Home > 전체기사
[칼럼] 개인정보보호관리체계(PIMS) 조기정착과 심사원의 역할
  |  입력 : 2010-10-20 09:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

정보보호관리체계(이하 ISMS) 인증심사원 활동을 시작한지 3년이라는 시간이 흘렀다. 기업 업무에 집중을 하다보면 많은 인증심사를 할 수는 없지만 나름 시간을 할애하여 인증심사에 임하다보면 정보보호관리체계에 대한 전반적인 프레임워크를 다시한번 점검해 볼수 있고,인증기업은 최초심사시 보다 사후관리나 갱신심사시에 더욱 보안이 강화된 이행 증적사항을 검토하고 있노라면 인증심사원으로서는 결함사항을 발견하려는 노고는 따르지만 한편으로는 ISMS 원래 취지에 부합하는 것 같아 자긍심도 느끼게 된다.


ISMS와 PIMS의 차이점

필자는 얼마전 개인정보보호관리체계(이하 PIMS)인증 심사원 양성교육을 이수하게 되었다. 개인정보보호관리체계(PIMS) 인증심사를 하기 위한 심사원 양성교육인 셈이다. 기존 ISMS인증심사원들과 개인정보보호담당자, 컨설턴트등을 일정비율로 선발 하였다고 한다. 들리는 후문에는 이번 교육과정생 선발도 상당한 경쟁률이 있었다고 한다.


혹자는 ISMS와 PIMS의 차이점이 무엇인지 잘 모르고 그냥 ISMS에서 개인정보보호쪽에 조금 특화된 관리체계가 아닌가 하는 생각을 할지 모른다. 하지만 ISMS와 PIMS는 조금 담고 있는 배경 사상(?)이 틀리다고 볼수 있다. 그럼 한번 가볍게 살펴보자.


ISMS는 자신의 조직이나 기업에 자산을 식별하고 식별한 자산에 대한 취약성 점검과 위험평가를 하고 위험도를 산정하여 위험도가 높은 자산에 대한 보호조치를 우선하는 것은 당연한 것이다. 이런측면에서 볼 때 ISMS는 기업 자산에 대한 보호조치를 위한 관리체계인 셈이다.


하지만, PIMS는 즉, 기업에서 수집하는 개인정보의 주체는 기업이 아닌 개인정보를 제공하고 있는 개인이 주체라는 점에서 접근하는 방식이 ISMS와 다르다는 것을 인지하여야 한다. 따라서 개인정보를 수집하는 쪽에서는 반드시 개인에 대한 동의를 얻어서 이용해야 하는 것은 어쩌면 당연한 것이다.


이러한 개인정보보호에 대한 관리를 체계적으로 하는 것이 개인정보보호관리체계(PIMS)에 대한 최우선 목적이다. 기존 ISMS와 중첩되거나 유사한 부분이 다소 있으며 이러한 부분은 상호인증을 통하여 일부 면제하거나 융통성을 발휘 할수 있을 것이다.


PIMS의 핵심은 개인정보보호 생명주기

사람이 태어나서 죽을때까지 주기를 라이프사이클(Life cycle)이라 한다. 마찬가지로 개인정보도 개인정보가 태어나는 것은 아니지만 개인정보 수집에서부터 이용,저장,파기에 이르는 개인정보생명주기는 ISMS와 차별점이 되는 개인정보보호관리체계에 핵심부분이 될 것이다. 이는 인증심사원으로 인증심사시에 기업과 조직에서 개인정보의 흐름이 어떻게 흘러가는지를 빨리 이해를 하여 개인정보 라이프 사이클을 파악하는 것이 관건이라 할 수 있겠다. 이러한 부분은 PIMS 인증심사원이나 개인정보취급자 모두 잘 알고 있어야 하는 사항중에 하나이다.


PIMS제도가 보다 조기 안착하기 위해 모두가 노력해야

ISMS나 PIMS 모두 권고 사항이지 의무화 사항은 아니다. 보안이라는 측면에서 해도그만 안해도 그만이라는 인식이라면 굳이 할려고 하지 않는 심리가 기저에 깔려 있다. 조기 PIMS 제도 정착을 위해서라도 각 부문별 역할을 제안해 보기로 한다.


