데이터 보호 및 정보 보안 - ISO 27001 및 ISO 27701

CONTENT

• 데이터 보호 및 정보 보안
• 관리 시스템이란 무엇인가?
• 관리 시스템을 위한 청사진으로서의 High Level Structure
• 관리 시스템에 GDPR 통합하기
• 데이터 보호 관리의 다섯 가지 장점
• 데이터 보호 및 정보 보안 - 결론
• DQS: 품질을 효과적으로 활용하기

데이터 보호 및 정보 보안

정보 보안의 맥락에서도 데이터 보호는 시작하고, 수행하고, 완료하는 일회성 프로젝트가 아닙니다. 오히려 그 반대입니다. 운영상의 데이터 보호는 조직 내에서 항상 이용 가능하고 실행 가능해야 하거나, 특정 트리거에 의해 실행될 수 있어야 하는 여러 데이터 보호 프로세스로 구성됩니다.

대표적인 예로는 “정보주체의 권리 보장”과 “데이터 보호 사고 대응”이라는 두 가지 데이터 보호 프로세스가 있습니다.

데이터 보호 분야에서는 데이터 보호 관리 시스템(DSMS, Data Protection Management System)의 활용이 조직의 데이터 보호 문제를 해결하는 핵심 방안으로 여겨지고 있습니다. 왜 그럴까요? 그 이유는 비교적 간단합니다.
 

2018년 5월 25일부터 시행된 유럽 일반 개인정보보호법(GDPR)은 DSMS를 위한 규정을 명확히 제시하고 있습니다.
이는 무엇이 허용되고 무엇이 금지되는지에 대한 엄격한 법적 요구사항(비즈니스 규칙)을 규정하고 있으며, 독일의 DS-GVO(독일 개인정보보호법) 벌칙 조항 역시 여기에서 비롯됩니다.

그러나 GDPR은 이러한 법적 데이터 보호 요구사항을 “어떻게” 구현해야 하는지에 대해서는 별도로 규정하고 있지 않습니다.

데이터 보호 및 정보 보안 - 관리 시스템이란 무엇인가?

관리 시스템의 정의는 다소 추상적이며, 즉시 운영에 적용하기는 어렵습니다.
ISO/IEC 27000:2020 표준에서는 관리 시스템을 다음과 같이 정의합니다.

관리 시스템의 요소들이 보다 구체적으로 정의되어야만, 해당 관리 시스템이 GDPR의 엄격한 법적·운영상 데이터 보호 요구사항을 충족하는지 여부를 판단할 수 있습니다.

단순히 데이터 보호 관리 시스템(DSMS)을 운영하고 있다는 사실만으로는 DSMS의 품질이나 실제 구현 수준을 알 수는 없습니다.

관리 시스템의 청사진으로서의 High Level Structure

국제표준화기구(ISO)는 관리 시스템을 위한 청사진인 High Level Structure(HLS)를 마련했습니다.
이 기본 구조에는 ISO가 관리 시스템에 중요하다고 판단하는 모든 요소가 포함되어 있습니다(ISO/IEC Directives, Part 1의 Annex SL 부록 2). 이러한 이유로 관리 시스템 표준들의 기본 메커니즘은 매우 유사합니다.

따라서 ISO의 특정 DSMS인 개인정보 관리 시스템(PIMS, Personal Information Management System)은 ISO 9001의 품질경영시스템, ISO 14001의 환경경영시스템, 그리고 ISO 27001의 정보보안경영시스템과 동일한 기반 구조를 가지고 있습니다.

데이터 보호 및 정보 보안 - 관리 시스템에 GDPR 통합하기

국제 표준 ISO/IEC 27701에 따른 PIMS(개인정보 관리 시스템)는 범용적인 시스템으로, 단순히 유럽 일반 개인정보보호법(GDPR)에만 맞춰진 것이 아닙니다.

