FOCUS 3 개인정보보호관리체계인증제도운영현황및국제표준화추진동향 FOCUS 임석재 *, 염흥렬 ** 최근들어국내에서개인정보유출사고가빈번히발생하고있어, 개인정보보호를위한법제도적정비에더해기술적관리적보호대책의필요성이요구되고있으나, 국가또는지역간서로다른보호대책을요구하고있다.

Size: px

Start display at page:

Download "FOCUS 3 개인정보보호관리체계인증제도운영현황및국제표준화추진동향 FOCUS 임석재 *, 염흥렬 ** 최근들어국내에서개인정보유출사고가빈번히발생하고있어, 개인정보보호를위한법제도적정비에더해기술적관리적보호대책의필요성이요구되고있으나, 국가또는지역간서로다른보호대책을요구하고있다."

준서 계
4 years ago
Views:

1 3 개인정보보호관리체계인증제도운영현황및국제표준화추진동향 임석재 *, 염흥렬 ** 최근들어국내에서개인정보유출사고가빈번히발생하고있어, 개인정보보호를위한법제도적정비에더해기술적관리적보호대책의필요성이요구되고있으나, 국가또는지역간서로다른보호대책을요구하고있다. 따라서, 보안및프라이버시측면의보호대책 (control) 의개발이필요하게되었다. Ⅰ. 서론 Ⅱ. 개인정보보호관리체계인증제도개요 2.1 개인정보보호관리체계의정의 2.2 개인정보보호관리체계인증의정의 2.3 개인정보보호관리체계인증체계 2.4 개인정보보호관리체계인증심사기준 Ⅴ. 개인정보보호관리체계국제표준화추진동향 5.1 개인정보보호관리체계를위한국제표준구성요소 5.2 ITU-T SG 17 국제표준화추진동향 5.3 ISO/IEC JTC 1/SC 27 국제표준화추진동향 Ⅵ. 결론 Ⅲ. 국 내외유사인증제도 Ⅳ. 개인정보보호관리체계인증제도추진경과및운영현황 4.1 추진경과 4.2 운영현황 * 한국인터넷진흥원정보보호관리팀선임연구원 (theimmortal@kisa.or.kr) ** 순천향대학교정보보호학과교수 (hyyoum@sch.ac.kr) Internet & Security Focus 월호 51

2 Ⅰ. 서론 정보보호관리체계 (ISMS: Information Security Management System) 는위험분석에기반하여조직의핵심정보자산을파악하고, 이에대한기밀성, 무결성, 가용성을보존하기위해요구되는관리체계수립, 보호대책구현, 운영, 모니터링, 유지, 그리고개선등조직의종합적관리체계이다. 또한, 개인정보보호관리는개인정보에특화해기업이고객들의개인정보를보호하기위한것이고, 개인정보보호관리체계 (PIMS: Personal Information Management System) 는조직이개인정보를지속적이고체계적으로보호하기위한관리체계이다. 최근들어국내에서개인정보유출사고가빈번히발생하고있어, 개인정보보호를위한법제도적정비및기술적 관리적보호대책이요구되고있다. 그러나국가및지역별개인정보보호법 제도차이로인해국가또는지역간서로다른보호대책을요구하게되었다. 이러한국제표준에근거한보호대책의부재는국가또는지역간개인정보의이전을저해하는요인이되고있다. 따라서, 글로벌하게합의된프라이버시원칙 1) 에기반을둔보안및프라이버시측면의보호대책 (control) 의개발이필요하게되었다. 이렇게글로벌하게합의된보호대책은기업에의한개인정보보호관리체계수립의기준으로활용될수있으며, 개인정보보호관리체계의국가간상호인정 (mutual recognition) 은물론국경을넘는개인정보의원활한이전을가능케할것이다. 현재국가차원에서개인정보보호관리체계를운영하는나라는영국 2), 일본 3), 그리고한국 4) 등이다. 한국은국내에서 2011 년부터시행중인국내개인정보보호관리체계의기준을국제표준으로개발하기위해 2011 년 8월 ITU-T SG 17에국제표준을개발할것을제안했고 5), 다시 2011 년 10월케냐라이로비 ISO/IEC JTC 1/SC 27 회의에국제표준개발타당성확인을위한연구준비기간 (SP, study period) 를제안해 6) 두제안모두를채택시킨바있다 7)8). 또한, 1년간의 1) ISO/IEC 29100(2011), Information technology Security techniques Privacy framework 2) BS 10012:2009, Data protection Specification for a personal information management system, BSI, ) JIS Q 15001:2006, Personal information protection management systems Requirements, Japanese Standards Association Japan Institute for Promotion of Digital Economy and Community, ) KCS.KO , 개인정보보호관리체계 (PIMS), 미래창조과학부, ) ITU-T SG17 C467, New work item proposal for personally identifiable information management system for telecommunication sector, 염흥열외, ) N10319, Korean National Body proposal for a new WG 1 Study Period on Personal information management based on ISO/IEC and 29100, JTC 1/SC 27, 염흥열외, ) ITU-T SG 17, The structure of new work item on Recommendation ITU-T X.gpim, Guideline for management of personally identifiable information for telecommunication organizations, 염흥열외, TD 2275 Rev.4, ) ISO/IEC JTC 1/SC 27/N10546, Terms of reference for a joint ISO/IEC JTC 1/SC 27/WG 1 and ISO/IEC JTC 1/ SC 27/WG 5 Study Period on Privacy/Personal Information Management Systems (PIMS) starting in October 2011, JTC 1/SC 27/WG 1 - WG 5, Internet & Security Focus 월호

