개인정보보호 거버넌스부터 통제대책까지 실무자가 반드시 알아야 할 모든 것

[보안뉴스 권 준 기자] 개인정보보호법을 준수해야 하는 조직은 컴플라이언스 차원을 넘어서 조직의 소중한 정보자산 중의 하나인 개인정보를 적절히 보호하기 위한 체계를 반드시 갖춰야 한다. 이를 위한 노력으로 개인정보보호를 공공·기업 거버넌스의 일부로서 이사회와 고위 경영진의 책임으로 보는 개인정보보호 거버넌스가 수립·운영되어야 하고 지속적인 모니터링이 필요하다.

개인정보보호 전문가는 지식정보화 시대의 필수적인 해법이 되어야 한다. 아무리 좋은 자동차도 훌륭한 드라이버 없이는 그저 차고에서 오래 묵혀 두어 오래된 중고차로 전락하고 말 것이기 때문이다.

이러한 가운데 새롭게 출간된 신간 ‘정보보호 전문가를 위한 개인정보 보안 매뉴얼’(출판사: 인포더북스)의 저자들은 개인정보 및 정보보안 분야의 베테랑 전문가들로서, 이 책에서 개인정보보호 전문가가 반드시 갖추어야 할 필요한 역량을 제시했다.

첫째는 지식적 측면으로, 전문가가 반드시 학습해 자기 내재화해야 한다. 지식은 해당 실무를 하는데 기본을 만드는 것이다. 개인정보보호 분야에서는 특히 법이 기본이므로, ‘개인정보보호법’을 기본 지식으로 해야 한다. 또한, 정보보호에 대한 관리적·기술적·물리적 보호조치에 대한 지식도 반드시 필요하다고 강조한다. ‘개인정보보호법’과 정보보호에 대한 지식이 병행해 밑바탕인 지식이 되어야 한다는 얘기다.

둘째는 실무적 측면으로, 역량을 갖추는 것에 순서가 있다면 먼저 위에서 얘기한 지식을 내재화하고, 그 다음으로는 실무적 측면이다. ‘개인정보보호법’을 준수한다는 것은 개인정보처리자의 조직에서 개인정보취급자로서의 실무를 담당해야 할 때 더욱 중요시된다. 조직의 업무가 개인정보를 직·간접적으로 취급하고 있다면 지식의 측면을 갖추고 나서, 지식을 적용하는 실무에 전문가적이어야 한다.

셋째는 문화·윤리적 측면으로, 지식과 실무적 측면은 조직문화의 모습에 따라 그 조직의 윤리적 형태에 따라 개인정보보호에 대한 지식이나 실무가 잘 적용되기도 하고, 혹은 전혀 효력이 없을 수 있다.

‘개인정보보호법’은 정보주체의 권리와 개인정보처리자의 의무를 명시해 놓은 근간이다. 하지만 법이라는 테두리에 있기에 대부분의 사람들은 어렵다는 인식을 갖고 있다. 이 때문에 정보주체 개인의 소중한 개인정보에 대한 적절한 보호와 권리주장을 간과하게 된다. 정보주체의 개인정보를 가지고 업무목적으로 수집하고 이용하는 개인정보처리자는 적절한 보호조치를 취해야 하는 의무가 존재한다. 이 책은 조직원에게는 개인역량을 갖추게 하고, 조직에게는 컴플라이언스를 만족시키며, 일반 개인들에게는 자신들의 권리를 신장하는 계기를 마련해줄 것으로 기대된다.

