인터넷이 삶에 스며든 지 오랜 시간이 흘렀음에도 정보보호라는 측면에서 모두 무감각한 듯하다. 잘못하면 회사가 통째로 다른 곳에 복제될 수도 이 있는데 말이다. 정보보호를 한다는 것은 회사가 비용이 아닌 비즈니스 기회 예측 및 위험에 신속히 대응하는 핵심 경쟁력이다. 예상하지 못한 위기상황에서 비즈니스 안정성을 유지하고 정보자산을 확실히 보호하기 위한 경영활동의 일부이다. 최근 자주 발생하고 있는 해킹 사고, 개인정보 유출, 장부 조작등은 내부관리 소홀 및 정보보호에 대한 경영진, 임직원들의 관심 부족이 원인이다. 이런 것을 막을 방법은 없을까? 시스템적으로 말이다.
ISMS (Information Security Management System)
ISMS 5단계 과정
ISMS는 정보보호정책 수립, ISMS 범위 설정, 위험관리, 구현, 사후관리의 5단계 과정을 거쳐 수립되고 운영, 관리는 지속적으로 유지 관리된다.
거버넌스(Govemance) 강화 측면
전체적인 관점에서 정보보호전략 체계를 마련하고 적절한 기술과 인력을 유지, 보안 중복투자를 피하고 효율적 인력과 프로세스를 운영, 경영 효율화와 강화된 정보보호 요건을 모두 충족한다.
준거성(Compliance) 측면
개인정보 법규제의 강화의 기준에 맞춘 회사 내 모든 인원이 보안관리 노력 필요하다.
보안관리증적(Evidnece) 측면
정보보호를 위한 노력을 법적으로 인정받기 위해 법적 준거성 활동의 근거(=기록, 증적)를 확보하기 위해서는 보안관리 업무 프로세스(input과 output의 관계) 정립이 필수다.
PIMS(Personal Information Security Management System)
PIMS 인증은 기업이 개인정보보호 관리체계를 수립하여 운영하고 있는 서비스 범위가 인증심사 기준에 적합한지 여부를 인증 기관이 평가하여 인증을 부여하는 제도이다.(2011년 제정)
PIMS 인증대상
업무를 목적으로 개인정보를 처리, 취급하는 공공기관, 민관기업, 법인 단체 및 개인 등이 대상자다.
PIMS 효과
체계적이고 지속적인 개인정보보호 활동이 가능하며 수행여부를 객관적으로 점검함으로써 개인정보보호 관리 수준을 향상할 수 있다.
PIMS 인증심사 기준
정보보호 관리체계 ISO/IEC 27001, BS10012등 국내외의 표준과 정보통신방법, 개인정보보호범에 명시된 개인정보 보호조치를 고려하여 국내 환경에 적합하도록 보완하여 개발했다.
주요 인증 기준 분류는 3개이며 '개인정보보호 관리체계', '생명주기 및 관리보장', '개인정보 보호대책'으로 구성되어 있다.
PIPL(Personal Information Protection Level)
개인정보처리자의 개인정보 보호 관리체계 구축 및 개인정보 보호조치 사항을 이행하고 일정한 보호 수준을 갖춘 경우 인증 마크를 부여하는 제도다.(2013년 제정)
PIPL 인증 대상
PIMS와 동일
PIPL 인증 기준
인증 기준은 2개이며 '개인정보보호 관리체계', '개인정보 보호대책'으로 구성되어 있다.
1) 개인정보보호 관리체계
PDCA(Plan-Do-Check-Action)의 관점에서 보호 관리체계의 수립, 실행 및 운영, 검토 및 모니터링, 교정 및 개선으로 심사영역 구성
2) 개인정보 보호대책 분야
관리적, 기술적, 물리적 안전성 확보조치 등과 같은 보호조치뿐만 아니라 법적으로 요구되는 개인정보의 처리, 정보주체 관리 보장 등에 대한 항목을 포함하여 심사영역이 구성된다.
※ PIPL은 2016년 1월 1일 시행되는 '개인정보보호 관리체계 인증 등에 관한 고시' 개정 이후부터 PIMS 인증으로 통합, 운영되었다.
ISMS-P(Information Security Management System-Personal)
국내 인증제도의 중복 운영에 따라 기업, 기관의 부담 해소 및 행정비용 절감, 사이버 공격에 효과적으로 대응할 수 있는 환경 마련을 위해 2018년 9월 10일 ISMS-P로 ISMS와 PIMS가 통합되었다.
※ 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시에 따라 통합
'Do iso×경영 시스템' 카테고리의 다른 글
SDGs와 ESG 전략: 탄소중립과의 연계(이것보고 초보 탈출하세요) (9) | 2024.11.11 |
---|---|
ISO 27001(정보보호 경영시스템)의 114개 통제 항목 (0) | 2023.02.14 |
ISO 27001(정보보안 경영시스템)관련 규격과 IEC (0) | 2023.02.10 |
품질 문제 해결 5단계 (0) | 2023.01.12 |
(DO iso) HLS, ISO 경영시스템의 큰 뼈대를 만들다!(4) (2) | 2023.01.08 |