3 SP 기간을마치고, 2012 년 10 월 ISO/IEC JTC 1/SC 27 로마회의에서는세계최초로 개인정보보호관리체계를위한국제표준 (ISO/IEC 27009, ISO/IEC 29151) 에대한신규표준화 아이템 (NWI, new work item) 추진을채택했다 9)10). 이러한활동을통해한국은이두공적 표준화기구에서한국주도로개인정보보호관리체계를위한인증기준에대한국제표준화를추진하는바탕을마련하게되었다. 본고의구성은다음과같다. 제2장에서는개인정보보호관리체계의정의및개인정보보호관리체계인증의정의 체계 심사기준을살펴본다. 제3장에서는국내 외유사인증제도차이점등을비교한다. 제4장에서는개인정보보호관리체계인증제도의추진경과및운영현황을확인한다. 제5장에서는 2011 년 8월이래양대공적표준화기구인 ITU-T SG17 과 ISO/IEC JTC 1/SC 27에서추진되어온한국주도의개인정보관리체계의국제표준화추진동향을제시한다. 제6장에서는향후추진사항을포함해결론을맺는다. Ⅱ. 개인정보보호관리체계인증제도개요 1. 개인정보보호관리체계의정의개인정보보호관리체계란이용자의개인정보를안전하게보호할수있도록다양한보호대책들을구현하고이를지속적으로관리, 운영하는종합적인체계를말한다. 즉, 개인정보보호관리체계는개인정보의기술적 관리적 물리적보호조치및개인정보보호관련법률의준거성을달성하기위하여개인정보자산의보호와관련된위험을평가하고그위험을막기위한대책을수립 운영하기위한것이다. 2. 개인정보보호관리체계인증의정의개인정보보호관리체계인증은방송통신위원회심의 의결 개인정보보호관리체계인증등에관한고시 ( 방송통신위원회고시제 호 ) 에근거하여, 개인정보보호관리체계를수립 운영하고있는조직의관리체계가인증기준에적합한지여부를인증기관이평가하여 9) ISO/IEC JTC 1/SC 27/N11724, Proposal for a new work item on Code of practice for the protection of personally identifiable information, JTC 1/SC 27/WG 5, ( 제안자 : 염흥열 ) 10) ISO/IEC JTC 1/SC 27/N11881, Proposal for a new work item on The Use and Application of ISO/IEC for Sector/Service-Specific Third-Party Accredited Certifications, JTC 1/SC 27/WG 1, Internet & Security Focus 월호 53

4 인증을부여하는제도이다. 즉, 조직의개인정보보호관리체계가개인정보보호관리체계인증 기준에맞게수립 운영되고있는지를독립적이고객관적인입장에있는인증기관이평가하여 인증을부여하는것이다. 인증제도의공정성과객관성확보를위하여한국인터넷진흥원이 인증기관으로서인증심사를직접수행하고있다. 또한, 한국인터넷진흥원은내 외부 심사원으로심사팀을구성하여신청기관에대해인증심사를수행하고인증위원회의심의를 거쳐그결과에따라인증서를발행한다. 3. 개인정보보호관리체계인증추진체계개인정보보호관리체계인증추진체계는방송통신위원회, 인증기관, 인증위원회및인증심사원으로구성된다. 방송통신위원회는법 제도개선및정책결정, 인증기관의지정및감독등의역할을수행하고있으며, 한국인터넷진흥원은인증기관으로서인증심사, 인증위원회운영, 인증서발급 관리, 인증제도및기준개선등의역할을수행하고있다. 인증위원회는정보보호전문가, 정보시스템감리사등정보보호분야에학식과경험이있는 5~10 인이내의위원으로구성되며, 인증심사결과의심의 의결, 인증취소의타당성심의등을한다. 인증심사원은인증기관이관리하는분야별전문심사원풀에서선정하고인증심사지원을한다. 방송통신위원회 - 법 제도개선및정책결정 - 인증기관의지정및감독등 인증위원회 인증기관 ( 한국인터넷진흥원 ) 인증심사원풀 - 인증심사결과심의 의결 - 인증취소의타당성심의 - 학계, 연구기관등관련전문가 5 인이상 10 명이내로구성 - 인증심사신청접수 - 인증제도및기준개선 - 인증서발급및관리 - 인증위원회및심사원풀운영 - 인증심사및사후관리등 - 인증심사지원 - 인증기관및분야별외부전문가로구성 [ 그림 1] 개인정보보호관리체계인증추진체계 54 Internet & Security Focus 월호

