• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

효과적인 개인정보보호체계 구축 프로세스는? 2012.10.02

개인정보보호에 대한 명확한 책임·역할 정의가 우선


[보안뉴스=신현민 인포섹 수석컨설턴트] 개인정보보호를 하기 위해서 사업자에게 필요한 준비와 대응방안은 다음과 같다.


개인정보보호 조직 구성과 책임자 및 관리자의 역할 정의

개인정보보호 이슈에 따른 핵심 현안을 해결할 수 있는 상호 논의 및 조정 체계가 필요함에도 불구하고 대다수 기업들은 개인정보보호와 관련된 업무에 대한 책임소재를 두고 IT부서와 정보보호 또는 관리부서간의 이해 상충 등 개인정보보호 조직 및 체계를 구성하는데 상당한 어려움을 겪고 있다.


따라서 개인정보보호 조직을 구성하는데 있어 조직간 상호 논의 및 협조 체계를 구성하고 명확한 책임과 역할을 분명하게 정의하는 것이 우선되어야 하며 경영자의 관심과 지원이 절대적으로 필요한 부분이다.


개인정보보호 조직 및 책임과 역할을 정의하기 위한 기본 구성은 다음과 같다.

·개인정보보호위원회를 구성하여 최종적인 총괄 조정 및 책임 역할 부여

·개인정보보호실무위원회 구성을 통한 개인정보보호 활동 활성화 및 통제 필요에 따른 부서 협력체계 강화

·정보보호/개인정보보호의 주무부서 지정 및 각 관련 부서 역할 정의 및 책임 부여

·각 부서별 관리자 및 담당자 등 실무자 공식 지정

·전사적으로 전 부서 개인정보보호 책임자, 관리자, 실무 담당자 지정

·각 부서 단위 업무 중심의 세부적인 개인정보보호 업무 역할 및 책임 정의


계획-이행-점검-개선의 프로세스 정의 및 이행

개인정보보호 책임자 및 담당자 지정, 개인정보보호 위원회 등 조직이 구성되면 법률을 반영한 정책/지침/절차를 수립하여 내부 구성원이 모두 알 수 있도록 공개하여 이행-점검-개선의 토대를 마련해야 한다. 개인정보보호법 제29조의 안전조치 의무 조항에 따라 내부관리계획을 수립하여 시행해야 하는데 내부관리계획에는 개인정보보호 취급자 지정 및 개인정보보호 책임자 및 개인정보 취급자의 책임과 역할, 개인정보 안전성 확보에 필요한 조치사항이 포함되어야 한다.


개인정보보호 내부관리계획 수립에 따라 계획-이행-점검-개선의 프로세스를 적용하여 교육 및 홍보 활동, 개인정보 흐름 및 위험분석, 개선방안 도출 및 적용, 주기적인 이행과 점검을 통해 문제점을 찾아내고 개선하는 활동을 지속적으로 수행해야 한다.


개인정보보호 정책/지침 및 내부관리계획 등 문서만 마련하고 실제 이행 및 점검을 하지 않는다면 무용지물이므로 책임자 및 담당자는 컴플라이언스를 준수하되 조직에 맞게 전 구성원이 실천할 수 있도록 적용성, 유연성 등 Trade-off 관계를 감안하여 계획을 수립하여 이행을 하는 것이 중요하고 이행 및 점검 후에는 이력관리를 하여 개선할 수 있어야 한다.


개인정보 라이프사이클 관리 철저

개인정보보호를 위해 사업자들은 ①개인정보의최소 수집 ②주민등록번호와 건강정보 등 민감정보 수집 금지 및 이용제한 ③수집목적과 다르게 사용하거나 위탁 및 제3자 제공 금지 ④개인정보처리방침 공개(정보통신망법 적용 사업자는 개인정보 취급방침) ⑤개인정보가 침해사고 등으로 유출되지 않도록 방화벽, 백신, 접근통제 등 기술적 보호조치 이행 ⑥개인정보의 이용목적이 끝난 후에는 반드시 파기 ⑦개인정보 유출 시 즉시 정보주체에게 통보 ⑧CCTV 운영 시 안내판 설치 ⑨개인정보보호 지침 및 문서 구비 ⑩집단분쟁조정, 단체소송에 대비 등 앞서 언급된 의무 사항들을 반드시 준수하는 한편 개인정보를 누가, 언제, 어떻게, 어디에 수집, 저장, 이용, 제공, 파기하고 있는지 개인정보 취급 Process 점검 관리를 철저히 해 개인정보 유출사고에 대응해야 한다.


개인정보보호 인식제고

기업의 책임자, 담당자들 중 솔루션만 도입하면 완벽하게 유출사고를 예방할 수 있다고 생각하는 경우가 의외로 많다. 그러나 최근 개인정보 유출사고 사례를 보면 알 수 있듯 개인정보유출 방지 시스템을 구축하여 기술적 보호조치를 했다고 해서 모든 유출사고에 100% 대응할 수 있는 것은 아니다.


개인정보 유출사고의 대부분이 사람에 의해 발생되었다는 점에서 개인정보 라이프사이클의 각 단계별 준수사항에 대한 구성원의 정기적인 교육, 훈련 등을 통해 개인정보보호 인식제고 노력을 함으로써 개인정보 유출사고 예방을 하는 것이 가장 중요한 것이다.


이제 개인정보보호는 더 이상 선택이 아닌 조직의 생존을 위한 필수사항이 되었다. 공공기관 및 기업들은 개인정보보호를 위해 개인정보보호 조직 구성 및 정책/지침을 수립하고 컴플라이언스 측면에서 반드시 준수해야 할 기술적·관리적 보호대책을 인력, 투자비용 등을 고려하여 조직에 맞게 정의하여 내부관리계획을 수립해야 한다.


또한 개인정보보호 인식제고를 기반으로 계획-이행-점검-개선의 프로세스에 따라 사람, 프로세스, 시스템이 유기적으로 결합하여 개인정보를 지속적으로 보호할 수 있도록 체계적으로 노력할 때 비로소 신뢰성 있는 개인정보보호가 가능하다.
[글_신 현 민 인포섹 컨설팅사업본부 수석컨설턴트(frank@skinfosec.co.kr)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>