Home > 전체기사
[칼럼] 개인정보보호관리체계(PIMS) 조기정착과 심사원의 역할
  |  입력 : 2010-10-20 09:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

정보보호관리체계(이하 ISMS) 인증심사원 활동을 시작한지 3년이라는 시간이 흘렀다. 기업 업무에 집중을 하다보면 많은 인증심사를 할 수는 없지만 나름 시간을 할애하여 인증심사에 임하다보면 정보보호관리체계에 대한 전반적인 프레임워크를 다시한번 점검해 볼수 있고,인증기업은 최초심사시 보다 사후관리나 갱신심사시에 더욱 보안이 강화된 이행 증적사항을 검토하고 있노라면 인증심사원으로서는 결함사항을 발견하려는 노고는 따르지만 한편으로는 ISMS 원래 취지에 부합하는 것 같아 자긍심도 느끼게 된다.


ISMS와 PIMS의 차이점

필자는 얼마전 개인정보보호관리체계(이하 PIMS)인증 심사원 양성교육을 이수하게 되었다. 개인정보보호관리체계(PIMS) 인증심사를 하기 위한 심사원 양성교육인 셈이다. 기존 ISMS인증심사원들과 개인정보보호담당자, 컨설턴트등을 일정비율로 선발 하였다고 한다. 들리는 후문에는 이번 교육과정생 선발도 상당한 경쟁률이 있었다고 한다.


혹자는 ISMS와 PIMS의 차이점이 무엇인지 잘 모르고 그냥 ISMS에서 개인정보보호쪽에 조금 특화된 관리체계가 아닌가 하는 생각을 할지 모른다. 하지만 ISMS와 PIMS는 조금 담고 있는 배경 사상(?)이 틀리다고 볼수 있다. 그럼 한번 가볍게 살펴보자.


ISMS는 자신의 조직이나 기업에 자산을 식별하고 식별한 자산에 대한 취약성 점검과 위험평가를 하고 위험도를 산정하여 위험도가 높은 자산에 대한 보호조치를 우선하는 것은 당연한 것이다. 이런측면에서 볼 때 ISMS는 기업 자산에 대한 보호조치를 위한 관리체계인 셈이다.


하지만, PIMS는 즉, 기업에서 수집하는 개인정보의 주체는 기업이 아닌 개인정보를 제공하고 있는 개인이 주체라는 점에서 접근하는 방식이 ISMS와 다르다는 것을 인지하여야 한다. 따라서 개인정보를 수집하는 쪽에서는 반드시 개인에 대한 동의를 얻어서 이용해야 하는 것은 어쩌면 당연한 것이다.


이러한 개인정보보호에 대한 관리를 체계적으로 하는 것이 개인정보보호관리체계(PIMS)에 대한 최우선 목적이다. 기존 ISMS와 중첩되거나 유사한 부분이 다소 있으며 이러한 부분은 상호인증을 통하여 일부 면제하거나 융통성을 발휘 할수 있을 것이다.


PIMS의 핵심은 개인정보보호 생명주기

사람이 태어나서 죽을때까지 주기를 라이프사이클(Life cycle)이라 한다. 마찬가지로 개인정보도 개인정보가 태어나는 것은 아니지만 개인정보 수집에서부터 이용,저장,파기에 이르는 개인정보생명주기는 ISMS와 차별점이 되는 개인정보보호관리체계에 핵심부분이 될 것이다. 이는 인증심사원으로 인증심사시에 기업과 조직에서 개인정보의 흐름이 어떻게 흘러가는지를 빨리 이해를 하여 개인정보 라이프 사이클을 파악하는 것이 관건이라 할 수 있겠다. 이러한 부분은 PIMS 인증심사원이나 개인정보취급자 모두 잘 알고 있어야 하는 사항중에 하나이다.


PIMS제도가 보다 조기 안착하기 위해 모두가 노력해야

ISMS나 PIMS 모두 권고 사항이지 의무화 사항은 아니다. 보안이라는 측면에서 해도그만 안해도 그만이라는 인식이라면 굳이 할려고 하지 않는 심리가 기저에 깔려 있다. 조기 PIMS 제도 정착을 위해서라도 각 부문별 역할을 제안해 보기로 한다.


