2022-08-08 22:25 (월)
EU GDPR 대응 전문가, 국제 ISMS-P 심사원 양성 시작
상태바
EU GDPR 대응 전문가, 국제 ISMS-P 심사원 양성 시작
  • 길민권 기자
  • 승인 2021.12.22 20:58
이 기사를 공유합니다

ISO 정보보호연수원, EU GDPR 대응 ‘국제표준 ISMS-P 인증심사원’ 배출
지난 12월 21일 공병철 원장(사진 우측), 벨로크 김태형 팀장, 윤한호, 김동군, 백창현, 파이오링크 김동환 등이 모여 ISO/IEC 27701 인증심사원 자격증서 전달식을 가졌다.
지난 12월 21일 공병철 원장(사진 우측), 벨로크 김태형 팀장, 윤한호, 김동군, 백창현, 파이오링크 김동환 등이 모여 ISO/IEC 27701 인증심사원 자격증서 전달식을 가졌다.

ISO/IEC 27701 개인정보보호 경영시스템(PIMS, Privacy Information Management System) 국제표준 ISMS-P 인증심사원 인증서 전달식을 지난 21일 개최했다고 ISO 정보보호연수원(원장 공병철)은 밝혔다.

우리 정부와 유럽연합(EU)는 지난 12월 17일 EU집행위에서 우리나라 국무회의 격인 ‘집행위원 전원회의(College of Commissioners)’를 열어 한국에 대한 ‘개인정보보호 적정성 결정(Adequacy Decision)’이 최종 채택(즉시 발효)되었음을 알렸다.

이는 국내 기업·기관이 유럽 시민의 개인정보를 국내로 이전하기 위해서는 GDPR 규정 준수 여부와 현지 국가 법제를 면밀히 검토하고 실사 및 행정절차를 거쳐 SCC를 체결해야 가능했지만, 이제는 별도의 절차를 거치지 않고도 가능해졌기에 시간과 비용이 절감할 수 있게 되었다. 다만, 국내 개인정보보호법에서 제시하는 개인정보의 처리의 안전성 확보조치 기준을 만족하는 개인정보보호관리체계(PIMS)를 갖추고 있어야 하며, 개인정보 유출시 과태료와 정보통신서비스 제공자는 매출액의 3%이하의 과징금이 부과되므로 개인정보를 수집하는 기업·기관은 고객의 개인정보를 스스로 잘 관리하고 있음을 국제표준 인증을 통해서 적합성 평가를 받을 시점이 되었다.

ISO/IEC 27701은 국제표준화기구(ISO)가 EU GDPR 규정(전문 총 173개, 본문 총 11장 99개 조항) 준수를 인정받을 수 있도록 2019년 8월에 최초 제정되었으며, 공공 및 민간 기업, 정부 기관 및 비영리 조직을 포함한 모든 유형 및 규모의 조직에서 개인식별정보(PII)를 처리(수집/이용/활동/저장/폐기)를 위한 개인정보보호관리체계(PIMS)를 수립, 이행, 유지 및 지속적 개선을 할 수 있도록 대표적인 프레임워크와 가이드를 제공하고 있으며, 부속서D에서는 EU GDPR 규정과의 상호 연계성 매핑을 제공하고 있다.

ISO 27701은 기관의 규모나 구조, 기관이 활동 중인 국가와 관계없이 모든 종류의 기관들이 ISO 27001의 요구조건과 ISO 27002의 지침을 기반으로 기존 정보보안 경영시스템(ISMS, Information Security Management System)을 향상시켜 개인정보보호 경영시스템(PIMS, Privacy Information Management System)을 구축 및 유지하고 지속적으로 발전시킬 수 있도록 방향을 제시한다.

ISO 27701 PIMS 인증을 취득하려면 기존 ISMS 통제항목 114개, PIMS 통제항목 84개와 부속서 A~F를 수립 및 운영하고 정보보호 관리적, 물리적, 기술적, 법률적, 개인정보보호 생명주기 프레임워크 등 모든 통제항목을 만족하고 있음을 평가를 받아야 한다. 특히, ISO 27701 인증은 EU GDPR(유럽연합 개인정보보호법) 규정인 전문 총 173개 항을 준수하고 있음을 증명할 수 있다.

ISO 27701 인증심사원 연수과정은 기존 ISO 27001의 기본 이해도를 바탕으로 개인식별정보(PII)를 보호하고, PIMS를 적절히 수행하는데 필요한 세부적인 요구사항을 통해 조직 내 Privacy 경영시스템 고도화와 Data의 현황을 파악하고 개선할 수 있는 능력을 평가하며, 조직 내부심사원이나 외부 심사원으로 활동이 가능하도록 돕습니다.

ISO정보보호연수원은 한국전력의 발전 자회사와 금융권의 정보보안 솔루션 구축 및 공사, 유지관리를 전문으로 하는 ㈜벨로크 재직자 대상으로 지난 2020년 6월 27001 기본과정을 2021년 7월 27017, 27018 클라우드보안 과정을 2021년 12월 27701 개인정보보호 연수과정을 완료하고 (재)한국인정정보센터 산하 PCAA(개인자격인증평가원)에 국제 ISMS-P 인증심사원으로 등록을 마쳤다.

ISO정보보호연수원 공병철 원장은 “지난 2020년 1월부터 27001 심사원 연수과정을 시작으로, 27017, 27018, 27701 연수과정을 개발&등록하고 약 200여명의 국제인증심사원을 배출하고 있니다.”라고 밝혔다. 또한, “향후 ISO/IEC 27000 Family 확장 표준인 OT보안 27019, 의료보안 27799, 네트워크보안 27033, 어플리케이션보안 27034, 침해대응 27035, 보안관제 27039, IoT보안 27400 등 다양한 ICT 산업 영역에서 활동 중인 현장전문가를 대상으로 국제표준 정보보안 인증 전문가로 활동할 수 있도록 지속적으로 확대할 것"이라고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★