4. 개인정보보호관리체계인증심사기준 개인정보보호관리체계의인증심사기준은정보보호관리체계 (ISMS), ISO/IEC 27001, BS10012 등국내 외의표준과 정보통신망이용촉진및정보보호등에관한법률 에명시된 개인정보보호조치를고려하여국내환경에적합하도록보완하여개발되었다.

5 4. 개인정보보호관리체계인증심사기준 개인정보보호관리체계의인증심사기준은정보보호관리체계 (ISMS), ISO/IEC 27001, BS10012 등국내 외의표준과 정보통신망이용촉진및정보보호등에관한법률 에명시된 개인정보보호조치를고려하여국내환경에적합하도록보완하여개발되었다. 개인정보보호 관리체계의인증심사기준은관리적 물리적 기술적측면과개인정보관련법적준거성및 실제활용성또한보강하였다. [ 그림 2] 개인정보보호관리체계인증프레임워크 < 표 1> 개인정보보호관리체계인증심사기준 분야 통제항목수 개인정보보호정책수립및범위설정 3 경영진책임및조직구성 2 개인정보보호관리과정요구사항 위험관리 3 개인정보보호대책구현 2 사후관리 3 소계 1.3 개인정보보호정책 6 보호대책요구사항 개인정보보호조직 6 개인정보자산분류 2 개인정보보호교육 4 Internet & Security Focus 월호 55

6 보호대책요구사항 인적보안 4 침해사고관리 7 기술적보호조치 42 물리적보호조치 8 생명주기요구사항 소계 79 개인정보수집에따른조치 10 개인정보이용및제공에따른조치 16 개인정보관리및파기에따른조치 6 소계 32 총계 124 Ⅲ. 국내 외유사인증제도 1. 정보보호관리체계인증 ( 국내 ) 정보보호관리체계인증 (ISMS) 은기업이정보자산의기밀성 무결성 가용성보장을위해구축 운영중인정보보호관리체계가정보보호관리체계의인증기준에적합한지를인증기관이적합성여부를평가하여인증을부여하는제도이다. 미래창조과학부가법 제도개선및정책결정등의역할을수행하고있으며, 한국인터넷진흥원이인증기관으로서역할을수행하고있다. 서면심사와현장심사로이루어지며, 인증유효기간은 3년으로인증취득후연1회이상사후심사를받아야한다. 2. 정보보호인증마크제도 (e-privacy) ( 국내 ) 기업에서운영하는웹사이트의개인정보보호정책및관리수준을종합적으로평가하여일정기준을충족하는경우웹사이트에인증마크부여하는것으로개인정보보호협회가인증기관으로심사수행및인증위원회를함께운영하고있다. 웹사이트점검및서류, 현장심사를수행하며, 마크유효기간은 1년으로사후심사대신사후관리모니터링을실시 ( 반기별 ) 하고있다. 3. 프라이버시마크제도 ( 일본 ) 일본에는개인정보보호와관련된프라이버시마크제도가있다. 기업에서구축 운영하는 56 Internet & Security Focus 월호

