.gif)
통합인증 명칭 PIMS, 공공기관·대·중소기업·소상공인에 따라 심사항목 차등 적용
향후 심사원 자격 강화, 인증심사 가이드 마련해 제공 예정
[보안뉴스 김경애] 공공기관이나 민간기업에서 개인정보보호 관리체계가 인증기준에 맞게 잘 갖춰졌는지 평가하고 인증을 주는 ‘개인정보보호관리체계(PIMS, Personal Information Management System) 인증’ 제도.
1. 통합된 PIMS 인증제도 운영은 어떻게?
지난 2014년 8월 PIMS와 PIPL의 통합이 결정된 이후, 2015년 개정안이 마련됐고, 올해 1월 1일부터 본격적으로 통합 운영되고 있다. 이에 본지에서는 인증기관인 한국인터넷진흥원 지상호 팀장과의 인터뷰를 통해 PIMS 통합에 따른 각종 궁금증을 풀어보기로 한다.
통합 명칭은 개인정보보호관리체계(PIMS)이며, 대기업, 중소기업에 따라 인증기준이 차등 적용된다. 기존에 발급받은 PIPL 인증서의 경우 유효기간을 유지해 PIMS 인증서로 변경 발급된다. 또한, 기존 인증심사원 자격 취득자는 통합인증 심사기준 등을 통한 심사원 교육을 거쳐 자격이 전환된다.
PIMS 인증 정책기관은 행정자치부와 방송통신위원회로, 개인정보보호 관리체계 인증제도 관련 법제도 개선, 정책수립, 인증기관 지정 및 취소 등의 역할을 한다.
인증기관은 한국인터넷진흥원(KISA)으로 단일화됐으며, 인증심사 신청 접수, 인증심사 수행, 인증위원회 구성·운영, 인증서 부여 및 인증마크 발급, 인증심사원 양성 및 관리, 인증심사팀 구성·운영 등의 업무를 수행하게 된다.
PIMS 인증절차는 인증 신청서를 접수하는 준비단계, 인증기준에 적합한지 심사하는 심사단계, 인증심사의 결과를 토대로 인증이 적합한지 확인하는 심의 인증단계, 인증취득 후 매년 유지 상태를 점검하는 사후관리단계 등 4단계로 구분된다.
사후관리단계에서 진행되는 사후심사는 인증발급일 기준으로 매 1년 이전에 심사를 완료해야 하며, 인증유효기관 내 심사를 받지 않으면 인증이 취소된다. 또한, 인증유효기간은 3년이며, 인증유효기간 내 심사를 받지 않으면 인증 효력을 상실하게 된다.
2. 공공기관, 대기업, 중소기업, 소상공인 4개 유형으로 심사
공공기관의 PIMS 인증기준은 개인정보보호 관리과정(16개), 생명주기 및 권리보장(20개), 개인정보 보호조치(50개) 총3개 분야 86개의 심사항목으로 구성되어 있다.
대기업·정보통신서비스제공자는 생명주기 및 권리보장 19개, 개인정보 보호조치에서 48개로 심사항목이 줄어 총 83개 항목에 대한 심사를 받는다.
이에 대해 한국인터넷진흥원 지상호 팀장은 “공공기관과 대기업·정보통신서비스제공자의 적용기준은 △법적 요구사항 △PIMS 수립 및 이행 △개인정보 흐름분석을 통한 위험분석 및 위험관리 △경영진 참여 및 의사결정 △개인정보보보호 강화를 위한 보호대책을 심사하게 된다”고 설명했다.
중소기업은 개인정보보호 관리과정 15개, 생명주기 및 권리보장 19개, 개인정보 보호조치 40개, 총 74개의 심사항목으로 구성되어 있으며, △법적 요구사항 △PIMS 수립 및 이행 △개인정보보보호 강화를 위한 보호대책을 평가받게 된다.
소상공인의 경우 개인정보보호 관리과정 4개, 생명주기 및 권리보장 19개, 개인정보보호조치 24개, 총 47개의 심사항목으로 구성되어 있으며, 법적 요구사항을 중심으로 심사받게 된다.
3. 심사원 자격 강화와 PIMS 가이드 마련
PIMS 인증에 있어 향후 중점 추진방향 2가지는 인증심사원 자격관리 강화와 PIMS 인증 가이드 제공이다.
신규 인증심사원 자격취득 절차는 인증심사원의 서류검토, 필기시험, 실무교육, 실기시험, 자격심의 과정을 거치며, 필기시험 출제기준은 인증제도 이해, 인증기준 이해, 개인정보보호 기술이해, 개인정보보호 관련 법률 이해 등이 출제될 예정이다. 인증심사원 자격시험 관련 내용은 추후 PIMS 홈페이지를 통해 안내할 예정이다. 또한, 기존 인증심사원은 자격유지 보수 교육을 통해 인증심사원 자격관리를 강화한다는 방침이다.
이에 대해 한국인터넷진흥원 지상호 팀장은 “심사원 선정과정의 공신력, 객관성, 투명성 제고를 위해 자격취득 절차를 개선하고 체계화된 교육 프로그램을 마련하며 신규 인증심사원 자격취득 절차를 강화하는 등 인증심사원의 전문성을 강화할 예정”이라며 “기존 심사원의 경우 심사원 보수 교육 콘텐츠를 강화해 전문성을 향상시킬 것”이라고 말했다.
