지난 11월 29일 부로 한국정보화진흥원(NIA)에서 인증하는 PIPL(Personal Information Protection Level) 이 본격적으로 시작되었다.
PIPL은 시행 전부터 안행부의 PIA와 KISA의 PIMS 인증과 중복인증이 될 수 있다는 지적을 받아는데 이에 정보화진흥원에서는 PIPL 인증은 대기업, 공기업뿐만 아니라 소상공인, 중소기업들이 개인정보보호법을 준수하고 정보보호 수준을 높일 수 있도록 유도하기 위한 인증제도라는 점을 들어 기존 인증과의 차별성을 강조했다.
인증 대상 기관은 개인정보 보호법에 적용되는 모든 개인정보처리자이며 인증은 자율적으로 시행한다. 인증심사기준은 신청기관의 유형(공공기관, 대기업, 중소기업, 소상공인)에 따라 달리 적용하여 심사한다.
PIPL의 인증심사는 '개인정보 보호 관리체계'와 '개인정보 보호대책 구현' 두 가지 분야로 나누어 심사가 이루어 지게 된다.
<그림 1> 개인정보 보호 관리체계 인증 범위
<그림 2> 개인정보 보호대책 구현 인증 범위
세부 인증 항목 범위는 아래와 같다.
보호 관리체계의 수립 : 관리계획, 조직, 경영진의 책임,
실행 및 운영 : 문서화, 개인정보 식별, 위험관리
검토 및 모니터링 : 개인정보 보호 관리체계의 검토 및 모니터링
교정 및 개선 : 교정 및 개선 활동, 내부공유 및 인식제고
개인정보 처리 : 개인정보의 수집 시, 이용 및 제공 시, 보유 시, 파기 시 보호조치
정보주체 권리보장 : 권리보장
관리적 안전성 확보조치 : 개인정보 보호책임자의 지정, 교육 및 훈련, 개인정보취급자 관리, 위탁업무 관리, 개인정보 유출사고 대응
기술적 안전성 확보조치 : 접근권한 관리, 접속기록 관리, 운영보안, 암호화 통제, 개발 보안
물리적 안전성 확보조치 : 영상정보처리기기 관리, 물리적 보안관리
PIPL 인증 신청 시 인증 절차는 준비단계, 심사단계, 인증단계로 이루어 지고 인증 후 유지관리를 위한 유지관리 단계가 있다.
인증의 유효기간은 인증 완료 후로부터 3년 이고 연 1회 이상 유지관리 심사를 신청해야 한다. 만일 인증 취득 기관의 사업의 변경 또는 확장등의 이유로 인증대상의 범위를 확대·축소해야할 경우에 변경심사를 요청할 수 있으며, 인증의 갱신 심사의 경우 유효기간 만료 90일 전까지 신청이 가능하고 갱신심사 통과 시 인증의 유효기간을 3년 간 연장할 수 있다.
<그림 3> 단계별 인증심사 절차
심사를 거쳐 인증을 득한 기관은 <그림 4>와 같은 인증 마크를 취득하게 되고 개인정보 보호법에 따라 실시하는 기획점검 대상 제외, 실시 유예, 행정 처분 감경 등의 혜택이 있다.
<그림 4> 인증 획득 기관 마크 예시
* 인증에 관한 개인적인 의견
NIA에서는 중소기업 및 소상공인 들의 개인정보 보호를 유도하고 정보보호 수준을 높이기 위한 인증이라는 점을 들어 기존의 인증과의 차별성을 들고 있는데 이말은 즉, 공기업과 대기업에서는 PIPL인증을 받을 필요까지는 없다고 직접 말하고 있는 것으로 생각 할 수 있지 않을까?
또, 인증 비용에 부담을 갖지 않도록 소상공 인증 신청자의 경우 인증심사원의 인건비 수준의 수수료를 인증비용으로 책정하겠다고 하는데 그 전에 현재 PIPL인증 심사원의 수가 극히 적다. (듣기로는 40여명 정도) 게다가 심사원의 대부분이 ISMS나 PIMS 인증 심사원을 겸직하고 있는 실정이라 제때에 인증을 할 수 있는 심사원이 몇명정도 일지는,,, 때마침 정보화진흥원에서도 열심히 PIPL 인증심사원을 모집하고는 있다.
인증 취득 기관에 대한 혜택또한 인증 시행 초반임을 감안하여도 아직까지는 너무나 미비한 상황이다. 세금 감면이나 법적 처벌 감경 등의 혜택은 PIMS 인증 시에도 얻을 수 있는 것이고 어서 빨리 실질적인 혜택을 마련해야 기관들의 PIPL 인증에 대한 필요성을 느끼게 해줄 것이다.
내가 보안 담당자라면 PIA와 PIMS와 중복되는 PIPL은 인증 받지 않을 것 같다.
* 혼동 되서 막간 정리
PIA(Privacy Impact Assessment) 의무, 안행부 인증
PIPL(Personal Information Protection Level) 자율, 한국정보화진흥원(NIA) 인증
PIMS(Personal Information Management System) 자율, KISA 인증
* PIPL 인증 가이드라인과 관련 서식
PIPL 인증 가이드라인,.zip인증 심사원 모집 공지 :
참고 및 관련기사 :
http://www.boannews.com/media/view.asp?idx=38498&kind=1&search=title&find=PIPL
http://www.boannews.com/media/view.asp?idx=38405&kind=1&search=title&find=PIPL
http://www.boannews.com/media/view.asp?idx=38756&kind=1&search=title&find=pipl
http://www.boannews.com/media/view.asp?idx=38130
http://www.ddaily.co.kr/news/news_view.php?uid=111106
'old > 관리적 보안' 카테고리의 다른 글
| [기사] PIPL 인증 취득 전략 (0) | 2014.01.07 |
|---|---|
| [기사] 인증 심사원 이란? (0) | 2013.12.23 |
| [자료] PIPL 컨퍼런스 발표자료 (0) | 2013.12.09 |
| [자료] 2013 CodeEngn 보안컨설팅 이해 발표자료 (0) | 2013.12.02 |
| [자료] SK커뮤니케이션즈 원고승 판결문 (0) | 2013.11.29 |