7 개인정보보호체계를평가하여기업에인증을부여하는제도로일본정보처리개발협회 (JIPDEC) 가 인정및인증기관의역할을병행하며, JIPDEC 에서지정한다수의인증기관이활동중이다. 서류심사중심으로현장심사는최소화 (1/2 日 ) 운영, 유효기간은 2 년으로사후심사는없다. 4. 정보보안경영시스템인증 ( 국제표준 ) 정보보안경영시스템인증 (ISO 27001) 은조직의경영시스템중정보보호관리체계시스템을심사하고인증하는제도로 ISO 와 IEC 가2005 년에제정한국제표준이다. 각나라별로인정기관및인증기관을지정하여운영하고있으며, 인증기관내인증위원회에서인증결과를심의하고의결하고있다. 인증심사는문서심사와현장심사로이루어지며, 인증유효기관은 3년으로인증취득후연 1회이상사후관리를받아야한다. Ⅳ. 개인정보보호관리체계인증제도추진경과및운영현황 1. 추진경과개인정보보호관리체계인증제도는심사항목 체계등의기반요소개발 (2009 년 ) 을시작으로, 모의인증등인증제 ( 안 ) 검증 (2010 년 ), 제도시행 (2011 년 ), 인증제도법적근거마련 (2012 년 ) 등을거쳐 개인정보보호관리체계인증등에관한고시 를제정 (2013 년 ) 하기에이르렀다. < 표 2> 개인정보보호관리체계추진경과 시기 내용 2009 년 - 심사항목 체계등의기반요소개발 2010 년 - 모의인증등인증제 ( 안 ) 검증 2011 년 2012 년 2013 년 - 제도시행 방통위의결 ( , ' )IT 자원및관리효율화 - 인증제도법적근거마련 정보통신망이용촉진및정보보호등에관한법률 제47 조의 3 정보통신망이용촉진및정보보호등에관한법률시행령 제54 조의 2 - 개인정보보호관리체계인증등에관한고시 를제정하여고시 ( 방통위고시제 호 ) 2. 운영현황 Internet & Security Focus 월호 57

8 개인정보보호관리체계인증제도는 2011 년부터시행하고있으며현재한국인터넷진흥원이 인증기관으로서인증업무를수행하고있다 년 11 월기준통신 쇼핑 포털분야등의 조직을대상으로총 32 건의인증서를발급하였다. < 표 3> 개인정보보호관리체계인증건수 구분 2011 년 2012 년 2013 년계 인증건수 10 건 11 건 11 건 32 건 Ⅴ. 개인정보보호관리체계국제표준화추진동향 1. 개인정보보호관리체계를위한국제표준구성요소개인정보보호관리체계를구현하기위한국제표준구성요소는 [ 그림 3] 과같이정리될수있다. 개인정보보호관리체계에서의위험은보안위험과프라이버시위험으로구분된다. 보안위험은기존 ) 위험관리프레임워크를이용해식별 평가 관리될수있으나, 프라이버시위험은프라이버시영향평가를통해식별하고평가해야한다. 보안위험은보안통제로위험을관리할수있으며, 프라이버시위험은프라이버시통제로관리할수있다. 따라서, [ 그림 3] 과같이개인정보보호관리체계를위한추가적요구사항을식별하기위해 ISO/IEC ) 를이용해야하며, 보안통제와프라이버시통제를위한지침은 ISO/IEC ) 을이용해야하며, 프라이버시위험을식별하기위해서는 ISO/IEC ) 을이용해야한다. 나머지관리프로세스요구사항 (27001), 인증및감사제공기관요구사항 (27006), 통제감사요구사항 (27008), 감사지침 (27007), 정보보호거버넌스 (27014) 은기존국제표준을이용할수있다. 11) ISO/IEC 27005:2011, Information security risk management 12) ISO/IEC NP 27009, The Use and Application of ISO/IEC for Sector/Service-Specific Third-Party Accredited Certifications 13) ISO/IEC NWI 29151, Code of practice for the protection of personally identifiable information, ) ISO/IEC 29134, Privacy Impact Assessment - Methodology, Internet & Security Focus 월호

[ 그림 3] 개인정보보호관리체계를구현하기위한국제표준구성요소 2. ITU-T SG 17 국제표준화추진동향 ITU-T SG17 연구과제 3(Q.3, Question 3) 은한국 ( 염흥열등 ) 의제안 15) 으로 2011 년 8월 SG17 회의에서통신조직을위한개인정보보호관리체계가이드라인인 ITU-T X.