1) 보안업계

-개인정보보호에 대한 테스크 포스를 구성해서 전문 역량을 강화한다.

-개인정보보호에 대한 컨설팅 사업을 강화 한다.

-기술적,관리적 보호조치로 인한 솔루션 판매 전략을 수립한다.

-개인정보보호솔수션에 대한 마케팅, 홍보를 하고 확대하고 보급한다.

-개인정보보호관련 인재 양성 및 인력을 확보한다.

-개인정보보호 컨설팅 인력은 개인정보관련 법과제도 운영에 대한 지식을 습득한다.

-개인정보보호에 대한 잘 구축된 사례를 발굴 벤치 마킹하여 컨설팅을 한다.

-자사만의 개인정보보호 컨설팅 방법론을 마련한다.


2) 개인정보보호 관련 기관과 주무부서

-개인정보보호에 대한 규제보다는 교육을 통한 개인정보보호의 중요성 확산

-이에 따른 주기적인 교육 (지역별 , 산업별, 대중소규모별)

-온라인을 통한 각종 개인정보보호 동영상 홍보 활용

-개인정보보호 우수 기업이나 사이트에 대해서는 그에 따른 인센티브 적용

-개인정보보호관리체계(PIMS)인증 활용과 확산 및 교육

-규제적인 성격보다는 필요성을 위한 교육, 베스트프랙티스 및 사례 발굴

-각종 컨퍼런스와 세미나 활발하게 열어 저변과 인식의 확대

-서울수도권 중심의 교육및 확산이 아닌 전국중심 개인정보보호 교육 확대

-개인정보보호 캠페인

-개인정보보호 홍보대사 위촉

-각종 커뮤니티등을 활용한 개인정보보호의 중요성 전파

-개인정보보호 우수사이트 인증 마크 부여

-개인정보보호관리사 자격증 확대 보급 및 인센티브 부여 (전국시험 준비)

-각 개인정보 담당자, 취급자,책임자,관리자의 개인정보보호에 대한 대응방안모색


3) 개인정보보호 취급자, 담당자, 관리자, 책임자

-개인정보보호에 대한 법과 제도 운영을 이해를 한다.

-관련 교육이 있으면 우선적으로 교육을 받는다.

-기존 정보통신 이용촉진 및 정보보호등에 관한 법률과 공공기관 개인정보보호에 관한 법률을 살펴 본다

-개인정보보호법에 대한 기존 발의안을 살펴본다.

-개인정보 기술적,관리적 보호조치에 대한 이해를 한다.

-동종업계 개인정보보호 우수사례를 벤치마킹하고 우리 조직에 맞는 방법론을 찾아 본다.

-개인정보보호 전문업체 컨설팅을 받는다.

-개인정보보호에 대한 법의 준거성을 이해하고 자사에 긍정적인 효과를 극대화 하도록 노력한다.


개인정보보호법이 법안소심사위를 통과하였고 추후 공포가 되고 법이 시행이 되면 일반법으로서 민간과 공공을 아우르는 일반법적인 성격을 지니게 된다. 이러한 측면에서 법관련기관이나 비영리사이트, 동창회, 각기관 인사부서까지 개인정보를 취급하는 모든 곳이 법에 적용이 됨으로 인하여 법의 사각지대가 사라지는 것이 무엇보다 개인정보보호법 제정의 큰 취지이다.


이러한 측면에서 한단계 더 나아가 개인정보보호를 조금 더 체계적이고 기술적,관리적 보호조치를 잘 할 수 있는 개인정보보호관리체계(PIMS)의 역할은 더 확대되고 처음 진입장벽을 낮추어 많은 곳에서 관심을 가지고 기업과 조직의 개인정보보호에 만전을 기할 수 있는 제도로 정착이 되길 기대해 본다. 그렇게 하기 위하여 PIMS 인증심사원은 다양한 지식과 사고로 심사원으로서의 자질과 품위를 가지고 보다 PIMS의 저변 확대와 보급차원에서 심혈을 기울여야 할 것이다.

[글·전주현/CISSP협회 이사(보안인닷컴 운영자)/ sis@sis.pe.kr]

 

     <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
김태호   2010-10-25 오후 5:58:16
선생님안녕하세요!반갑습니다.


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향