차세대 통합보안관리 기업
이글루시큐리티 보안정보입니다.
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루시큐리티 보안정보입니다.
(개인)정보보호 인증제도 개정에 따른 컨설팅 변화 및 대응
2016.07.05
0
6898
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
그렇다면 (개인)정보보호 인증제도는 무엇일까? 인증제도라 함은 제품 등 평가대상을 일정한 표준기준 또는 기술규정 등에 적합한지 여부를 평가하여 안정성 및 신뢰성 등을 인증하는 절차 및 제도로 (개인)정보보호와 관련하여 기존의 ISMS 및 PIMS, PIPL 인증제도 등을 들 수 있다. 이외에도 국제공인인 ‘ISO27001’, `14년 신설된 민간주도의 자율 규제형태의 ‘정보보호 준비도 평가’ 등이 있으나, 현재로써는 위의 ISMS 및 PIMS가 가장 보편화된 인증제도로 알려져 있다.
2) 정보보호 관리체계(ISMS) 인증 ISMS는 기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 종합적인 정보보호 관리체계의 적합성에 대해 인증을 부여하는 제도를 말한다. 지난 2001년 최초로 도입된 정보보호 인증제도로 총 2개 분야(관리과정, 정보보호대책), 18개 기준, 104개의 인증항목으로 구성되어 있다. 기타 인증제도에 비해 가장 큰 차이점은 인증 대상의 자격요건에 따라 인증을 의무적으로 취득할 것을 법에 명시하고 있다는 것이다.
3) 개인정보보호 관리체계(PIMS) 인증 PIMS는 기업이 개인정보보호 활동을 체계적ㆍ지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도로, 2010년 방송통신위원회 의결을 기반으로 제도가 시행되었다. ISMS가 기업의 특정 시스템 및 서비스 상 관리체계의 적합성 인증을 주요 대상으로 하는데 반해, PIMS는 전사적 범위에서의 개인정보보호 관리체계 활동의 적합성을 인증하는 것으로 상호 간 인증범위의 차이를 보인다.
PIPL은 개인정보 관리체계의 수립, 개인정보 처리단계별 기준·절차의 준수 및 안전한 관리, 정보주체의 권리보장 등을 지속적으로 수행하는 일련의 조치와 활동을 인증하는 제도로, 2013년 개인정보보호법을 근거로 시행되었다. 인증대상의 유형(공공기관/대기업, 중소기업, 소상공인)에 따라 인증범위를 차등 적용하여 인증대상의 부담을 감소시키고자 하였으나, PIMS와의 제도적 유사성으로 인해 15년 12월 PIMS와 제도가 통합되었다.
[표 1] 개정 전 (개인)정보보호 인증제도 간 비교
현행 의무대상의 지정 범위는 정보통신망에 대한 서비스 의존도가 높고, 개인정보 등 다량의 민감정보를 다루는 기관이 누락됨에 따라 보안사고 발생 가능 우려가 크다는 지적이 있었다. 이에 따라 ICT 기업으로 한정된 ISMS 인증 의무대상을 업태 구분 없이 보안사고 발생 시 사회ㆍ경제적 파급력이 큰 연간 매출액 또는 세입 1,500억원 이상의 非 ICT 기업 및 비영리 기관을 포함한 모든 기관으로 확대하는 방향으로 개정되었다. .
1) IEC/ISO 27001 인증, 「정보통신망법」 제47조의 3에 따른 PIMS인증, 「정보통신기반보호법 」 제9조에 따른 취약점 분석ㆍ평가
2) 개인정보보호 관리체계(PIMS) 인증제도 통합 산업 전 분야에서 개인정보보호 필요성 및 중요성 인식의 확대와 정보통신서비스 제공자 구분의 모호성으로 인해 현장의 부담가중을 호소하게 되었다. 이로 인한 2014년 8월 규제개혁위원회 “범부처 인증제도 개선방안”의 일환으로 제도의 통합이 결정됨에 따라 `16년도부터 (통합) 개인정보보호 관리체계(PIMS) 인증제도가 시행되었다. 3) 통합 PIMS 인증제도 시행 방안 2016년 1월 1일, 행정자치부와 방송통신위원회의 공동 고시2) 마련 및 시행을 통해 법적 준거성을 획득하게 되었다. 인증 기준 적용은 기존 PIPL과 같이 인증 대상의 유형 및 규모, 의사결정체계, IT 구축ㆍ운영 환경 등을 고려하여 차등적용 하도록 하였다. 인증항목은 기존의 PIMS와 PIPL 항목의 통합 및 개정을 통해 3개 분야, 9개 기준, 86개 항목으로, 사업자의 혼란 방지를 위해 신규 인증 기준은 `17년 1월 1일부터 적용하기로 하였다.
[그림 2] (통합) PIMS 인증 기준 구분에 따른 차등적용(안)
* 참고 자료
[1] 정보통신망법 개정에 따른 ISMS 인증제도. KISA
|
다음글 | AWS(Amazon Web Services)와 관제방안 |
---|---|
이전글 | MySQL DoS 취약점(CVE-2015-4870)분석 |
원하시는 계정으로 로그인 후 댓글을 남겨 주세요.