9 [ 그림 3] 개인정보보호관리체계를구현하기위한국제표준구성요소 2. ITU-T SG 17 국제표준화추진동향 ITU-T SG17 연구과제 3(Q.3, Question 3) 은한국 ( 염흥열등 ) 의제안 15) 으로 2011 년 8월 SG17 회의에서통신조직을위한개인정보보호관리체계가이드라인인 ITU-T X.gpim 권고를개발키로합의했고, 이권고개발을책임질에디터로염흥열, 변순정등 ( 한국 ) 을결정한바있다 16). 그후 2012 년 2월 SG 17 회의에서한국은통신조직에특화된개인정보보호관리체계가이드라인의개발필요성을해명했고, 2012 년 8월 SG 17 회의에서제1차드래프트초안을합의했다. 이때이권고를 ISO/IEC JTC 1/SC 27에게협력개발을제안키로했다 년 4월 SG 17 회의에서제2차드래프트권고가합의되었다 17). 또한, 이권고를 ISO/IEC JTC 1/SC 27과협력해개발해야한다고다시확인했다. 이를시계열로정리하면 [ 표 4] 와같다. 15) ITU-T SG17 C467, New work item proposal for personally identifiable information management system for telecommunication sector, 염흥열외, ) ITU-T SG 17, The structure of new work item on Recommendation ITU-T X.gpim, Guideline for management of personally identifiable information for telecommunication organizations, 염흥열외, TD 2275 Rev.4, ) ITU-T X.gpim, Guideline for management of personally identifiable information for telecommunication organizations, The 2nd revised text for Recommendation ITU-T X.gpim, 염흥열외, TD 227 Rev.1, Internet & Security Focus 월호 59

10 일시및회의 2011 년 8 월 SG 17 회의 < 표 4> 통신조직을위한개인정보보호관리체계지침표준개발현황 주요결정사항 - 한국 ( 염흥열외 ) 통신조직을위한 PIMS 지침제안 - 토의후신규표준화권고 (X.gpim) 로개발키로합의 - 에디터로염흥열, 변순정 ( 한국 ) 등을임명 - 다만, 통신조직을위한지침필요성확인요구 2012 년 2월 SG 17 회의 2012 년 8월 SG 17회의 2013 년 4월 SG 17 - 한국은통신조직을위한 PIMS 지침필요성에대한기고서추가제출 - SC27 에서 PIMS 국제표준개발타당성조사를위한 SP 논의결과를보고나서최종결정키로합의함 - 한국, X.gpim 기반문서제안및반영 - SC 27 과의협력개발은 SC27 측의 SP 최종논의결과를보고결정키로합의함 - X.gpim 은 SC27 과협력적으로개발할것을합의함 - 한국은 ITU-T X.gpim 1 차수정택스트제안및 1 차수정택스트합의 - SC 27 이일반조직을위한 PIMS 지침을개발하기로합의결과관찰 - X.gpim 공통택스트추진을위해 SG17 Q.3/SC 27 WG5 간의조인트회의를통해협력개발가능성타진했으며, 조인트회의결과, 두표준화기구가각자독자적으로개발하되, 표준채택과정에서공통택스트추진여부결정키로합의함 3. ISO/IEC JTC 1/SC 27 국제표준화추진동향한국 ( 염흥열등 ) 은 2011 년 10월케냐나이로비 SC27 회의에서개인정보보호관리체계관련국제표준의개발타당성조사를위한준비기간인 SP(Study Period) 를제안했고 18), 한국의제안이채택되었다 19). 6개월동안의준비활동을주도할 SP 라포처로염흥열 ( 한국 ), 영국 (J. Phillips), 프랑스 (Mathiu Grall), 일본 (Y. Satoh) 을임명했다. 한국은이연구회기동안프로세스요구사항, 보안지침, 프라이버시지침을개발해야한다는국가기고서를제출했고, 프랑스도한국과입장이같았으며, 영국은지침개발해야한다는국가기고서를제출했다. 라포처그룹 ( 염흥열포함 ) 은이결과를 2012 년스웨던스톡홀름 SC 27 회의에발표했다 20) 년 5월 SC 27 회의에서는관리프로세스에대한표준을별도로개발하지않고기존의 ISO/IEC 을이용하기로합의했고, 한국의제안대로보안통제및프라이버시통제에대한국제표준개발의 18) N10319, Korean National Body proposal for a new WG 1 Study Period on Personal information management based on ISO/IEC and 29100, JTC 1/SC 27, 염흥열외, ) ISO/IEC JTC 1/SC 27/N10546, Terms of reference for a joint ISO/IEC JTC 1/SC 27/WG 1 and ISO/IEC JTC 1/SC 27/WG 5 Study Period on Privacy/Personal Information Management Systems (PIMS) starting in October 2011, JTC 1/SC 27/WG 1 - WG 5, ) N10946, Study period report on Privacy / Personal information management system (PIMS), 염흥열외, Internet & Security Focus 월호

