ISO 27701이란? Privacy Information Management System
ISO/IEC 27701:2019는 ISO 27001로 확장된 데이터 프라이버시입니다. 이 새로 발표된 정보 보안 표준은 GDPR 및 기타 데이터 프라이버시 요구 사항 준수를 지원하는 시스템을 도입하려는 조직을 위한 지침을 제공합니다. PIMS(Privacy Information Management System)라고도 약칭되는 ISO 27701은 개인 식별 가능 정보 컨트롤러와 PII 프로세서가 데이터 프라이버시를 관리하기 위한 프레임워크를 설명합니다. 프라이버시 정보 관리 시스템은 때때로 개인 정보 관리 시스템으로 불립니다. 이는 기존의 정보 보안 관리 시스템을 강화함으로써 개인과 조직의 개인 정보 보호 권리에 대한 위험을 줄여줍니다.
이 표준은 고객, 외부 이해관계자 및 내부 이해관계자에게 GDPR 및 기타 관련 개인정보 보호법 준수를 지원하는 효과적인 시스템이 마련되어 있음을 입증하는 훌륭한 방법입니다.
GDPR을 준수하기 위해 ISO 27701 인증을 받으려는 기관은 기존 ISO 27001 인증을 보유하거나 ISO 27001과 ISO 27701을 단일 구현 감사로 함께 구현해야 합니다. ISO 27701은 ISO 27001에 명시된 요구 사항과 지침을 자연스럽게 확장한 것입니다.
ISO 27001 표준은 정보의 지속적인 기밀성, 무결성 및 가용성은 물론 법적 준수를 가능하게 하는 ISMS(Information Security Management Systems)의 프레임워크를 제공합니다. 현재까지 전 세계 60,000개 이상의 조직이 ISO 27001을 인증했으며, 인증이 가장 중요한 자산을 보호하는 데 필수적인 부분임을 입증했습니다.
개인정보관리시스템과 정보보안시스템 간의 시스템 및 기술적 요구사항이 상당히 중복되어 있어 ISO 27001과 ISO 27701을 채택할 수 있는 강력한 사례를 제시하고 있습니다. 이는 ISO 표준의 국제적 인정에 의해 뒷받침됩니다.
- ISO27701(개인 정보보호 경영시스템)은 국제표준화기구(ISO:International Organization for Standardization)가 2019년 8월 신규 제정한 '국제표준 개인정보보호 경영시스템인증'으로 조직이 개인정보 보호를 위해 갖춰야 할 요구사항과 가이드라인이 포함, 운용·보유 중인 정보에 대해 보호정책 준수, 물리적 보안, 정보 접근 통제 등 49개 항목 117개 기준 요건을 충족한 경우 주어지는 인증
- 2018년 5월 25일부터 시행된 유럽연합(EU)의 개인정보보호규정(GDPR: General Data Protection Regulation) 등은 EU 거주자의 개인정보를 다루는 모든 기업이나 단체가 프라이버시 보호와 관련된 광범위한 규정들을 준수하도록 규제요구사항이 증가
- ISO 27701은 ISO 27001의 확장 영역으로서 조직의 프라이버시 관리를 위해 PIMS(Privacy Information Management System)를 수립, 구현, 유지관리 및 지속적으로 개선하기 위한 요구 사항 및 지침을 제공
- 개인식별정보(PII, Personally Identifiable Information) 처리에 대한 책임과 책임을 갖는 PII 컨트롤러와 PII 프로세서에 대한 지침을 제공
Benefits of ISO 27701 Certification
ISO 27701 인증 필요성
이 표준은 PII(Personal Identifiable Information)를 담당하는 전 세계 조직에 필수적입니다. 데이터를 관리 및 처리하고 개인 정보 보호를 위한 프레임워크를 제공합니다. ISO 22701은 이미 구현된 정보 보안 관리 시스템을 강화하여 개인 정보 보호 요구 사항을 해결하고 GDPR을 포함한 법률 준수를 지원하는 시스템과 인프라를 구축합니다.
일반 데이터 보호 규정(GDPR)이 본격적으로 시행되고 있습니다. 2018년 5월 시행된 이후, EU의 획기적인 법안은 데이터 프라이버시 권리, 특히 누가 데이터를 "소유"하고, 누가 데이터를 통제하며, 오늘날의 디지털 퍼스트 세계에서 데이터의 사용과 거래에 있어 최종 결정권을 갖는가에 대한 대대적인 변화를 가져왔습니다.
