'인증'에 해당되는 글 4건

  1. [기사] ISMS, PIMS, PIPL 간략 비교
  2. [기사] PIPL 인증 취득 전략
  3. [자료] PIPL 컨퍼런스 발표자료
  4. [정리] PIPL 인증?

[기사] ISMS, PIMS, PIPL 간략 비교

[보안뉴스 김경애] 현재 국내에서 시행하고 있는 정보보호관리체계 인증제도는 ISMS, PIMS, PIPL 등 총 3가지. 그러나 기업 및 기관 입장에서는 각각의 특성을 고려할 때 어떤 인증이 유용하고 효율적인지 헷갈리는 경우가 적지 않다. 이에 따라 본지는 국내에서 시행하고 있는 보안관련 3대 인증에 대해 정리해 봤다.


인증 체계 소개

(1) ISMS(Information Security Management System)

미래창조과학부(이하 미래부)가 정책기관이고, 한국인터넷진흥원(이하 KISA)이 인증기관인 ISMS는 정보통신망의 안전성 확보를 위해 기술적·물리적·관리적 보호조치 등 종합적인 정보보호 관리체계를 평가하는 인증제도다. 


인증 운영은 △정보보호정책 수립 및 범위설정 △경영진 책임 및 조직 구성 △위험관리 △정보호호대책 구현 △사후관리의 5단계 과정을 거쳐 수립·운영되고, 정보보호대책 요구사항(선택항목)으로는 정보보호 관련 위험을 통제하기 위해 13개 통제분야에 대해 92개 통제사항을 제시하고 있다.


모든 공공기관 및 기업의 경우 인증신청이 가능하며,  △기간통신사업 허가를 받은 자로서 정보통신망 서비스 제공지역이 ‘서울특별시 및 모든 광역시’인 사업자 △집적정보통신시설 사업자(IDC) △정보통신서비스부문 전년도 매출액 100억 이상 또는 전년도말 기준 3개월간 일일평균 이용자 수 100만명 이상인 정보통신서비스 제공자는 의무적으로 인증을 취득해야 한다.


(2) PIMS(Personal Information Management System)

방송통신위원회가 정책기관이고, 개인정보보호협회가 위탁해 KISA가 인증하는 PIMS는 기업이 개인정보보호 활동을 체계적·지속적으로 수행하기 위해 필요한 보호조치 체계를 구축했는지 여부를 점검하고, 평가해 기업에게 부여하는 인증제도다. 

인증체계는 개인정보관리과정, 개인정보보호대책 및 개인정보생명주기 3개 분야의 118개 통제 항목, 325개의 세부점검 사항으로 구성된다. 인증대상은 개인정보를 처리하는 기업 및 기관, 개인이라면 누구나 가능하고, 인증취득은 자율이다.


(3) PIPL(Personal Information Protection Level)

안전행정부가 정책기관이고 한국정보화진흥원이 인증기관인 PIPL은 2013년 11월부터 본격 시행된 개인정보보호 인증제도다. 개인정보를 수집·이용하고 있는 공공기관 및 민간 기업이 ‘개인정보보호법’에서 요구하는 보호조치와 활동을 이행하고 일정수준 이상 달성했는지를 승인하는 제도로 인증대상은 공공기관·대기업·중소기업·소상공인에 따라 4가지 유형으로 분류되고, 자율 인증제도다.


인증 취득시 혜택 
(1) ISMS 
인증 취득에 있어 혜택도 각 인증 종류에 따라 다양하다.

 ▲ 국내 보안인증 체계 및 혜택 비교·분석 표


ISMS 인증을 취득한 기업에게는 가산점과 요금할인 등의 혜택이 있다. 미래창조과학부의 경우 보안관제 전문업체 ‘업무수행능력 평가기준’ 신뢰도 항목에서 정보보호 인증기업에 5점(만점)을 부여하고, 2010년 신설된 혜택으로 공공부문 정보시스템 기획·구축·운영 사업자는 SW개발사업자 선정 시 기밀보안 평가항목에서 만점을 부여한다.


KISA는 정보보호대상 업체에게 입찰 또는 과제선정 평가 시 가점을 부여하고, 신용평가 기관은 한국신용평가정보 기업신용평가 시 가점을 부여한다. 또한 한국기업지배구조원은 상장기업 ESG(환경, 사회, 지배구조) 평가 시, 소비자항목에 가산점을 부여(2010년 신설 혜택)한다.