1) 보안업계

-개인정보보호에 대한 테스크 포스를 구성해서 전문 역량을 강화한다.

-개인정보보호에 대한 컨설팅 사업을 강화 한다.

-기술적,관리적 보호조치로 인한 솔루션 판매 전략을 수립한다.

-개인정보보호솔수션에 대한 마케팅, 홍보를 하고 확대하고 보급한다.

-개인정보보호관련 인재 양성 및 인력을 확보한다.

-개인정보보호 컨설팅 인력은 개인정보관련 법과제도 운영에 대한 지식을 습득한다.

-개인정보보호에 대한 잘 구축된 사례를 발굴 벤치 마킹하여 컨설팅을 한다.

-자사만의 개인정보보호 컨설팅 방법론을 마련한다.


2) 개인정보보호 관련 기관과 주무부서

-개인정보보호에 대한 규제보다는 교육을 통한 개인정보보호의 중요성 확산

-이에 따른 주기적인 교육 (지역별 , 산업별, 대중소규모별)

-온라인을 통한 각종 개인정보보호 동영상 홍보 활용

-개인정보보호 우수 기업이나 사이트에 대해서는 그에 따른 인센티브 적용

-개인정보보호관리체계(PIMS)인증 활용과 확산 및 교육

-규제적인 성격보다는 필요성을 위한 교육, 베스트프랙티스 및 사례 발굴

-각종 컨퍼런스와 세미나 활발하게 열어 저변과 인식의 확대

-서울수도권 중심의 교육및 확산이 아닌 전국중심 개인정보보호 교육 확대

-개인정보보호 캠페인

-개인정보보호 홍보대사 위촉

-각종 커뮤니티등을 활용한 개인정보보호의 중요성 전파

-개인정보보호 우수사이트 인증 마크 부여

-개인정보보호관리사 자격증 확대 보급 및 인센티브 부여 (전국시험 준비)

-각 개인정보 담당자, 취급자,책임자,관리자의 개인정보보호에 대한 대응방안모색


3) 개인정보보호 취급자, 담당자, 관리자, 책임자

-개인정보보호에 대한 법과 제도 운영을 이해를 한다.

-관련 교육이 있으면 우선적으로 교육을 받는다.

-기존 정보통신 이용촉진 및 정보보호등에 관한 법률과 공공기관 개인정보보호에 관한 법률을 살펴 본다

-개인정보보호법에 대한 기존 발의안을 살펴본다.

-개인정보 기술적,관리적 보호조치에 대한 이해를 한다.

-동종업계 개인정보보호 우수사례를 벤치마킹하고 우리 조직에 맞는 방법론을 찾아 본다.

-개인정보보호 전문업체 컨설팅을 받는다.

-개인정보보호에 대한 법의 준거성을 이해하고 자사에 긍정적인 효과를 극대화 하도록 노력한다.


개인정보보호법이 법안소심사위를 통과하였고 추후 공포가 되고 법이 시행이 되면 일반법으로서 민간과 공공을 아우르는 일반법적인 성격을 지니게 된다. 이러한 측면에서 법관련기관이나 비영리사이트, 동창회, 각기관 인사부서까지 개인정보를 취급하는 모든 곳이 법에 적용이 됨으로 인하여 법의 사각지대가 사라지는 것이 무엇보다 개인정보보호법 제정의 큰 취지이다.


이러한 측면에서 한단계 더 나아가 개인정보보호를 조금 더 체계적이고 기술적,관리적 보호조치를 잘 할 수 있는 개인정보보호관리체계(PIMS)의 역할은 더 확대되고 처음 진입장벽을 낮추어 많은 곳에서 관심을 가지고 기업과 조직의 개인정보보호에 만전을 기할 수 있는 제도로 정착이 되길 기대해 본다. 그렇게 하기 위하여 PIMS 인증심사원은 다양한 지식과 사고로 심사원으로서의 자질과 품위를 가지고 보다 PIMS의 저변 확대와 보급차원에서 심혈을 기울여야 할 것이다.

[글·전주현/CISSP협회 이사(보안인닷컴 운영자)/ sis@sis.pe.kr]

 

     <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
김태호   2010-10-25 오후 5:58:16
선생님안녕하세요!반갑습니다.


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향