Offcanvas

PIMS

강은성의 보안 아키텍트 | 정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대

2010년이었던 것 같다. 개인정보보호법 제정에 대해 의견을 모으는 과정에 참여하여 산업계 입장에서 기존 정보통신망법 규제에 추가되는 이중 규제가 될 가능성이 크다는 의견을 냈다. 그 뒤 행정안전부에서 개인정보보호 인증제(PIPL)에 대해서 정보통신망법의 개인정보보호 관리체계(PIMS) 인증 외에 기업이 받아야 할 또 하나의 인증제를 만들지 않으면 좋겠다는 의견을 냈다. 형식적인 자리였는지 모르지만 반영된 것은 없다. 담당 공무원들의 의견은 한결같았다. 적용 대상이 달라서 이중 규제가 아니라는 것이다. 전형적인 공급자 마인드다.  임직원이나 주주의 개인정보, CCTV 설치 등 정보통신망법이 규율하지 않는 분야는 일반법인 개인정보보호법을 적용받는다. 행정 규제와 법적 규제의 관할이 다른 업종도 있다. 정보통신서비스 제공자의 개인정보 담당자들은 개인정보보호법 각 조문을 꼼꼼히 살펴볼 수밖에 없다. 법률의 적용을 받는다는 것은, 그것의 위임을 받은 시행령, 시행규칙, 고시도 적용된다는 의미이다. 그뿐만 아니다. 각 법률이나 고시에 대한 해설서, 주요 이슈에 대한 가이드, 안내서도 있고, 각 규제기관의 실태 점검과 그에 따른 시정조치, 과태료, 과징금도 있다. 어느 하나 소홀히 할 수 없다. 정보통신망법과 개인정보보호법의 차이가 개인정보보호 관련 자격증 시험에 심심치 않게 나오는 이유이기도 하다.   정보통신망법 “제4장 개인정보의 보호”를 개인정보보호법 “제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례”로 이동하는 것을 골자로 하는 정보통신망법과 개인정보보호법의 개정안이 국회 통과를 눈앞에 두고 있다. 이미 2011년에 개인정보보호법이 제정될 때 정리되었어야 할 사안이고, 정보통신망법의 개인정보보호 조문을 거의 그대로 옮겨와 물리적인 통합만 이뤄지는 한계가 비판을 받기도 하지만, 그 의미는 작지 않다. 첫째, 규제기관이 방송통신위원회와 행정안전부에서 개인정보보호위원회로 일원화된다. 이제 사업자들은 개인정보보호위원회만 대응하면 된다....

CISO 개인정보보호 관리체계 정보통신망법 CCTV 강은성 CPO PIMS 개인정보보호법 벌금 처벌

2019.12.23

2010년이었던 것 같다. 개인정보보호법 제정에 대해 의견을 모으는 과정에 참여하여 산업계 입장에서 기존 정보통신망법 규제에 추가되는 이중 규제가 될 가능성이 크다는 의견을 냈다. 그 뒤 행정안전부에서 개인정보보호 인증제(PIPL)에 대해서 정보통신망법의 개인정보보호 관리체계(PIMS) 인증 외에 기업이 받아야 할 또 하나의 인증제를 만들지 않으면 좋겠다는 의견을 냈다. 형식적인 자리였는지 모르지만 반영된 것은 없다. 담당 공무원들의 의견은 한결같았다. 적용 대상이 달라서 이중 규제가 아니라는 것이다. 전형적인 공급자 마인드다.  임직원이나 주주의 개인정보, CCTV 설치 등 정보통신망법이 규율하지 않는 분야는 일반법인 개인정보보호법을 적용받는다. 행정 규제와 법적 규제의 관할이 다른 업종도 있다. 정보통신서비스 제공자의 개인정보 담당자들은 개인정보보호법 각 조문을 꼼꼼히 살펴볼 수밖에 없다. 법률의 적용을 받는다는 것은, 그것의 위임을 받은 시행령, 시행규칙, 고시도 적용된다는 의미이다. 그뿐만 아니다. 각 법률이나 고시에 대한 해설서, 주요 이슈에 대한 가이드, 안내서도 있고, 각 규제기관의 실태 점검과 그에 따른 시정조치, 과태료, 과징금도 있다. 어느 하나 소홀히 할 수 없다. 정보통신망법과 개인정보보호법의 차이가 개인정보보호 관련 자격증 시험에 심심치 않게 나오는 이유이기도 하다.   정보통신망법 “제4장 개인정보의 보호”를 개인정보보호법 “제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례”로 이동하는 것을 골자로 하는 정보통신망법과 개인정보보호법의 개정안이 국회 통과를 눈앞에 두고 있다. 이미 2011년에 개인정보보호법이 제정될 때 정리되었어야 할 사안이고, 정보통신망법의 개인정보보호 조문을 거의 그대로 옮겨와 물리적인 통합만 이뤄지는 한계가 비판을 받기도 하지만, 그 의미는 작지 않다. 첫째, 규제기관이 방송통신위원회와 행정안전부에서 개인정보보호위원회로 일원화된다. 이제 사업자들은 개인정보보호위원회만 대응하면 된다....