[이 책의 차례]
PART 1. 개인정보보호 거버넌스

SECTION 01. 거버넌스(Governance)
1. 거버넌스 개념
2. 지식정보화 시대의 거버넌스
3. 공공/기업 거버넌스

SECTION 02. IT(정보기술) 거버넌스
1. IT 거버넌스
2. IT 거버넌스의 목표
3. IT 거버넌스 프레임워크

SECTION 03. 정보보호 거버넌스
1. 정보보호 거버넌스의 배경
2. 정보보호 거버넌스의 개념
3. 정보보호 거버넌스의 성과물(혹은 목표)

SECTION 04. 개인정보 거버넌스
1. 개인정보와 정보
2. 개인정보보호에 대한 기업의 사회적 책임

PART 2. 개인정보보호법

SECTION 01. 개인정보보호법의 기초와 개인정보보호 전문성
1. 법의 기본체계
2. 개인정보보호법 8원칙
3. Safe & Harbour 7원칙과 OECD 8원칙

SECTION 02. 개인정보보호를 위한 종합적인 체계 구축
1. 개인정보보호를 위한 체계 수립
2. 개인정보보호 전문가의 역량

PART 3. 개인정보보호 프로그램

SECTION 01. 개인정보 수명주기
1. 개인정보 수명주기
2. 개인정보 수집 및 보유 단계
3. 개인정보 이용 및 제공 단계
4. 개인정보 저장 및 관리 단계
5. 개인정보 파기 단계

SECTION 02. 개인정보의 수집 및 이용 제한과 동의
1. 개인정보의 수집·이용
2. 개인정보 동의

SECTION 03. 개인정보의 위탁 및 제공 그리고 파기
1. 개인정보의 제공
2. 업무위탁에 따른 개인정보의 처리 제한
3. 영업양도 및 개인정보취급자에 대한 감독
4. 개인정보의 파기

SECTION 04. 영상정보 및 민간정보의 처리제한
1. 영상정보의 처리 제한
2. 민간정보의 처리 제한
3. 고유식별정보의 처리 제한

PART 4. 개인정보 관리시스템

SECTION 01 개인정보보호 관리체계(PIMS) 인증제도
1. 개인정보보호 관리체계(PIMS) 인증제도 소개
2. 개인정보보호 관리체계(PIMS) 인증 추진체계
3. 개인정보보호 관리체계(PIMS) 인증 심사 대상
4. 개인정보보호 관리체계(PIMS) 인증 절차
5. 개인정보영향평가
6. 정보보호 관리체계(ISMS 인증제도)
7. ISO27001
8. BS10012

PART 5. 개인정보 통제대책

SECTION 01 개인정보 통제대책
1. 개인정보의 안전성 확보조치 기준
2. 개인정보의 기술적·관리적 보호조치 기준
3. 개인정보의 기술적·관리적 보호조치 기준 개요
4. 개인정보의 보호조치 기준의 법적 성격
5. 개인정보의 기술적·관리적 보호조치 관련 법 및 시행령
6. 영상정보처리기기 설치·운영 가이드라인
7. 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
8. 영상정보처리기기 설치 및 관리 등의 위탁에 관한 사항
9. 개인정보보호 FAQ

참고문헌, 자료 및 인터넷 사이트

[도서정보]
도서명 : 개인정보 보안 매뉴얼
지은이 : 조희준, 이준화, 이정구
분 야 : IT / 컴퓨터
쪽 수 : 304쪽
정 가 : 28,000원

[저자 소개]
조희준(josephc@korea.ac.kr)
- 현 IT컨설팅/감리법인 ㈜씨에이에스 컨설팅 상무이사
- 강원대학교 겸임교수, 대구카톨릭대학교 산학협력교수
- 세종사이버대학교 외래교수, 서울디지털대학교 초빙교수
- 라이지움 평생교육권 전임교수
- 행정안전부 개인정보보호 전문강사단

이준화(smcpacs@naver.com)
- 한국정보보안원 정보보호연구소 연구소장
- 한국정보시스템감사통제협회, 정보보호거버넌스 이사
- 한국씨아이에스에피협회 정보보안실 실장
- 한국정보보호거버넌스협회 이사
- 사이버포렌식전문가협회 이사
- 고려대학교 디지털경영학과(박사수료)

이정구(rusita@korea.ac.kr)
- 한국HP교육센터 전문강사
- 한국융합기술진흥원 융합콘텐츠기획본부장
- 고려대학교 디지털경영학과(박사수료)
- MBA(Master of Business Administration)
- 한국정보시스템감사통제협회 임원

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>