보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

개인정보보호 강화 추세... 금융권 ISMS-P 점검항목 어떻게 개정됐나

입력 : 2024-03-29 11:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
금융권 ISMS-P 세부점검항목 개정, 관리체계 수립 및 운영 등 점검항목 증가
금융권에 적합한 ISMS-P 인증기준 점검항목과 금융권 주요 컴플라이언스 반영
안전한 인증수단 적용·관리 항목, 개인정보와 중요정보 표시제한 정책 수립 등 추가


[보안뉴스 김경애 기자] 개인정보보호가 갈수록 중요해지면서 최근 정보보호 및 개인정보보호 관리체계 인증인 ISMS-P 인증에 대한 관심도 높아지고 있다. 전면 개정된 개인정보보호법 반영, ISMS-P 인증 획득 시 보안 신뢰도 향상과 기업이미지 제고, ESG 경영평가 반영 등 다양한 측면에서 도움이 되기 때문이다.

[이미지=gettyimagesbank]


특히 금융권의 경우 올해부터 디지털 금융혁신의 가속화와 자율보안체계 확산, 그리고 마이데이터 등 신규 서비스를 비롯해 금융분야 데이터 수집·이용·제공 활성화에 따라 금융회사들이 금융소비자의 개인(신용)정보보호를 위한 관리체계를 강화하는 추세다.

이에 따라 금융 분야 ISMS-P 세부점검항목도 개정됐다. 금융권의 ISMS-P 인증기준 점검항목(2023년 12월)의 경우 관리체계 수립 및 운영(4단계, 16개 통제사항)에 대해 45개(3개 증가) 항목, 보호대책 요구사항(12분야, 64개 통제사항)에 대해 237개(42개 증가) 항목, 개인정보처리단계별 요구사항(5단계, 21개 통제사항)에 대해 117개(26개 증가) 항목으로 일반 인증보다 점검항목이 증가했다.

금융보안원 오중효 ISMS-P인증센터장은 2024년도 금융 ISMS-P 인증 취득(관심)기관 대상 세미나에서 “금융권에 적합한 ISMS-P 인증기준 점검항목과 금융권 주요 컴플라이언스(Compliance)를 점검항목에 반영해 인증기준과 금융권 업무의 정합성이 향상됐다”며 “전자금융감독규정, 신용정보법 등 금융권 정보보호 및 개인(신용)정보보호 관련 법규를 반영하고 있다”고 설명했다.

금융권의 ISMS-P 점검항목의 주요 개정내용은 보호대책 요구사항에서 첫째, 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하는 항목이 추가됐다. 비밀번호 외에 인증수단 사용시 보호대책 적용이 필요하다는 것이다.

둘째, 개인(신용)정보 및 중요정보의 표시제한 기준 수립 및 적용 항목이 기존 개인정보 처리단계별 요구사항에서 보호대책 요구사항으로 이동됐다. 이는 ISMS 인증시에도 개인(신용)정보와 중요정보 표시제한 정책 수립과 적용이 필요하다는 뜻이다.

셋째, 직접 및 간접 원격 접근방법에 따른 개인정보처리시스템 관리용 단말기 지정 차등 적용이 부분 삭제됐다. 개인정보처리시스템의 원격 접근 단말기는 직접, 간접 접속 여부와 관계없이 안전성 확보조치 적용이 필요하기 때문이다.

넷째, 정보시스템 로그기록 보관 방법(백업으로 한정)에 대한 기술적 제약이 부분 삭제됐다. 로그기록은 위·변조 및 도난, 분실되지 않도록 안전하게 보관해야 하나 보관 방법에 대한 기술적 제약 문구는 삭제됐다.

다섯째, 클라우드 서비스 사용에 대한 금융당국 보고 기한과 관련 서류 최신화의 경우 부분 개정됐다. 클라우드 서비스 이용시 법령에서 정한 기간인 현재 3개월 내 금융감독원 보고 및 서류 최신화가 필요하다.

다음으로 개인정보 처리단계별 요구사항 주요 개정 내용은 개인정보 수집시 보호조치로 △만 14세 미만 아동의 개인정보 수집 시 준수사항 추가 반영 △동의 없이 처리할 수 있는 개인정보에 대한 판단기준 및 고지사항 적용 반영 △민감정보의 공개 가능성 및 비공개 선택방법 고지 의무 반영 △고정형 영상정보처리기기와 이동형 영상정보처리기기 구분이 반영됐다.

개인정보 보유 및 이용시 보호조치는 △가명정보 처리 시 보호조치 및 관련 기록 보관과 주기적 검토에 대한 점검항목 구체화가 반영됐다.

개인정보 제공시 보호조치는 △개인정보 제3자 제공 동의 시 준수사항 구체화 반영 △정보주체 동의 없이 개인정보 제공 시 판단기준 및 고지사항 적용 반영 △개인정보 처리업무 재위탁사에 대한 공개 의무 반영 △개인정보 국외이전 가능 조건이 반영됐다.

개인정보 파기 시 보호조치는 △휴면 이용자 관련 내용이 삭제됐다. 또한, 정보주체 권리보호는 △개인정보처리방침 및 신용정보활용체제 작성 시 준수사항 구체화 반영 △개인정보 제공내역 통지항목 및 방법 구체화가 반영됐다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)