금융권 ISMS-P 세부점검항목 개정, 관리체계 수립 및 운영 등 점검항목 증가
금융권에 적합한 ISMS-P 인증기준 점검항목과 금융권 주요 컴플라이언스 반영
안전한 인증수단 적용·관리 항목, 개인정보와 중요정보 표시제한 정책 수립 등 추가
[보안뉴스 김경애 기자] 개인정보보호가 갈수록 중요해지면서 최근 정보보호 및 개인정보보호 관리체계 인증인 ISMS-P 인증에 대한 관심도 높아지고 있다. 전면 개정된 개인정보보호법 반영, ISMS-P 인증 획득 시 보안 신뢰도 향상과 기업이미지 제고, ESG 경영평가 반영 등 다양한 측면에서 도움이 되기 때문이다.
[이미지=gettyimagesbank]
특히 금융권의 경우 올해부터 디지털 금융혁신의 가속화와 자율보안체계 확산, 그리고 마이데이터 등 신규 서비스를 비롯해 금융분야 데이터 수집·이용·제공 활성화에 따라 금융회사들이 금융소비자의 개인(신용)정보보호를 위한 관리체계를 강화하는 추세다.
이에 따라 금융 분야 ISMS-P 세부점검항목도 개정됐다. 금융권의 ISMS-P 인증기준 점검항목(2023년 12월)의 경우 관리체계 수립 및 운영(4단계, 16개 통제사항)에 대해 45개(3개 증가) 항목, 보호대책 요구사항(12분야, 64개 통제사항)에 대해 237개(42개 증가) 항목, 개인정보처리단계별 요구사항(5단계, 21개 통제사항)에 대해 117개(26개 증가) 항목으로 일반 인증보다 점검항목이 증가했다.
금융보안원 오중효 ISMS-P인증센터장은 2024년도 금융 ISMS-P 인증 취득(관심)기관 대상 세미나에서 “금융권에 적합한 ISMS-P 인증기준 점검항목과 금융권 주요 컴플라이언스(Compliance)를 점검항목에 반영해 인증기준과 금융권 업무의 정합성이 향상됐다”며 “전자금융감독규정, 신용정보법 등 금융권 정보보호 및 개인(신용)정보보호 관련 법규를 반영하고 있다”고 설명했다.
금융권의 ISMS-P 점검항목의 주요 개정내용은 보호대책 요구사항에서 첫째, 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하는 항목이 추가됐다. 비밀번호 외에 인증수단 사용시 보호대책 적용이 필요하다는 것이다.
둘째, 개인(신용)정보 및 중요정보의 표시제한 기준 수립 및 적용 항목이 기존 개인정보 처리단계별 요구사항에서 보호대책 요구사항으로 이동됐다. 이는 ISMS 인증시에도 개인(신용)정보와 중요정보 표시제한 정책 수립과 적용이 필요하다는 뜻이다.
셋째, 직접 및 간접 원격 접근방법에 따른 개인정보처리시스템 관리용 단말기 지정 차등 적용이 부분 삭제됐다. 개인정보처리시스템의 원격 접근 단말기는 직접, 간접 접속 여부와 관계없이 안전성 확보조치 적용이 필요하기 때문이다.
넷째, 정보시스템 로그기록 보관 방법(백업으로 한정)에 대한 기술적 제약이 부분 삭제됐다. 로그기록은 위·변조 및 도난, 분실되지 않도록 안전하게 보관해야 하나 보관 방법에 대한 기술적 제약 문구는 삭제됐다.
다섯째, 클라우드 서비스 사용에 대한 금융당국 보고 기한과 관련 서류 최신화의 경우 부분 개정됐다. 클라우드 서비스 이용시 법령에서 정한 기간인 현재 3개월 내 금융감독원 보고 및 서류 최신화가 필요하다.
다음으로 개인정보 처리단계별 요구사항 주요 개정 내용은 개인정보 수집시 보호조치로 △만 14세 미만 아동의 개인정보 수집 시 준수사항 추가 반영 △동의 없이 처리할 수 있는 개인정보에 대한 판단기준 및 고지사항 적용 반영 △민감정보의 공개 가능성 및 비공개 선택방법 고지 의무 반영 △고정형 영상정보처리기기와 이동형 영상정보처리기기 구분이 반영됐다.
개인정보 보유 및 이용시 보호조치는 △가명정보 처리 시 보호조치 및 관련 기록 보관과 주기적 검토에 대한 점검항목 구체화가 반영됐다.
개인정보 제공시 보호조치는 △개인정보 제3자 제공 동의 시 준수사항 구체화 반영 △정보주체 동의 없이 개인정보 제공 시 판단기준 및 고지사항 적용 반영 △개인정보 처리업무 재위탁사에 대한 공개 의무 반영 △개인정보 국외이전 가능 조건이 반영됐다.
개인정보 파기 시 보호조치는 △휴면 이용자 관련 내용이 삭제됐다. 또한, 정보주체 권리보호는 △개인정보처리방침 및 신용정보활용체제 작성 시 준수사항 구체화 반영 △개인정보 제공내역 통지항목 및 방법 구체화가 반영됐다.