이 표준은 ISO 27001에 따른 정보보안경영시스템(ISMS)을 기반으로 한 데이터 보호 관리 시스템을 설명하고 있으며, 따라서 ISO 27701은 캘리포니아 또는 일본의 개인정보보호법을 포함해 모든 형태의 개인정보 운영 보호 체계를 구현하는 데 적합합니다.

하지만 데이터 보호 표준에 따라 PIMS를 개발하고 구축한 조직, 즉 개인정보를 체계적으로 보호하고 관리하는 조직은 법적 데이터 보호 요구사항의 준수를 보장하고 이를 입증하는 것이 훨씬 수월합니다.

이는 요구사항 관리(Requirements Management)라는 관리 시스템 메커니즘을 통해 이루어집니다.
요구사항 관리는 내부 및 외부 요구사항을 식별하고 평가하며, 위험에 대응하기 위한 조치를 구현하는 프로세스를 의미합니다.

데이터 보호와 정보 보안의 차이점은 무엇인가?

이 두 가지 주제의 근본적인 차이는 비교적 간단합니다.

정보 보안은 보호되어야 하는 모든 기업 자산을 포괄하며, 기밀 비즈니스 정보가 제3자에 의해 오용되지 않도록 보호하는 것을 목적으로 합니다. 여기에는 단순한 IT 시스템뿐만 아니라 훨씬 더 광범위한 요소들이 포함됩니다.

반면 데이터 보호는 개인정보를 보호하기 위한 조치에 초점을 맞추고 있습니다.

2018년 5월부터는 EU 일반 개인정보보호법(GDPR)이 유럽 전역에서 의무적으로 적용되고 있으며, 개인정보를 처리하는 모든 기업과 공공기관은 이를 반드시 준수해야 합니다.
 

데이터 보호 관리의 다섯 가지 장점

정보 보안과 데이터 보호의 상호 연관성 속에서, 표준은 항상 모범 사례(Best Practice)로 이해되어야 합니다. 데이터 보안을 위한 요구사항과 조치의 구체적인 구현은 사용자가 직접 수행해야 합니다.

PIMS의 일반적인 장점은 데이터 보호 표준을 통한 전 세계적 표준화와, 표준 구현에 관한 방대한 문헌과 자료가 존재한다는 점입니다. 물론 표준에서 사용하는 용어와 표현은 다소 익숙해지는 과정이 필요합니다.

장점 #1: 책임의 명확한 할당

중소기업(SME)에서는 책임을 명확하게 지정하지 않거나 불분명하게 할당하는 것이 마치 기업 문화처럼 보이는 경우가 많습니다. 실제로 많은 기업 정책에서 특정 활동이나 자산에 대한 책임이 명확히 정의되지 않은 사례를 자주 볼 수 있습니다. 이는 운영상 큰 결함이며, 업무 공백과 오류로 이어질 수 있습니다.

하지만 데이터 보호는 “팀 스포츠”와 같습니다.
모든 업무가 식별되고 책임자에게 명확히 할당되어야 하며, 해당 담당자들이 실제로 자신의 역할을 수행할 때에만 기업은 데이터 보호 규정을 준수하며 운영될 수 있습니다.

PIMS를 도입할 때는 해당 표준의 적용 범위 내에서 조직에 ‘오너십(Ownership) 원칙’을 함께 도입해야 합니다.
다만 여기서 말하는 ‘오너(owner)’는 민법상의 소유자 개념을 의미하는 것이 아닙니다. 표준에서 사용하는 의미의 오너는 특정 자산이나 요구사항, 또는 조치의 실행에 대해 책임을 지는 사람을 뜻합니다.

예를 들어, “처리 활동 기록부(VVT, Directory of Processing Activities)”의 유지 관리는 종종 개인정보보호책임자(DPO)에게 위임됩니다. 하지만 이는 사실상 비효율적이며 제대로 작동하기 어렵습니다. 왜냐하면 DPO는 많은 처리 활동에 직접 관여하지 않는 경우가 많기 때문입니다.