11 필요성을합의했으나, 추가연구를위한 SP 를 6 개월연장하기로합의했다. 더불어, 개인정보보호관리체계인증을위해 ISO/IEC 을어떻게이용할지에대한국제표준 개발이필요하다는데에도합의했다. 한국은연장된 6 개월의 SP 동안 을 PIMS 인증을 위해이용, 보안통제, 프라이버시통제 에대한국제표준추진을위한신규표준화아이템 (NWIP: new work item proposal) 을제안했다. 영국도 섹터기반인증을위한 이용 과 PIMS 통제 에대한 NWIP 를제안했다. 라포처그룹 ( 염흥열포함 ) 은한국과영국등의기고서를토대로두가지형태의 NWIP( 이용, 통제지침 또는 이용, 보안통제지침, 프라이버시통제지침 ) 를 2012 년 10월 SC27 로마회의에보고했다 21) 년 SC 27 로마회의에서는 2가지 NWIP ( 섹터기반인증을위한 이용, 개인정보보호지침 ) 를추진하기로합의했다 22). 개인정보보호지침 NWIP 의경우한국의염흥열과영국의 Bridget Kenyon 을액팅에디터로임명했다 23)24) 년 1월, 4월 2가지 NWIP 이회원국의투표에의해성공적으로통과되었다 년 4월프랑스 SC 27 회의에서는 NWIP 동안각국가별컴맨트가검토하였고, 섹터기반제3자인증을위한 의이용및적용 국제표준에 ISO/IEC 표준번호가할당되었고, 개인정보보호지침 국제표준에 ISO/IEC 번호가할당되었다. ISO/IEC 표준개발을주도할에디터로영국의알젤리카, 한국의박태완, 일본전문가가임명되었고, ISO/IEC 표준개발을주도할에디터로한국염흥열과영국 Bridget Kenyon 을임명했다. 또한, 1차 WD를 2013 년 6월 15일까지공개키로했다 년 SC 27 회의동안 ITU-T X.gpim 과 ISO/IEC 이내용과목적이유사하므로, 구그룹간의공통표준으로개발할것에대해논의했고, 회의결과, 일단두그룹이독자적으로개발하되, 연락문서교환을통해혀벽개발하고, 최종채택순간에공통표준개발에대해다시검토하기로합의했다. 이렇게함으로써, 1년 6개월간의개인정보보호관리체계관련국제표준타당성과정을거쳐한국이제안대로 섹터기반제3자인증을위한 의이용및적용 국제표준 (ISO/IEC 21) N11590, Output of the Study Period Rapporteurs assessment in response to SC 27 N11143 Call for Contributions on WG 1 Study Period on Alignment for Privacy / Personal Information Management Systems (PIMS), 염흥열외, ) N11918, Meeting report Study Period on privacy/personal information management system, 염흥열외, ) ISO/IEC JTC 1/SC 27/N11724, Proposal for a new work item on Code of practice for the protection of personally identifiable information, JTC 1/SC 27/WG 5, ( 제안자 : 염흥열 ) 24) ISO/IEC JTC 1/SC 27/N11881, Proposal for a new work item on The Use and Application of ISO/IEC for Sector/Service-Specific Third-Party Accredited Certifications, JTC 1/SC 27/WG 1, Internet & Security Focus 월호 61