[김경애 기자(boan3@boannews.com)]
향후 심사원 자격 강화, 인증심사 가이드 마련해 제공 예정
[보안뉴스 김경애] 공공기관이나 민간기업에서 개인정보보호 관리체계가 인증기준에 맞게 잘 갖춰졌는지 평가하고 인증을 주는 ‘개인정보보호관리체계(PIMS, Personal Information Management System) 인증’ 제도.
1. 통합된 PIMS 인증제도 운영은 어떻게?
지난 2014년 8월 PIMS와 PIPL의 통합이 결정된 이후, 2015년 개정안이 마련됐고, 올해 1월 1일부터 본격적으로 통합 운영되고 있다. 이에 본지에서는 인증기관인 한국인터넷진흥원 지상호 팀장과의 인터뷰를 통해 PIMS 통합에 따른 각종 궁금증을 풀어보기로 한다.
통합 명칭은 개인정보보호관리체계(PIMS)이며, 대기업, 중소기업에 따라 인증기준이 차등 적용된다. 기존에 발급받은 PIPL 인증서의 경우 유효기간을 유지해 PIMS 인증서로 변경 발급된다. 또한, 기존 인증심사원 자격 취득자는 통합인증 심사기준 등을 통한 심사원 교육을 거쳐 자격이 전환된다.
PIMS 인증 정책기관은 행정자치부와 방송통신위원회로, 개인정보보호 관리체계 인증제도 관련 법제도 개선, 정책수립, 인증기관 지정 및 취소 등의 역할을 한다.
인증기관은 한국인터넷진흥원(KISA)으로 단일화됐으며, 인증심사 신청 접수, 인증심사 수행, 인증위원회 구성·운영, 인증서 부여 및 인증마크 발급, 인증심사원 양성 및 관리, 인증심사팀 구성·운영 등의 업무를 수행하게 된다.
PIMS 인증절차는 인증 신청서를 접수하는 준비단계, 인증기준에 적합한지 심사하는 심사단계, 인증심사의 결과를 토대로 인증이 적합한지 확인하는 심의 인증단계, 인증취득 후 매년 유지 상태를 점검하는 사후관리단계 등 4단계로 구분된다.
사후관리단계에서 진행되는 사후심사는 인증발급일 기준으로 매 1년 이전에 심사를 완료해야 하며, 인증유효기관 내 심사를 받지 않으면 인증이 취소된다. 또한, 인증유효기간은 3년이며, 인증유효기간 내 심사를 받지 않으면 인증 효력을 상실하게 된다.
2. 공공기관, 대기업, 중소기업, 소상공인 4개 유형으로 심사
공공기관의 PIMS 인증기준은 개인정보보호 관리과정(16개), 생명주기 및 권리보장(20개), 개인정보 보호조치(50개) 총3개 분야 86개의 심사항목으로 구성되어 있다.
대기업·정보통신서비스제공자는 생명주기 및 권리보장 19개, 개인정보 보호조치에서 48개로 심사항목이 줄어 총 83개 항목에 대한 심사를 받는다.
이에 대해 한국인터넷진흥원 지상호 팀장은 “공공기관과 대기업·정보통신서비스제공자의 적용기준은 △법적 요구사항 △PIMS 수립 및 이행 △개인정보 흐름분석을 통한 위험분석 및 위험관리 △경영진 참여 및 의사결정 △개인정보보보호 강화를 위한 보호대책을 심사하게 된다”고 설명했다.
중소기업은 개인정보보호 관리과정 15개, 생명주기 및 권리보장 19개, 개인정보 보호조치 40개, 총 74개의 심사항목으로 구성되어 있으며, △법적 요구사항 △PIMS 수립 및 이행 △개인정보보보호 강화를 위한 보호대책을 평가받게 된다.
소상공인의 경우 개인정보보호 관리과정 4개, 생명주기 및 권리보장 19개, 개인정보보호조치 24개, 총 47개의 심사항목으로 구성되어 있으며, 법적 요구사항을 중심으로 심사받게 된다.
3. 심사원 자격 강화와 PIMS 가이드 마련
PIMS 인증에 있어 향후 중점 추진방향 2가지는 인증심사원 자격관리 강화와 PIMS 인증 가이드 제공이다.
신규 인증심사원 자격취득 절차는 인증심사원의 서류검토, 필기시험, 실무교육, 실기시험, 자격심의 과정을 거치며, 필기시험 출제기준은 인증제도 이해, 인증기준 이해, 개인정보보호 기술이해, 개인정보보호 관련 법률 이해 등이 출제될 예정이다. 인증심사원 자격시험 관련 내용은 추후 PIMS 홈페이지를 통해 안내할 예정이다. 또한, 기존 인증심사원은 자격유지 보수 교육을 통해 인증심사원 자격관리를 강화한다는 방침이다.
이에 대해 한국인터넷진흥원 지상호 팀장은 “심사원 선정과정의 공신력, 객관성, 투명성 제고를 위해 자격취득 절차를 개선하고 체계화된 교육 프로그램을 마련하며 신규 인증심사원 자격취득 절차를 강화하는 등 인증심사원의 전문성을 강화할 예정”이라며 “기존 심사원의 경우 심사원 보수 교육 콘텐츠를 강화해 전문성을 향상시킬 것”이라고 말했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