2019.12.23

강은성의 보안 아키텍트 | 임원급 CISO의 지정과 겸직 금지

지난해 6월 12일에 정보통신망법이 개정되면서 보안동네에서 관심이 컸던 사이버 보험 가입 의무화(제32조의3)와 임원급 정보보호최고책임자(CISO)의 지정 및 겸직금지(제45조의3)의 시행이 두 달 앞으로 다가왔다(2019.6.13 시행).  그 중 제45조의3의 주요 개정 내용은 다음과 같다. ● 예외 요건에 해당하지 않는 정보통신서비스제공자는 임원급 CISO를 지정, 신고하여야 한다(제1항)  ● 일정 요건에 해당하는 정보통신서비스제공자의 CISO는 제4항에서 지정된 업무 외의 다른 업무를 겸직할 수 없다(제3항) 지난 2월에 과기정통부에서 낸 시행령 개정안에서는 제1항에 대해 소기업과 소상공인을 예외로 인정하였고(시행령 개정안 제36조의6 제1항), 제2항 CISO의 겸직 금지 요건으로는 자산총액 5조 원 이상인 자와 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 자로 규정하였다(시행령 개정안 제36조의6 제2항 신설). 또한 CISO의 자격 요건을 다음과 같이 규정하였다(시행령 개정안 제36조의6 제3항 신설). ● 직무 수행에 필요한 정보보호 또는 정보기술 관련 전문지식이나 실무 경험이 풍부한 자로 함. 단, 겸직이 금지되는 CISO는 상근하는 자로서 타 회사의 임직원이 아닌 자로 하고, 4년 이상의 정보보호 분야 또는 5년 이상 정보기술 분야(정보보호 2년 포함)의 경력을 구비하도록 함   정보통신망법 개정 이유에서 밝혔던 “CISO 제도의 실효성 확보”가 이뤄지려면 다음 사항이 심도 있게 검토될 필요가 있다고 판단된다. 첫째, CEO 이외에 다른 임원이 없다면 CEO가 CISO를 겸직해야 한다는 점을 명확히 할 필요가 있다. 정보통신망법과 개인정보보호법의 CPO 지정 조항에서는 사업주(대표자)가 CPO가 될 수 있게 함으로써 이런 문제를 해결하였다. 둘째, ‘임원급’에 대한 문제이다. ‘급'이란 표현이 있어서, 일부 기업에서 &lsq...

CIO 시행령 겸직 금지 개인정보보호 관리체계 과기정통부 강은성 CPO PIMS CISO 개인정보 CSO 정보통산망법

2019.04.05

지난해 6월 12일에 정보통신망법이 개정되면서 보안동네에서 관심이 컸던 사이버 보험 가입 의무화(제32조의3)와 임원급 정보보호최고책임자(CISO)의 지정 및 겸직금지(제45조의3)의 시행이 두 달 앞으로 다가왔다(2019.6.13 시행).  그 중 제45조의3의 주요 개정 내용은 다음과 같다. ● 예외 요건에 해당하지 않는 정보통신서비스제공자는 임원급 CISO를 지정, 신고하여야 한다(제1항)  ● 일정 요건에 해당하는 정보통신서비스제공자의 CISO는 제4항에서 지정된 업무 외의 다른 업무를 겸직할 수 없다(제3항) 지난 2월에 과기정통부에서 낸 시행령 개정안에서는 제1항에 대해 소기업과 소상공인을 예외로 인정하였고(시행령 개정안 제36조의6 제1항), 제2항 CISO의 겸직 금지 요건으로는 자산총액 5조 원 이상인 자와 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상인 자로 규정하였다(시행령 개정안 제36조의6 제2항 신설). 또한 CISO의 자격 요건을 다음과 같이 규정하였다(시행령 개정안 제36조의6 제3항 신설). ● 직무 수행에 필요한 정보보호 또는 정보기술 관련 전문지식이나 실무 경험이 풍부한 자로 함. 단, 겸직이 금지되는 CISO는 상근하는 자로서 타 회사의 임직원이 아닌 자로 하고, 4년 이상의 정보보호 분야 또는 5년 이상 정보기술 분야(정보보호 2년 포함)의 경력을 구비하도록 함   정보통신망법 개정 이유에서 밝혔던 “CISO 제도의 실효성 확보”가 이뤄지려면 다음 사항이 심도 있게 검토될 필요가 있다고 판단된다. 첫째, CEO 이외에 다른 임원이 없다면 CEO가 CISO를 겸직해야 한다는 점을 명확히 할 필요가 있다. 정보통신망법과 개인정보보호법의 CPO 지정 조항에서는 사업주(대표자)가 CPO가 될 수 있게 함으로써 이런 문제를 해결하였다. 둘째, ‘임원급’에 대한 문제이다. ‘급'이란 표현이 있어서, 일부 기업에서 &lsq...