12 27009) 와 개인정보보호지침 (ISO/IEC 29151) 에대한국제표준을개발키로합의했고, 두 국제표준의개발책임자인에디터로한국보안전문가가참여하게되어서, 한국주도의 개인정보보호관리체계국제표준추진을위한기반을마련했다. 현재두표준은 2016 년도에 표준개발을완료한다는목표로향후개발될예정이다. 이과정을시계열로요약하면 [ 표 5] 와 같다. < 표 5> 개인정보보호관리체계국제표준추진현황 일시및회의 2011 년 10월케냐나이로비 SC 27회의 2011 년 10월 ~ 2012 년 5월 1차 SP 2012 년 5월스톡홀름 SC27 회의 2012 년 5월 ~ 10월 2012 년 10 월로마 SC 27 회의 2012 년 10 월 ~ 2013 년 4 월 2013 년 4 월프랑스 SC 27 회의 주요결정사항 - 한국 ( 염흥열외 ) PIMS 국제표준개발타당성확인을위한연구회기 (SP) 제안및채택 - SP 를이끌라포처로염흥열 ( 한국 ), 프랑스, 영국, 일본전문가임명 - 한국과프랑스는관리프로세스, 보안통제, 프라이버시통제에대한국제표준이필요하다는기고서제출 - 영국은관리프로세스는개발하지말고, 보안통제와프라이버시통제에대한국제표준이필요하다는기고서제출 - 라포처그룹은 2012 년 5 월 SC17 회의에 SP 보고서제출 - SP 보고서에대한토론이진행됨 - 관리프로세스는별도로개발하지않고 ISO/IEC 을이용하기로했고, 보안통제와프라이버시통제에대한국제표준개발이필요함을합의함 - 또한, 특화된요구사항을개발하기위한 을섹터기반인증에이용하는표준을개발키로합의함 - 추가적인연구를위해 6 개월간더 SP 를연장키로합의함 - 한국은 이용, 보안통제, 프라이버시통제 에대한 NWIP 제안 - 영국도 2 가지 NWIP 제안 - 프랑스는한국입장을지지했고일본등도지지 - 라포처그룹 ( 염흥열등 ) 제 2 차 SP 보고서작성및 2012 년 10 월로마 SC 27 회의에보고됨 - SP 보고서검토 - 2 가지 NWIP 로진행키로합의함. 섹터기반인증에 이용. 개인정보보호를위한지침 을섹터기반인증에이용을위한 NWIP 의액팅에디터로영국의알젤리카로임명함 - 개인정보보호를위한지침 NWIP 의액팅에디터로염흥열 ( 한국 ) 과영국보안전문가를임명함 년 1 월 을섹터인증을위한 NWIP 투표통과 년 4 월개인정보보호를위한 NWIP 통과 - 두국제표준번호로 ISO/IEC 27009( 섹터기반제 3 자의인증에 의이용및적용 ), ISO/IEC 29151( 개인정보보호지침 ) 부여함 - ISO/IEC 에디터로박태완 ( 한국 ), Angelika Plate( 영국 ), 일본전문가임명 - ISO/IEC 에디터로염흥열 ( 한국 ) 과영국보안전문가임명 - ITU-T X.gpim 공통택스트추진을위해 SG17 Q.3/SC 27 WG5 간의조인트회의를통해협력개발가능성타진했으며, 조인트회의결과, 각자독자적으로개발하되, 표준채택과정에서공통택스트추진여부결정키로합의함 62 Internet & Security Focus 월호

13 Ⅵ. 결론 개인정보보호관리체계는단순히기존개인정보자산의보호뿐만아니라새로운사업자체를가능하게해주는긍정적인기반요소가될수있다. 과거에는개인정보보호가단순히최소화해야하는비용요소로간주되었다. 그러나현재와같이인터넷을통하여새로운사업을전개하고관련정보를수집, 이용, 저장, 관리, 전송, 처리하는상황에서는개인정보보호를고려하지않을수없다. 인터넷상의각종위협이매우크기때문에개인정보보호를단순히비용요소로간주하고최소화시킨다면, 기업은차후에발생할수있는정보유출, 부정거래등의개인정보유출사고위험을감당할수없을것이며, 개인정보집단소송과대규모피해보상등으로인해큰손해를입게될수있다. 개인정보보호를고려하지않고진행하는인터넷기반의서비스는그사업이성공적일수록더많은공격을유발하여차후보류해두었던비용을치르게될수있다. 개인정보보호관리체계인증은조직의개인정보보호관리능력을대중에게객관적으로보장해주는한편, 그조직의세부적인통제사항이나내용은대중에게공개하지않을수있다. 따라서개인정보보호수준에대한보증을제공하면서보호대책의세부사항은여전히비밀로유지할수있다. 한편, 만일타조직또는기업과중요정보를교환할경우, 상대조직이개인정보보호관리체계인증을받았다면그조직의개인정보보호관리능력을신뢰할수있을것이다. 한편, 양대공적표준화기구는개인정보보호관리체계에대한국제표준필요성을인정하고표준을개발키로합의하고이를진행하고있다. 이러한활동은한국의개인정보보호관리체계지침의국제표준화로추진하기위한활동으로볼수있다. 현재개인정보보호관리체계를위해서는 ITU-T 의경우, 1가지국제표준 (ITU-T X.gpim) 이개발되고있고, ISO/IEC JTC 1/SC 27의경우, 3가지국제표준 (ISO/IEC 27009, ISO/IEC 29151, ISO/IEC 29134) 이개발되고있다. 이러한표준은 2016 년도개발완료를목표로표준화가진행중에있다. 본고에서는개인정보보호관리체계및인증제도의특성을살펴보았고, 국내 외유사인증을비교하였으며, 개인정보보호관리체계운영을위해요구되는국제표준요소를제시했다. 또한, 한국주도로현재개발이진행되고있는개인정보보호관리체계에대한국제표준개발을위해 2011 년 8월이후 ITU-T SG17 과 ISO/IEC JTC 1/SC 27에의해추진된지금까지경과사항을살펴보았고, 항후추진전망을제시했다. 본고의결과는개인정보보호관리체계국제표준추진을위해활용될것으로기대된다. Internet & Security Focus 월호 63