GDPR에 따르면 상한선은 2천만 유로 또는 조직의 연간 전 세계 매출액의 4%에 이를 수 있으며, 이 중 더 높은 금액입니다. 또한 조직은 규정을 준수하지 않거나 데이터를 위반하여 심각한 평판 손상 위험에 직면해 있습니다. 일부 기업의 경우 이러한 문제는 파산 또는 폐쇄의 위협이 될 수 있습니다.
영국의 정보국장실(ICO)은 인증을 채택하고 있거나 데이터 보호를 관리하기 위한 강력한 시스템을 갖추고 있는 조직은 데이터 침해 시 규제 관점에서 더 유리하게 간주될 수 있음을 시사했습니다.
ISO 27701의 요구 사항을 준수하는 개인정보 관리 시스템(PIMS)을 구현하면 조직은 개인정보의 수집, 유지 및 처리와 관련된 위험을 평가, 대응 및 감소시킬 수 있습니다. ISO 27701의 인증은 GDPR에 대한 법적 준수를 확인하지는 않지만, 모든 회사가 법률을 준수하는 노력을 지원할 수 있는 귀중한 프레임워크를 제공합니다.
조직은 대안적 접근법으로 부속서 A1:2018과 함께 BS 10012:2017을 구현하는 것도 고려할 수 있습니다. ISO 27001이 없는 독립형 개인정보관리시스템을 구현하고자 하는 조직을 위한 것입니다.
- 개인정보 보호와 신뢰 구축
- 법규 준수 - 법적/규제적 요구사항이 어떻게 귀사 및 고객에 영향을 끼치며, 법적 제재에 따른 리스크를 감소시키는 방법 이해
- 내부 역량 향상 및 프로세스 개선을 통한 위반 방지
- 프라이버시 관리를 위한 확립된 통제 및 투명성 제공
- 비즈니스 파트너와의 합의를 촉진
- 선도적인 정보보안 표준 ISO 27001과 쉽게 통합 가능
ISO 27001과 ISO 27701의 차이점
ISO 27701은 GDPR 규정 준수를 위한 표준으로 설정되어 있으며, 이는 ISO 27001이 정보 보안 관리를 위한 '금본위제'로 간주되는 것과 같습니다. 이는 GDPR에 부합하지만 또한 조직이 다른 개인 정보 보호 법률, 규정 및 요구 사항을 통합하기 위해 이 표준을 사용할 수 있도록 허용합니다. 따라서 GDPR의 '책임' 원칙을 준수하고 있음을 입증하고자 하는 모든 산업 및 규모의 조직에 탁월한 선택이 될 수 있습니다.
ISO 27701 인증을 받는 방법
이미 ISO 27001에 공인된 인증을 받은 경우 정보 리스크 관리 원칙을 개인 정보에 적용하는 것이 상당히 간단합니다.
이 표준은 ISO 27001에 대한 인증을 받은 조직이 개인 정보 보호 관리를 포함해야 한다고 요구하는데, 이는 개인 정보 보호 관리가 통합되도록 조직의 맥락 분석, 위험 평가 및 통제 환경을 검토하는 것을 의미합니다. 그러면 개인 정보 관리 시스템이 문서화되어야 합니다. GDPR 준수에 대해 자신이 없는 조직은 ISO 27701이 규정을 준수하기 위한 조치에 대한 구체적인 권장 사항을 제공하기 때문에 특히 유용하다고 생각할 것입니다.
인증 절차
지도기간 : 기업 규모 및 회사 상황에 따라 2~3개월
[용어/개념] ISMS-P : 정보보호 및 개인정보보호 관리체계
[용어/개념] ISMS-P : 정보보호 및 개인정보보호 관리체계
ISMS-P = ISMS + PIMS「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 (2018년 11월) 시행으로 정보보호 관리체계(ISMS)와 개인 정보보호 관리체계(PIMS) 인증제도가 통합되었다. ISMS (Informatio
infoofit.tistory.com
[용어/개념] CSMA/CA vs CSMA/CD 비교 분석
[용어/개념] CSMA/CA vs CSMA/CD 비교 분석
CSMA/CAI. CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance, IEEE802.11)의 개요충돌 회피 방식, 무선랜 MAC(Media Access Control)프로토콜 DCF는 CSMA/CA사용 동등한 우선순위를 가지고 경쟁/매체 공유하는 방식
infoofit.tistory.com