요금할인 혜택은 보험사를 대상으로 배상책임보험 등 정보보호관련 보험 가입 시 할인받을 수 있다.


ISMS인증 수수료 할인의 경우 KISA는 정보보호大賞 시상식에서 대상·우수상·특별상을 수상한 기업에게 50~100% 수수료를 할인해 주고, 상시 근로자 수 50명 미만 또는 매출액 50억 미만의 소규모 기업의 경우 50% 할인혜택이 있다.


(2) PIMS

PIMS 인증 취득시 혜택은 기업이 개인정보 사고 발생 시 과징금, 과태료를 경감해 준다. 과징금은 위반 전기통신사업자가 개인정보보호를 위해 방송통신위원회가 인정할 경우 100분의 50이내이며, 과태료는 위반행위의 동기·내용·결과·유형 및 개인정보보호를 위한 사업자 노력 등을 고려해 과태료 금액의 2분의 1의 범위에서 그 금액을 가중 또는 감경받을 수 있다.


(3) PIPL

PIPL 인증취득기관은 ‘개인정보보호법’에 따라 실시되는 기획점검 대상에서 제외되거나 실시유예 혜택을 받게 된다. 만약 행정처분을 받게 될 경우 처분이 감경될 수도 있다.


또한, 개인정보보호 우수기관 포상, 개인정보 보호 인증 관련 교육기회 및 정보제공 등의 혜택과 인증취득으로 부여받은 인증마크는 국민들로부터 개인정보를 안심하고 맡길 수 있는 기관이라는 객관적인 판단의 기준으로 활용될 수 있다.


출처 : http://www.boannews.com/media/view.asp?idx=39300&page=1&kind=1&search=title&find=

[기사] PIPL 인증 취득 전략

PIPL 인증 취득에 있어 핵심 관건은 신청기관의 사전준비 여부


[보안뉴스=김두현 한국정보화진흥원 부장] 개인정보 보호 인증이란 개인정보를 수집·이용하고 있는 공공기관 및 민간 기업이 ‘개인정보보호법’에서 요구하는 일련의 보호조치와 활동을 이행하고 일정수준 이상을 달성하였음을 승인하는 제도이다. 

개인정보 처리자가 개인정보 보호 관리체계 수립·운영, 개인정보 처리단계별 기준과 절차 준수, 안전한 관리, 정보주체의 권리보장 등을 지속적으로 추진하는지 여부를 확인하고 인증을 부여한다. 


개인정보 보호 인증이 도입된 배경은 빈번하게 발생하는 개인정보 유출을 방지하기 위해 개인정보를 처리하는 기관이나 기업들이 개인정보 보호 법령에 따라 자율적인 개인정보보호 활동을 지속하고 있으나, 이러한 노력에 따른 기관의 개인정보 보호수준을 확인할 수 있는 제도적 장치는 부족하기 때문이다. 개인정보 처리자가 스스로 체계적이고 지속적인 개인정보 보호활동을 촉진할 수 있는 수단이 필요했으며, 이에 2013년 11월부터 개인정보 보호 인증(PIPL)이 본격적으로 시행되고 있다.


이를 통해 개인정보 처리자는 인증 과정을 통해 개인정보 보호수준의 개선 및 유지를 위한 효과적인 관리체계를 확보하게 될 것이다. 이와 더불어 인증취득기관은 ‘개인정보보호법’에 따라 실시되는 기획점검 대상에서 제외되거나 실시유예의 혜택을 받게 되며, 행정처분을 받게 될 경우 그 처분이 감경될 수도 있다. 

또한, 개인정보 보호 우수기관 포상, 개인정보 보호 인증 관련 교육기회 및 정보제공 등의 혜택도 함께 누릴 수 있다. 그리고 인증취득으로 부여받은 인증마크는 국민들로 부터 개인정보를 안심하고 맡길 수 있는 기관이라는 객관적인 판단의 기준으로 활용될 수도 있다.


개인정보 보호 인증유형과 체계

인증신청은 업무를 목적으로 개인정보를 처리하는 공공기관, 민간기업, 법인, 단체, 개인 등 모든 개인정보 처리자가 가능하다. 다만, 인증 신청 시에는 기관의 규모 및 특성에 따라 인증유형을 구분해 신청해야 한다.