14 참고문헌 ISO/IEC 29100(2011), Information technology Security techniques Privacy framework BS 10012:2009, Data protection Specification for a personal information management system, BSI, 2009 JIS Q 15001:2006, Personal information protection management systems Requirements, Japanese Standards Association Japan Institute for Promotion of Digital Economy and Community, 2006 KCS.KO , 개인정보보호관리체계 (PIMS), 미래창조과학부, 2011 ITU-T SG17 C467, New work item proposal for personally identifiable information management system for telecommunication sector, 염흥열외, N10319, Korean National Body proposal for a new WG 1 Study Period on Personal information management based on ISO/IEC and 29100, JTC 1/SC 27, 염흥열외, ITU-T SG 17, The structure of new work item on Recommendation ITU-T X.gpim, Guideline for management of personally identifiable information for telecommunication organizations, 염흥열외, TD 2275 Rev.4, ISO/IEC JTC 1/SC 27/N10546, Terms of reference for a joint ISO/IEC JTC 1/SC 27/WG 1 and ISO/IEC JTC 1/SC 27/WG 5 Study Period on Privacy/Personal Information Management Systems (PIMS) starting in October 2011, JTC 1/SC 27/WG 1 - WG 5, ISO/IEC JTC 1/SC 27/N11724, Proposal for a new work item on Code of practice for the protection of personally identifiable information, JTC 1/SC 27/WG 5, ( 제안자 : 염흥열 ) ISO/IEC JTC 1/SC 27/N11881, Proposal for a new work item on The Use and Application of ISO/IEC for Sector/Service-Specific Third-Party Accredited Certifications, JTC 1/SC 27/WG 1, ISO/IEC 27005:2011, Information security risk management ISO/IEC NP 27009, The Use and Application of ISO/IEC for Sector/Service-Specific Third- Party Accredited Certifications ISO/IEC NWI 29151, Code of practice for the protection of personally identifiable information, ISO/IEC 29134, Privacy Impact Assessment - Methodology, ITU-T SG17 C467, New work item proposal for personally identifiable information management system for telecommunication sector, 염흥열외, ITU-T SG 17, The structure of new work item on Recommendation ITU-T X.gpim, Guideline for management of personally identifiable information for telecommunication organizations, 염흥열외, TD 2275 Rev.4, Internet & Security Focus 월호

15 ITU-T X.gpim, Guideline for management of personally identifiable information for telecommunication organizations, The 2nd revised text for Recommendation ITU-T X.gpim, 염흥열외, TD 227 Rev.1, N10319, Korean National Body proposal for a new WG 1 Study Period on Personal information management based on ISO/IEC and 29100, JTC 1/SC 27, 염흥열외, ISO/IEC JTC 1/SC 27/N10546, Terms of reference for a joint ISO/IEC JTC 1/SC 27/WG 1 and ISO/IEC JTC 1/SC 27/WG 5 Study Period on Privacy/Personal Information Management Systems (PIMS) starting in October 2011, JTC 1/SC 27/WG 1 - WG 5, N10946, Study period report on Privacy / Personal information management system (PIMS), 염흥열외, N11590, Output of the Study Period Rapporteurs assessment in response to SC 27 N11143 Call for Contributions on WG 1 Study Period on Alignment for Privacy / Personal Information Management Systems (PIMS), 염흥열외, N11918, Meeting report Study Period on privacy/personal information management system, 염흥열외, ISO/IEC JTC 1/SC 27/N11724, Proposal for a new work item on Code of practice for the protection of personally identifiable information, JTC 1/SC 27/WG 5, ( 제안자 : 염흥열 ) ISO/IEC JTC 1/SC 27/N11881, Proposal for a new work item on The Use and Application of ISO/IEC for Sector/Service-Specific Third-Party Accredited Certifications, JTC 1/SC 27/WG 1, Internet & Security Focus 월호 65

벤처연구사업(전동휠체어) 평가

벤처연구사업(전동휠체어) 평가 정보보안 (Information Security) 정보보호관리체계 (ISMS) 2013. 8 표월성 passwd74@naver.com 010-4303-5006 Cherub.sungkyul.ac.kr < Agenda > Ⅰ. 정보보호관리체계개요 1.1 정보 (Information) 1.2 정보윤리와정보보호의필요성 1.3 정보보호 (Information Security)