품질경영에서는 프로세스 오너가 직접 프로세스 문서를 관리합니다. 따라서 최고경영진 역시 데이터 보호 분야에서도 이에 상응하는 방식으로 책임을 위임해야 합니다.

ISO 27701 인증서

인증 측면에서 ISO 27701은 잘 알려진 ISO 27001 표준을 보완하는 역할을 합니다. 또한 ISO 27701은 인증서를 통해 데이터 보호 수준을 공식적으로 입증하는 최초의 표준이 될 것입니다.
DQS는 현재 독일 인정기관(DAkkS)과 함께 인증 인가 절차를 진행하고 있습니다.

장점 #2: 운영상의 데이터 보호는 위험 기반으로 이루어진다.

독일 DS-GVO에서 유럽 입법자는 제32조 제1항과 같이 데이터 보안의 위험 기반 구현을 요구하고 있습니다. 그러나 공식적인 관리 시스템이 구축되어 있지 않은 기업에서는 이러한 위험 기반 접근이 제대로 작동하지 않는 경우가 많습니다. ISO 27701 데이터 보호 표준을 적용하면 자연스럽게 위험 기반 접근 방식이 도입됩니다.

여기서 데이터 보안 위험 평가 방법은 표준에서 구체적으로 강제하지 않으며, 일정 범위 내에서 사용자가 직접 결정할 수 있습니다.

장점 #3: 성공 요소로서의 변경 관리(Change Management)

데이터 보안 프로세스는 조직 내 변화에 의해 실행될 수 있습니다. 예를 들어 비즈니스 프로세스, 서비스 또는 제품의 도입이나 변경이 이에 해당합니다.변경 관리 체계가 없는 기업은 데이터 보호 요구사항을 준수하는 데 큰 어려움을 겪습니다. 이는 변경 사항이 종종 무작위적이고 통제되지 않은 방식으로 처리되기 때문입니다.

그 결과, 이른바 “규제 격차(Regulatory Gap)”가 발생하게 됩니다.

PIMS는 변경 관리(Change Management)를 통해 이러한 변화를 기록하고 통제하며, 필요한 조치를 구현합니다.

예를 들어, 비즈니스 프로세스가 변경될 경우에는 적법성, 데이터 최소화, 정보주체의 권리, 처리 활동 기록부(VVT) 문서화 등 허용 가능성에 대한 검토가 필요합니다.

예를 들어 데이터 보호 책임자(DPO)를 변경 관리 팀에 참여시키는 것만으로도, 변경 사항 설계 단계에서부터 개인정보보호 책임자를 조기에 참여시켜야 한다는 요구사항을 비교적 쉽게 충족할 수 있습니다.

장점 #4: 지속적 개선 프로세스를 통한 최적화

기업은 끊임없이 변화합니다. 개인정보 관리 시스템(PIMS)은 우선 계획되고, 구현되며, 운영됩니다.

하지만 경험 부족으로 인해 시스템을 처음 도입·구현·운영하는 과정은 최적의 상태가 아닐 가능성이 매우 높습니다. 숙련된 컨설턴트의 도움을 받아 구축하더라도 시행착오나 문제점이 발생할 수 있습니다.

모든 PIMS는 원칙적으로 동일한 메커니즘을 기반으로 하지만, 실제 설계 방식은 서로 다를 수 있습니다.
조직의 규모, 조직 문화, 또는 산업 분야의 특성이 이러한 메커니즘 구현 방식에 영향을 미칠 수 있습니다.

변화하는 조직과 이해관계자의 요구사항에 맞춰 PIMS를 지속적으로 조정하기 위한 효과적인 하위 메커니즘 중 하나가 바로 지속적 개선 프로세스(CIP, Continuous Improvement Process)입니다.

예를 들어, 일반 개인정보보호법(GDPR)은 고객이나 시민이 개인정보 수집 시점에 개인정보 처리의 성격과 범위, 그리고 관련 권리에 대해 안내받을 수 있도록 정보 제공 문서를 요구합니다. 이러한 제13조 및 제14조 DS-GVO 정보 안내문은 법적 요구사항에 맞게 게시되지만, 실제로는 정보주체들로부터 관련 문의가 많이 발생합니다.