민간부문의 경우 소상공인, 중소기업, 대기업 등 3개 유형으로 신청할 수 있으며, 공공부문은 단일유형으로 되어 있어 공공기관으로 신청하면 된다.


인증심사의 종류는 처음 인증신청을 할 때 받는 최초심사, 인증의 유효기간 내에 개인정보보호 수준을 지속적으로 유지관리하고 있는지 여부를 확인하는 유지관리심사, 인증의 유효기간(3년)내에 인증대상의 범위가 확대 혹은 축소 등의 변경이 발생하여 실시하는 변경심사, 그리고 인증취득기관이 유효기간 만료일 이전에 인증유효기간을 연장하기 위하여 실시하는 갱신 심사로 구분된다. 


개인정보 보호 인증은 한국정보화진흥원(NIA)이 인증기관으로서 인증심사팀을 구성해 인증심사를 실시하고 인증서를 부여한다. 물론 인증심사 결과는 전문가로 구성된 인증위원회의 심의·의결을 통해 최종 인증부여 여부가 결정되며, 제도의 개선 및 정책 결정은 안전행정부에서 담당한다.


개인정보 보호 인증기준과 절차

인증기준과 절차는 안전행정부 고시(「개인정보 보호 인증제 운영에 관한 규정」 제2013-45호)에 근거를 두고 있으며, 세부적인 사항은 한국정보화진흥원의 ‘개인정보 보호 인증(PIPL) 안내서’(2013.11)에 규정되어 있다.


개인정보 보호 인증심사의 프레임워크는 ‘개인정보 보호 관리체계’와 ‘개인정보 보호대책’ 등 2개 분야로 구성되어 있다.


‘개인정보 보호 관리체계’ 분야는 개인정보 보호과정이 지속적으로 운영되기 위한 원칙인 PDCA(Plan-Do-Check-Act)의 관점에서 ‘관리체계 수립’, ‘실행 및 운영’, ‘검토 및 모니터링’, ‘교정 및 개선’ 등 4개의 단계로 심사영역을 구분하고 있다. 개인정보보호 환경과 그 위험이 지속적으로 변화하고 있는 상황에서 개인정보 보호를 위한 관리체계를 구축하고 일회적인 추진이 아니라 지속적으로 유지·관리되는 순환주기를 갖추고 있는지가 주요한 심사대상이다.


‘개인정보 보호대책’ 분야는 개인정보의 처리단계(수집·이용·제공·저장·파기)별 법적 요구사항의 준수, 정보주체의 권리보장을 위한 보호대책 구현, 관리적·기술적·물리적 안전성 확보조치 등의 이행여부가 심사영역이다. 


인증절차는 ‘인증심사 준비단계’, ‘심사단계’, ‘인증단계’로 진행된다. 먼저 인증심사 준비단계는 인증을 준비한 신청기관이 인증신청서를 제출하고 본격적인 인증심사 전에 신청기관의 심사준비상황을 점검하고 인증기관과 신청기관이 인증심사 계약을 체결하는 과정이 포함된다. 


다음으로 심사단계에서는 인증기관이 인증심사팀을 구성하고, 심사계획을 수립해 신청기관에 통보하고, 인증심사를 수행하고, 인증심사기준에서 부적합한 사항에 대한 보완조치를 요청하는 과정으로 진행된다. 마지막으로 인증단계에서는 신청기관이 인증심사에 따른 부적합사항에 대해 보완·조치한 결과가 이상이 없는 경우 심사결과가 인증위원회에 제출되어 심의·의결을 받게 된다. 인증위원회의 최종 검토결과에 따라 인증부여가 의결되면 인증기관은 인증서를 최종 부여하게 된다.


개인정보 보호 인증(PIPL) 취득 전략

개인정보 보호 인증 취득에서 핵심 관건은 신청기관의 인증에 대한 사전준비 여부다. 인증신청기관은 사전에 개인정보 보호 관리체계를 구축·운영하고 인증심사기준에 따른 조치사항을 이행한 후 인증을 신청해야 한다. 


구체적으로 신청기관은 먼저 개인정보 보호 인증취득 계획을 수립해야 한다. 계획에는 개인정보보호 인증취득을 수행할 전담부서와 협조가 요구되는 관련 부서, 그리고 이들 간의 조정방안 등이 마련되어야 하며, 이를 최종 기관장에게 보고하고 승인을 얻는 과정이 포함돼야 한다.