2019.04.05

강은성의 보안 아키텍트 | ISMS/PIMS 인증과 IoT 보안인증

기업에서 많이 받는 인증 중에 ISO 9001(품질경영시스템) 인증이 있다. 한국표준협회에서는 ISO 9001 인증은, “모든 산업 분야 및 활동에 적용할 수 있는 품질경영시스템의 요구사항”인 ISO 9001 국제 표준을 “제품 또는 서비스의 실현 시스템이 충족하고 유효하게 운영하고 있음을 제3자가 객관적으로 인증”해 주는 것이라고 설명하고 있다. 즉 인증은 제정된 ‘요구사항’을 ‘충족’하는지 여부를 공신력 있는 제3자가 ‘검증’해 주는 것이다. 보안컨설팅 기업이 사전 컨설팅도 하고, 인증심사도 하고, 확인증도 부여하는 구조적 문제를 포함해 부실하다는 비판을 받았던 ‘정보보호 안전진단’이 전면 폐지되면서, 2012년 정보통신망법 제47조(정보보호 관리체계의 인증)를 근거로 정보보호 관리체계(ISMS) 인증이 도입되었다. ‘정보보호 관리체계 인증 등에 관한 고시’(미래창조과학부 고시)에서는 ISMS 인증기준으로 13개 통제분야, 92개 통제항목을 정의하였다. ISO 9001 인증에서의 ‘요구사항’에 해당된다. 같은 법 제47조의3에서 규정한 개인정보보호 관리체계(PIMS) 인증 역시 ‘개인정보보호 관리체계 인증 등에 관한 고시’(방송통신위원회 고시)에서 9개 영역, 최대 86개 항목의 인증기준을 설정하였다. 2014년 국정감사에서 유승희 의원은 PIMS 인증을 받은 24개 기업 중 5개 기업에서 ‘개인정보 및 비밀번호 유출사고’가 발생하였다고 하면서 그 이유로 인증심사원의 역량 부족과 획일적 심사기간에 따른 심사의 부실화라고 짚었다. 보완해야 할 점이 있을 것이다. 다만 본질적으로 이런 질문을 할 수 있을 것 같다. 위 문제를 해결하는 수준으로 인증을 강화하면 PIMS 인증 취득기업에는 개인정보 유출사고가 발생하지 않을 것인가? 또는 PIM...

CSO 개인정보 인증 PIPL ISO 9001 인증 품질경영시스템 강은성 사물인터넷 PIMS KISA 인증 취약점 CISO 사물인터넷 정보보호로드맵

2017.07.14

기업에서 많이 받는 인증 중에 ISO 9001(품질경영시스템) 인증이 있다. 한국표준협회에서는 ISO 9001 인증은, “모든 산업 분야 및 활동에 적용할 수 있는 품질경영시스템의 요구사항”인 ISO 9001 국제 표준을 “제품 또는 서비스의 실현 시스템이 충족하고 유효하게 운영하고 있음을 제3자가 객관적으로 인증”해 주는 것이라고 설명하고 있다. 즉 인증은 제정된 ‘요구사항’을 ‘충족’하는지 여부를 공신력 있는 제3자가 ‘검증’해 주는 것이다. 보안컨설팅 기업이 사전 컨설팅도 하고, 인증심사도 하고, 확인증도 부여하는 구조적 문제를 포함해 부실하다는 비판을 받았던 ‘정보보호 안전진단’이 전면 폐지되면서, 2012년 정보통신망법 제47조(정보보호 관리체계의 인증)를 근거로 정보보호 관리체계(ISMS) 인증이 도입되었다. ‘정보보호 관리체계 인증 등에 관한 고시’(미래창조과학부 고시)에서는 ISMS 인증기준으로 13개 통제분야, 92개 통제항목을 정의하였다. ISO 9001 인증에서의 ‘요구사항’에 해당된다. 같은 법 제47조의3에서 규정한 개인정보보호 관리체계(PIMS) 인증 역시 ‘개인정보보호 관리체계 인증 등에 관한 고시’(방송통신위원회 고시)에서 9개 영역, 최대 86개 항목의 인증기준을 설정하였다. 2014년 국정감사에서 유승희 의원은 PIMS 인증을 받은 24개 기업 중 5개 기업에서 ‘개인정보 및 비밀번호 유출사고’가 발생하였다고 하면서 그 이유로 인증심사원의 역량 부족과 획일적 심사기간에 따른 심사의 부실화라고 짚었다. 보완해야 할 점이 있을 것이다. 다만 본질적으로 이런 질문을 할 수 있을 것 같다. 위 문제를 해결하는 수준으로 인증을 강화하면 PIMS 인증 취득기업에는 개인정보 유출사고가 발생하지 않을 것인가? 또는 PIM...

2017.07.14

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13