오늘은 이전에 소개했던 ISMS-P(정보보호 및 개인정보보호 관리체계)의 세부항목에 대한 간략한 소개와 제가 정리한 자료를 공유해드리려고 합니다.
ISMS-P는 정보통신망법에서 규정하고 있는 사항을 토대로 기업 및 공공기관이 보유하고 있는 고객 개인 정보의 정보보호수준에 대한 적합 여부를 보증하는 관리체계입니다. 이 정보보호 및 개인정보보호 관리체계 인증기준은 크게는 ‘관리체계 수립 및 운영, ‘보호대책 요구사항’, ‘개인정보 처리단계별 요구사항’으로 3가지로 구성되어 있으며, 세부적으로는 총 102개의 인증기준으로 구성되어 있습니다.
첫번째로 ‘관리체계 수립 및 운영’은 정보보호 및 개인정보보호 관리체계를 운영하는 동안 지속적이고 반복적으로 실행되어야 합니다. 세부 내용으로는 회의나 위원회를 통해 인사명령, 조직 구성, 자원 할당 등 전반적인 결정에 있어서 경영진의 참여가 필요하고, 연 1회 이상 위험평가를 도입하여 관리체계를 지속적 및 주기적으로 점검·개선에 대한 내용을 담고 있습니다.
두번째는 ‘보호대책 요구사항’으로 이전 단계에서 수행한 위험평가 결과와 조직의 서비스 및 정보시스템 특성 등을 반영하여 체계적으로 보호대책을 수립 및 이행하여야 합니다. 세부내용으로는 각 시설·인적 자원·정보시스템에 암호화 정책과 사고나 재해에 대비한 복구훈련 및 대응체계를 구축하는 것에 대해 다루고 있습니다.
마지막으로 ‘개인정보 처리단계별 요구사항’은 대부분 법적요구사항과 직접적으로 연관되어 있으므로 개인정보 흐름분석을 바탕으로 조직이 적용받는 법규 및 세부 조항을 명확히 파악하여 준수하여야 합니다. 세부내용으로는 민감한 개인정보 및 고유식별정보를 수집·보유·이용·파기할 때에 적합한 보호조치 및 방침 등이 있으며 많은 법의 규제를 따라야하므로 다른 단계에 비해 비교적 중요하다고 보여집니다.
이렇게 관리체계를 구축함으로서 중요한 자산보호를 위해 조직전체에 걸쳐서 서로 협력관계를 유지하며 정보보호 사고로 인한 법적 분쟁 발생시 지속적이고 체계적인 대응이 가능합니다. 또한 조직의 준법성 향상, 기업 윤리 인식 제고, 기업 경영의 안정화 도모할 수 있습니다. 한편 일각에서는 이 관리체계에 대한 부정적인 시각도 존재합니다. 예를들어 2022년 있었던 카카오 화재 사건도 역시 인증기준에는 해당되지만 심사 당시에는 결함이 없었고, 이중화방식이든 어떤 방식이든 인증기준에서 요구하는 백업체계만 만족하면 된다고 하였습니다. 이걸 통해 형식적인 부분은 확인이 되지만 현실요소를 반영하기 어려운 면이 존재하며 단순한 형식절차에 불과하다는 의견 존재합니다. 허나 한국인터넷진흥원과 개인정보보호 위원회, 그리고 과학기술정보통신부에서 인증기준의 세부항목을 지속적으로 개선하고 있으므로 점차 완벽한 관리체계로 나아갈 수 있다는 기대도 존재합니다.
이것은 제가 따로 정리한 목차와 그 목차에 대한 인증기준 및 증거자료 예시를 정리해보았습니다.
이상입니다. 감사합니다~^^
'ISMS-P' 카테고리의 다른 글
| ISMS-P의 장점과 단점, 그리고 궁극적인 목적은 무엇일까? (0) | 2023.07.13 |
|---|---|
| ISMS-P란 무엇인가? (0) | 2023.07.13 |