인증취득 전담부서는 사전에 개인정보 보호 인증에 대한 이해 및 인증절차와 기준을 학습해야 한다. 이때 외부 전문 업체 또는 전문가의 협조가 포함될 수 있으나, 기관별 특성과 예산 등을 고려하여 그 참여여부가 결정될 수 있다. 또한 전담부서는 기관내 개인정보 보호 인증 취득의 목적과 전략을 확인해야 한다. 취득목적과 전략 수립시 기관내 개인정보 보호책임자 및 기관장의 명확한 방침도 확인하는 것이 중요하다.


그리고 신청기관은 인증취득시점, 대상범위, 예산 등을 확인해야 한다. 이때 신청기관은 기관의 개인정보처리 현황을 파악하여 인증대상의 범위를 설정해야 하며, 설정된 인증대상 범위에 대해 개인정보 보호 관리체계를 구축하고 관리체계에 따라 개인정보 보호대책을 수립해 일정기간(3개월) 이상 이행실적을 관리해야 한다. 

즉, 신청기관은 인증기준에서 요구하고 있는 위험분석, 내부감사 등의 중요 관리 프로세스 이행과 그 이행 증적을 갖추기 위해 기관자체 또는 외부컨설팅을 활용해 추진해야 한다. 결국 이러한 사전 준비과정과 기간, 예산 등을 종합적으로 고려하여 인증취득 시점을 준비해야 한다.


이상의 준비절차는 일반화된 과정이기 때문에 조직의 경험과 환경에 따라 다양화 될 수 있다. 특히, 인증취득은 개인정보 보호책임자 또는 기관장의 의사가 크게 작용하는 분야이므로 각 단계별로 보고절차를 거쳐 원활한 의사소통이 이루어질 수 있도록 하는 것이 중요하다.


개인정보 보호 인증은 개인정보 처리자의 자율적인 개인정보 보호활동을 촉진 및 지원하기 위해 시행 중이다. 인증과정은 인증신청기관에게 체계적이고 지속적인 개인정보 보호활동을 수행할 수 있는 방법론을 활용하도록 함으로써 개인정보보호를 위한 보호대책 수립이 용이하고, 개인정보취급자의 부주의 및 관리소홀, 개인정보의 유·노출, 정보주체의 권리 미보장, 안전성 확보조치 미흡 등 다양한 개인정보 침해가능성을 최소화하는데 기여할 수 있을 것이다.

[글_김 두 현 한국정보화진흥원 개인정보보호사업부 부장(duhyun@nia.or.kr)] 


출처 : http://www.boannews.com/media/view.asp?idx=39207&page=1&kind=1&search=title&find=

[자료] PIPL 컨퍼런스 발표자료


개인정보보호 인증 개요 및 심사기준.pdf


PIPL 컨퍼런스 NIA 김두현 부장님의 발표자료입니다. 


[정리] PIPL 인증?

지난 11월 29일 부로 한국정보화진흥원(NIA)에서 인증하는 PIPL(Personal Information Protection Level) 이 본격적으로 시작되었다. 


PIPL은 시행 전부터 안행부의 PIA와 KISA의 PIMS 인증과 중복인증이 될 수 있다는 지적을 받아는데 이에 정보화진흥원에서는 PIPL 인증은 대기업, 공기업뿐만 아니라 소상공인, 중소기업들이 개인정보보호법을 준수하고 정보보호 수준을 높일 수 있도록 유도하기 위한 인증제도라는 점을 들어 기존 인증과의 차별성을 강조했다. 


인증 대상 기관은 개인정보 보호법에 적용되는 모든 개인정보처리자이며 인증은 자율적으로 시행한다. 인증심사기준은 신청기관의 유형(공공기관, 대기업, 중소기업, 소상공인)에 따라 달리 적용하여 심사한다. 


PIPL의 인증심사는 '개인정보 보호 관리체계'와 '개인정보 보호대책 구현' 두 가지 분야로 나누어 심사가 이루어 지게 된다. 


<그림 1> 개인정보 보호 관리체계 인증 범위


<그림 2> 개인정보 보호대책 구현 인증 범위


세부 인증 항목 범위는 아래와 같다. 