회사는 이러한 개선 의견을 반영함으로써, 정보 제공 방식을 최적화하여 자원을 절약하고 고객 만족도를 높일 수 있다는 점을 인식하게 됩니다.

장점 #5: 상세한 조치 카탈로그

앞서 설명했듯이 ISO 27701은 GDPR에만 특화된 표준이 아닙니다. GDPR의 구체적인 요구사항을 PIMS에 추가하는 책임은 표준 사용자에게 있습니다.

그러나 이 국제 표준은 운영상의 데이터 보호를 일반적으로 구현하기 위한 세 가지 광범위한 조치 카탈로그를 제공합니다.

• 기술적 및 조직적 조치
• 개인정보처리자(Controller)를 위한 데이터 보호 조직 체계
• 수탁처리자(Processor)를 위한 데이터 보호 조직 체계

유럽 사용자에게 반가운 점은, 새로운 표준의 작성자들이 이러한 조치 카탈로그를 설계할 때 GDPR을 매우 강하게 반영했다는 것입니다.

즉, 일반적인 조치 카탈로그를 적용하는 것만으로도 이미 GDPR의 많은 요구사항을 충족할 수 있으며, 부족한 부분은 이후 요구사항 관리(Requirements Management)를 통해 보완하게 됩니다.

이러한 조치들은 구현을 위한 모범 사례(Best Practice)이며, 매뉴얼 형식으로 작성되어 있습니다. GDPR이 비즈니스 규칙(Business Rules)을 제시하는 데 그친다면, 이 조치들은 표준 사용자에게 실제 구현이 어떻게 이루어져야 하는지를 설명해 줍니다. 저자의 관점에서는 이것이 매우 큰 장점이라고 할 수 있습니다.

결론: 데이터 보호 및 정보 보안

ISO 27701에 따라 데이터 보호 관리 시스템(DSMS)을 개발하고 구현한 조직, 즉 개인정보를 체계적으로 보호하고 관리하는 조직은 법적 요구사항의 준수를 보장하고 이를 입증하는 일을 훨씬 수월하게 수행할 수 있습니다.

표준을 올바르게 적용하면 DSMS의 도입과 운영 과정에서 발생할 수 있는 많은 실수를 예방할 수 있습니다.

그러나 PIMS 인증은 기업이 ISO 27001에 따른 인증된 정보보안경영시스템(ISMS)을 함께 운영하고 있는 경우에만 가능합니다.

DQS: Leveraging Quality, Driving Success.

관리 시스템 표준은 법적 의무사항을 고려하고 이를 비즈니스 프로세스에 통합하기 위한 체계적이고 구조화된 프레임워크를 제공합니다.

정보 보안 또는 GDPR 준수 구현 상태를 보다 확실하게 검증받고자 하는 기업은 DQS와 같은 독립 기관을 통해 심사를 받을 수 있습니다.

DQS의 핵심 역량은 인증 심사 및 평가 수행에 있습니다. 이를 통해 DQS는 신뢰성, 품질, 고객 중심성을 기준으로 새로운 벤치마크를 제시하는 세계적인 선도 기관 중 하나로 자리매김하고 있습니다.

동시에, 정보 보안 및 데이터 보호에 대한 인증된 관리 시스템은 외부 데이터 공격 상황에서 기업이 충분한 주의와 선제적 대응 능력을 갖추고 있음을 입증하는 증거가 됩니다.

신뢰와 전문성

DQS의 문서와 브로슈어는 오직 표준 전문가 또는 오랜 경험을 가진 심사원들에 의해 작성됩니다.

내용이나 서비스와 관련하여 궁금한 점이 있으시면 언제든지 문의해 주시기 바랍니다. 여러분과의 상담을 기다리고 있습니다.