엔시스의 정보보호(보안) 따라잡기

지난 10월6일부터 8일까지 PIMS(개인정보보호관리체계: 이하 PIMS) 인증 심사원 교육이 서울 강남 AKIS 교육장에서 있었습니다.

PIMS 관련해서는 첫번째 교육으로 관련 노하우와 경험이 많으신 분들이 참석 하셔서 향후 개인정보보호관리체계에 대한 전망은 밝을 것이라는 생각이 들었습니다.

인증심사 교육프랭카드

특히 이번 교육은 '개인정보보호법' 통과로 인한 다양한 분야에 계신분들의 관심을 가지고 있고, 향후 이러한 개인정보보호관련체계를 인증 심사를 하는 심사원 양성이라는 측면에서  수업을 허투르 들을수 없었고, 관련 교육생분들도 한분도 졸거나 잡담하는 모습이 없이 진진하게 교육에 임하는 태도에서 이번 교육에 중요성을 인지 할수 있었습니다.

비록, 지방에서 올라가 잠자리와 식사가 편하지는 못하였지만 오랜만에 받는 교육이라 지적 충만감은 밤 늦게 내려오는 KTX안에서도 피곤함을 잊게 하였습니다. (교육생 가운데 유일한 지방에서 올라간 사람 T.T..) 이젠 대전에서도 출퇴근 하시더군요. 부산에서도 출퇴근 하는 날이 올까요?

1차2차로 나누어진 인증심사 양성 교육에서 차후 PIMS 관련하여 인증심사를 맞이 하게 될텐데 각자 교육후 자신의 역량에 매진하여 인증심사원으로서 자질과 품위를 유지하는데에 노력할 필요가 있으며 모자란 학습은 반드시 다시 숙지하여 궁금증이 많은 개인정보보호 담당자분들로 하여금 많은 질의와 궁금증을 해소시켜야 할 의무가 있을 것입니다.

기존에 ISMS는 IT관련 기업이나 원격대학에서 많은 관심을 갖었다면 PIMS는 제조,유통,의료,공공등 다양한 분야에 계신분들이 관심을 가지리라 생각을 합니다.

혹시 조금 더 자세한 내용을 원하시는 분들은 아래 링크를 참고 바랍니다.

2010/09/30 - [Privacy Security] - '개인정보보호법' 통과의 의미와 향후 방향

1) 개인정보보호에 대한 법 및  제도 운영 특징 

가) 개인정보보호의 특징

   - 무엇이든 그렇듯이 법과 제도 운영에 있어 가장 기본이 되는 것은 바로 '법의 해석' 입니다. 특히 유권해석이 필요한 부분은 다양한 경험을 통하고, 관련 전문가에 자문을 받아 케이스 바이 케이스를 학습하는 것이 좋겠고, 관련 법 조항이나 시행령, 규칙, 조례,지침, 고시등은 반드시 살펴 봐야 하는 부분들입니다.

- 따라서, 점검해야 할 사항과 법 해석에 있어 논란에 여지가 있는 부분들은 구체적이고 명확한 법적 근거제시가 중요하며 많은 학습이 필요하다는 생각이 들었습니다.

- 개인정보보호 생명주기 (Life cycle) : 개인정보보호도 사람과 마찬가지로 하나의 공통된 사이클이 형성이 되는데 이것을 개인정보보호 생명주기라 합니다. 사람은 태어나지만 개인정보는 수집단계를 시작하여 이용,저장, 파기까지의 일련의 사이클로 형성이 되는데 각 주기마다 개인정보에 대한 특성을 이해 하는 것이 중요합니다. 이러한 이해에는 반드시 예외 조항이 있어 예외 조항과 기존의 법리적 해석..그리고 법의 준거성 측면에서 이해 하는것도 중요하겠습니다.


나) 이젠 보안전문가도 법과 제도운영 알아야 프로페션얼

- IT보안전문가 < 법률 전문가

개인정보보호를 한다는 것은 결국 법과 제도 운영에 이해가 많아야 하며 이러한 부분에 있어 법을 전공한 사람이라면 더욱 장점이 있지 않을까 하는 생각도 됩니다. 그 중심에 있는 "정보통신망법"과 "공공기관에 관한 개인정보보호법률"등이 있겠지요. 그 이하 법률->시행령->고시 순으로 되겠지만 아무튼 기술적 보안에 치우친 분들은 법의 용어나 유권해석에 있어 애로사항이 있을수도 있겠습니다. 하루 빨리 적응이 필요 한듯 합니다.

- 법률전문가 < IT보안전문가

이렇게 조금은 법률적 제도적 측면에 기울어진 보안은 법률제도 운영에 노하우가 있는 분이 강점이 있을테고 기술적 보안에 강점이 있는 경우에는 기술적 보안에 이점이 있겠지만 결국 컨버전스 되는게 아닌가 하는 생각이 듭니다.


- 법률 = 기술 같이 할수 있는 전문가

이젠 법전공 하신분이 기술적 보안을 한다든지. 아니면 기술적 보안을 하신 분이 법을 공부한다라고 하면 결국 진정한 보안전문가는 법과 제도를 함께 아우르면서 기술적인 부분을 해결해 나가는 것이 진정한 프로페션얼한 전문가가 아닌가 하는 생각을 해 보았구요.

하나의 조직은 어떠한 정책에서 출발하여 보안도 거버넌스적인 측면에서 비지니스에 영향을 미칠수 있다는 전문가의 설득이야말로 진정한 보안에 중요성을 일깨울수 있는 전문가가 아닌가 생각해 봅니다.

마지막으로 느낀점은 개별법으로 산재되어 있어 법의 사각지대를 메울수 있는 부분은 충족 할수 있겠지만, 너무 다양한 분야를 아우룰려면 때로는 또 전문적인 개별법이 또 필요한 시점이 있지 않을까 하는 생각도 해 보았습니다.

우선은 개별적 이익보다는 개인정보보호의 법의 사각지대를 없애는 공공의 목적이 더 큰 만큼 관련 분야 전문가분들이 힘을 합쳐 규제의 대상이 되는 힘겨운 법이 아니라, 반대로 생각하면 법의 요건만 충족하면 마음대로 비지니스 할수 있는 하나의 기회로 삼을 수 있는 오픈된 마인드가 필요한 시점이 아닌가 생각해 봅니다.

관련기관에서도 제도 운영과 확산에 의지를 피력한 만큼 인증심사원으로서 자긍심과 개인정보보호 인식 확산에 앞장 서야 겠다는 마음을  다시한번 가지는 계기가 되었습니다.  미흡한 힘이지만 더욱 노력하여 전국민 보안인식제고 보안마인드 향상에 앞장 서겠습니다.  @엔시스.