보호 관리체계의 수립 : 관리계획, 조직, 경영진의 책임, 

실행 및 운영 : 문서화, 개인정보 식별, 위험관리

검토 및 모니터링 : 개인정보 보호 관리체계의 검토 및 모니터링

교정 및 개선 : 교정 및 개선 활동, 내부공유 및 인식제고


개인정보 처리 : 개인정보의  수집 시, 이용 및 제공 시, 보유 시, 파기 시 보호조치

정보주체 권리보장 : 권리보장

관리적 안전성 확보조치 : 개인정보 보호책임자의 지정, 교육 및 훈련, 개인정보취급자 관리, 위탁업무 관리, 개인정보 유출사고 대응

기술적 안전성 확보조치 : 접근권한 관리, 접속기록 관리, 운영보안, 암호화 통제, 개발 보안

물리적 안전성 확보조치 : 영상정보처리기기 관리, 물리적 보안관리


PIPL 인증 신청 시 인증 절차는 준비단계, 심사단계, 인증단계로 이루어 지고 인증 후 유지관리를 위한 유지관리 단계가 있다. 


인증의 유효기간은 인증 완료 후로부터 3년 이고 연 1회 이상 유지관리 심사를 신청해야 한다. 만일 인증 취득 기관의 사업의 변경 또는 확장등의 이유로 인증대상의 범위를 확대·축소해야할 경우에 변경심사를 요청할 수 있으며, 인증의 갱신 심사의 경우 유효기간 만료 90일 전까지 신청이 가능하고 갱신심사 통과 시 인증의 유효기간을 3년 간 연장할 수 있다.


<그림 3> 단계별 인증심사 절차


심사를 거쳐 인증을 득한 기관은 <그림 4>와 같은 인증 마크를 취득하게 되고 개인정보 보호법에 따라 실시하는 기획점검 대상 제외, 실시 유예, 행정 처분 감경 등의 혜택이 있다. 


<그림 4> 인증 획득 기관 마크 예시


* 인증에 관한 개인적인 의견 


NIA에서는 중소기업 및 소상공인 들의 개인정보 보호를 유도하고 정보보호 수준을 높이기 위한 인증이라는 점을 들어 기존의 인증과의 차별성을 들고 있는데 이말은 즉, 공기업과 대기업에서는 PIPL인증을 받을 필요까지는 없다고 직접 말하고 있는 것으로 생각 할 수 있지 않을까? 


또, 인증 비용에 부담을 갖지 않도록 소상공 인증 신청자의 경우 인증심사원의 인건비 수준의 수수료를 인증비용으로 책정하겠다고 하는데 그 전에 현재 PIPL인증 심사원의 수가 극히 적다. (듣기로는 40여명 정도) 게다가 심사원의 대부분이 ISMS나 PIMS 인증 심사원을 겸직하고 있는 실정이라 제때에 인증을 할 수 있는 심사원이 몇명정도 일지는,,, 때마침 정보화진흥원에서도 열심히 PIPL 인증심사원을 모집하고는 있다. 


인증 취득 기관에 대한 혜택또한 인증 시행 초반임을 감안하여도 아직까지는 너무나 미비한 상황이다. 세금 감면이나 법적 처벌 감경 등의 혜택은 PIMS 인증 시에도 얻을 수 있는 것이고 어서 빨리 실질적인 혜택을 마련해야 기관들의 PIPL 인증에 대한 필요성을 느끼게 해줄 것이다. 


내가 보안 담당자라면 PIA와 PIMS와 중복되는 PIPL은 인증 받지 않을 것 같다. 


* 혼동 되서 막간 정리


PIA(Privacy Impact Assessment) 의무, 안행부 인증

PIPL(Personal Information Protection Level) 자율, 한국정보화진흥원(NIA) 인증

PIMS(Personal Information Management System) 자율, KISA 인증


* PIPL 인증 가이드라인과 관련 서식


PIPL 인증 가이드라인,.zip




인증 심사원 모집 공지 : 

http://www.nia.or.kr/BBS/board_view.asp?BoardID=201112021126599835&id=12170&Order=020100&Flag=200&objpage=0)


참고 및 관련기사 : 

http://www.boannews.com/media/view.asp?idx=38498&kind=1&search=title&find=PIPL

http://www.boannews.com/media/view.asp?idx=38405&kind=1&search=title&find=PIPL

http://www.boannews.com/media/view.asp?idx=38756&kind=1&search=title&find=pipl

http://www.boannews.com/media/view.asp?idx=38130

http://www.ddaily.co.kr/news/news_view.php?uid=111106