 < 법률 전문가

개인정보보호를 한다는 것은 결국 법과 제도 운영에 이해가 많아야 하며 이러한 부분에 있어 법을 전공한 사람이라면 더욱 장점이 있지 않을까 하는 생각도 됩니다. 그 중심에 있는 "정보통신망법"과 "공공기관에 관한 개인정보보호법률"등이 있겠지요. 그 이하 법률->시행령->고시 순으로 되겠지만 아무튼 기술적 보안에 치우친 분들은 법의 용어나 유권해석에 있어 애로사항이 있을수도 있겠습니다. 하루 빨리 적응이 필요 한듯 합니다.

- 법률전문가 < IT보안전문가

이렇게 조금은 법률적 제도적 측면에 기울어진 보안은 법률제도 운영에 노하우가 있는 분이 강점이 있을테고 기술적 보안에 강점이 있는 경우에는 기술적 보안에 이점이 있겠지만 결국 컨버전스 되는게 아닌가 하는 생각이 듭니다.


- 법률 = 기술 같이 할수 있는 전문가

이젠 법전공 하신분이 기술적 보안을 한다든지. 아니면 기술적 보안을 하신 분이 법을 공부한다라고 하면 결국 진정한 보안전문가는 법과 제도를 함께 아우르면서 기술적인 부분을 해결해 나가는 것이 진정한 프로페션얼한 전문가가 아닌가 하는 생각을 해 보았구요.

하나의 조직은 어떠한 정책에서 출발하여 보안도 거버넌스적인 측면에서 비지니스에 영향을 미칠수 있다는 전문가의 설득이야말로 진정한 보안에 중요성을 일깨울수 있는 전문가가 아닌가 생각해 봅니다.

마지막으로 느낀점은 개별법으로 산재되어 있어 법의 사각지대를 메울수 있는 부분은 충족 할수 있겠지만, 너무 다양한 분야를 아우룰려면 때로는 또 전문적인 개별법이 또 필요한 시점이 있지 않을까 하는 생각도 해 보았습니다.

우선은 개별적 이익보다는 개인정보보호의 법의 사각지대를 없애는 공공의 목적이 더 큰 만큼 관련 분야 전문가분들이 힘을 합쳐 규제의 대상이 되는 힘겨운 법이 아니라, 반대로 생각하면 법의 요건만 충족하면 마음대로 비지니스 할수 있는 하나의 기회로 삼을 수 있는 오픈된 마인드가 필요한 시점이 아닌가 생각해 봅니다.

관련기관에서도 제도 운영과 확산에 의지를 피력한 만큼 인증심사원으로서 자긍심과 개인정보보호 인식 확산에 앞장 서야 겠다는 마음을  다시한번 가지는 계기가 되었습니다.  미흡한 힘이지만 더욱 노력하여 전국민 보안인식제고 보안마인드 향상에 앞장 서겠습니다.  @엔시스.

신고
Posted by 엔시스

안녕하세요. 엔시스입니다. 요즘 최고의 시청률을 올리고 있는 "김탁구" (저는 잘 안봅니다만)가 수.목 드라마로 방영이 되고 있는 듯 합니다.  그시간에  엔시스는 [개인정보보호 온라인 총정리] 강좌를 진행 하려고 하고 있습니다. 아프리카 인터넷 방송을 통하여 진행 하려고 하고 있습니다.


일시: 2010.08.26 목요일 오후 10시
장소: 자신의 집이나 사무실, 편안한곳
어디에서:   http://tv.boanin.com 에서 준비하고 있습니다.
 
방송할 내용은 다음과 같습니다.


-. 개인정보보 총정리

            -. 국내,국외 개인정보보호법 현황
            -. 개인정보 라이프 사이클 관리
            -. 이용자 권리
            -. 개인정보보호의 기술적,관리적 보호조치
            -. 개인정보보호관리체계
            -. 기타 공공기관의 개인정보보호에 관한 법률 분석
            -. 정보통신이용촉진및 정보보호등에 관한법률 분석 (개인정보보호만)
            -.기타 문제풀이 및 향후 전망







개인인터넷 방송에 눈을 돌린 이유는 바로 <시간과 장소>에 구애 받지 않는다는 것입니다. 우린 화려한 것 외형의 것을 추구하는 바가 있지만 실제는 "보안"이라는 테마로 한번 엔터테인먼트나 게임,스포츠,음악에서 차별화를 가져 보자는 것이었습니다.

그래서

"보안같지 않은 보안이야기 -보보톡" 이라는 방송명을 만들었고, 지난 3월28일 첫 방송후에 꾸준히 방송을 진행 해오고 6월달에  "보보톡 시즌1" 을 마치고 잠시 휴식기를 거친후 이제 "보보톡 시즌2" 에 돌입하려고 합니다.


그 첫번째 컨셉은 바로  " 편안함" 입니다.

양방향 채널을 통하여 서로 인터렉티브 하게 개인인터넷 방송을 통하여 편안하게 자신의 집에서 "애청자도 편안하게" " 방송하는 사람도 편안하게"  이제는 강의하러 먼곳으로 가지 않아도, 강의 받으러 늦은 시간까지 앉아 있지 않아도 편안하게 보고 들을수 있는 개인인터넷 방송을 통하여 접할수 있다는 것입니다.

가장 핵심은 아마도 방송 퀄리티일 것입니다.  외형에 치중하는 것보다 보다 저렴하고 편안하고 그리고 퀄리티가 높은 지식을 함께 공유하는 채널을 지향 할 것입니다.  그리고  퀄리티는 여러가지 시행착오를 거치면서 올라갈 것으로 생각을 합니다.

특히  개인정보보호에 대해서는 2009년 7월에 정보통신망법에 준용사업자가 22개로 늘어나면서 개인정보 노.유출시에는 법적 처벌을 받을수 있는 법적 근거가 마련이 되었다는 것입니다. 하지만 아직도 준용사업하시는 분들은 법에 대하여 관심 분야가 아니기에 알지 못하고 있습니다. 그것은 지난해 많은 분들을 만나서 알고 있기 때문입니다.

이제는 잘 몰라서, 잘 알지못해서 그랬다는 말은 통하지 않게 되었습니다. 또한 "개인정보보호관리사" 시험을 준비하고 있는 분들도 한번쯤 들어 두시면 좋을 듯 합니다. 추후 호응이 좋으면 조금 더 액티브하게 준비하여 이벤트 형식으로 찾아 뵐수도 있겠네요.

아무튼,  저도 첫 시도하는 것이라 어떨지 모르겠습니다.  관심 있는 분들은 http://cafe.naver.com/nsis/44561 에 절차에 따라 신청해 주시면 되겠습니다.   몇분이 신청을 해 주셨습니다. 감사합니다.  @엔시스.

신고
Posted by 엔시스