[김경애 기자(boan3@boannews.com)]
금융권에 적합한 ISMS-P 인증기준 점검항목과 금융권 주요 컴플라이언스 반영
안전한 인증수단 적용·관리 항목, 개인정보와 중요정보 표시제한 정책 수립 등 추가
[보안뉴스 김경애 기자] 개인정보보호가 갈수록 중요해지면서 최근 정보보호 및 개인정보보호 관리체계 인증인 ISMS-P 인증에 대한 관심도 높아지고 있다. 전면 개정된 개인정보보호법 반영, ISMS-P 인증 획득 시 보안 신뢰도 향상과 기업이미지 제고, ESG 경영평가 반영 등 다양한 측면에서 도움이 되기 때문이다.
[이미지=gettyimagesbank]
특히 금융권의 경우 올해부터 디지털 금융혁신의 가속화와 자율보안체계 확산, 그리고 마이데이터 등 신규 서비스를 비롯해 금융분야 데이터 수집·이용·제공 활성화에 따라 금융회사들이 금융소비자의 개인(신용)정보보호를 위한 관리체계를 강화하는 추세다.
이에 따라 금융 분야 ISMS-P 세부점검항목도 개정됐다. 금융권의 ISMS-P 인증기준 점검항목(2023년 12월)의 경우 관리체계 수립 및 운영(4단계, 16개 통제사항)에 대해 45개(3개 증가) 항목, 보호대책 요구사항(12분야, 64개 통제사항)에 대해 237개(42개 증가) 항목, 개인정보처리단계별 요구사항(5단계, 21개 통제사항)에 대해 117개(26개 증가) 항목으로 일반 인증보다 점검항목이 증가했다.
금융보안원 오중효 ISMS-P인증센터장은 2024년도 금융 ISMS-P 인증 취득(관심)기관 대상 세미나에서 “금융권에 적합한 ISMS-P 인증기준 점검항목과 금융권 주요 컴플라이언스(Compliance)를 점검항목에 반영해 인증기준과 금융권 업무의 정합성이 향상됐다”며 “전자금융감독규정, 신용정보법 등 금융권 정보보호 및 개인(신용)정보보호 관련 법규를 반영하고 있다”고 설명했다.
금융권의 ISMS-P 점검항목의 주요 개정내용은 보호대책 요구사항에서 첫째, 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하는 항목이 추가됐다. 비밀번호 외에 인증수단 사용시 보호대책 적용이 필요하다는 것이다.
둘째, 개인(신용)정보 및 중요정보의 표시제한 기준 수립 및 적용 항목이 기존 개인정보 처리단계별 요구사항에서 보호대책 요구사항으로 이동됐다. 이는 ISMS 인증시에도 개인(신용)정보와 중요정보 표시제한 정책 수립과 적용이 필요하다는 뜻이다.
셋째, 직접 및 간접 원격 접근방법에 따른 개인정보처리시스템 관리용 단말기 지정 차등 적용이 부분 삭제됐다. 개인정보처리시스템의 원격 접근 단말기는 직접, 간접 접속 여부와 관계없이 안전성 확보조치 적용이 필요하기 때문이다.
넷째, 정보시스템 로그기록 보관 방법(백업으로 한정)에 대한 기술적 제약이 부분 삭제됐다. 로그기록은 위·변조 및 도난, 분실되지 않도록 안전하게 보관해야 하나 보관 방법에 대한 기술적 제약 문구는 삭제됐다.
다섯째, 클라우드 서비스 사용에 대한 금융당국 보고 기한과 관련 서류 최신화의 경우 부분 개정됐다. 클라우드 서비스 이용시 법령에서 정한 기간인 현재 3개월 내 금융감독원 보고 및 서류 최신화가 필요하다.
다음으로 개인정보 처리단계별 요구사항 주요 개정 내용은 개인정보 수집시 보호조치로 △만 14세 미만 아동의 개인정보 수집 시 준수사항 추가 반영 △동의 없이 처리할 수 있는 개인정보에 대한 판단기준 및 고지사항 적용 반영 △민감정보의 공개 가능성 및 비공개 선택방법 고지 의무 반영 △고정형 영상정보처리기기와 이동형 영상정보처리기기 구분이 반영됐다.
개인정보 보유 및 이용시 보호조치는 △가명정보 처리 시 보호조치 및 관련 기록 보관과 주기적 검토에 대한 점검항목 구체화가 반영됐다.
개인정보 제공시 보호조치는 △개인정보 제3자 제공 동의 시 준수사항 구체화 반영 △정보주체 동의 없이 개인정보 제공 시 판단기준 및 고지사항 적용 반영 △개인정보 처리업무 재위탁사에 대한 공개 의무 반영 △개인정보 국외이전 가능 조건이 반영됐다.
개인정보 파기 시 보호조치는 △휴면 이용자 관련 내용이 삭제됐다. 또한, 정보주체 권리보호는 △개인정보처리방침 및 신용정보활용체제 작성 시 준수사항 구체화 반영 △개인정보 제공내역 통지항목 및 방법 구체화가 반영됐다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
