.gif)
정보보호담당관 신설해 정보보호 업무 전담...개인정보보호 교육 및 제도 전파
디도스 탐지, 침입차단·방지, 개인정보 노출 진단툴 등 각종 보안장비 설치·운영
[보안뉴스 원병철 기자] 기관과 기업의 원활한 개인정보보호 관리를 위해 시작된 ‘개인정보보호 관리체계(PIMS)’ 인증제도는 2011년부터 시작해 지금까지 총 103건의 인증서가 발급됐으며, 75건이 유지되고 있다. 최근 ‘여기어때’ 등 기업의 고객 개인정보보호 유출 이슈로 PIMS 의무화를 내용으로 하는 법률개정안(이재정 민주당 의원)이 발의될 정도로 관심이 높은 가운데 제주특별자치도(이하 제주도)가 광역자치단체로는 최초로 PIMS 인증을 취득하는 등 지자체와 정부기관의 PIMS 취득이 증가하고 있다.
.jpg)
▲ 제주특별자치도청 전경[사진=제주도]
최근 제주도는 대민 서비스를 제공하고 있는 대표 홈페이지에 대해 법에서 정한 각종 규정의 개인정보보호 준수 여부를 전문기관에 인증받아 도민에게 신뢰받는 개인정보관리 체계 확립을 위해 전국 광역자치단체 최초로 PIMS를 취득했다. 이에 본지에서는 제주도 PIMS 인증을 담당한 기획조정실 정보융합담당관을 통해 제주도의 개인정보보호 강화 분투기를 들어봤다.
제주도에서 보유 및 관리하고 있는 개인정보는 어떤 것들이 있습니까?
도민들의 회원정보를 담고 있는 △제주특별자치도 대표홈페이지, 4·3유족들의 자료를 관리하는 △4·3희생자 및 유족관리 시스템, 감귤재배실태를 파악하기 위해 수용가 정보 등을 보유하고 있는 △감귤재배실태 전산관리 시스템, 지하수 수용가 정보 등을 관리하는 △지하수 관리 시스템 등 행정업무 처리를 위한 각종 개인정보 시스템을 운영 중에 있습니다. 시스템으로 관리되는 개인정보 외에도 △어업허가 신고파일 △소방시설업체 현황파일 △조상 땅 찾기 신청서 등 파일 및 대장으로 관리되는 개인정보 또한 운영 중에 있습니다.
그렇다면 제주도에서 개인정보보호를 담당하는 조직은 어떻게 되는지 궁금합니다
개인정보 및 각종 전산보안을 정보융합담당관 내에 정보보호담당이 조직되어 전담하고 있습니다. 개인정보는 기획관리실장이 기관 개인정보보호책임자로 지정되어 개인정보 업무를 총괄하고 있으며, 그 하부 직속기관·사업소 기관장들이 분야별 기관 책임자의 임무를 맡고 있습니다. 개인정보보호책임자를 보좌해 개인정보보호 업무를 전담하는 개인정보관리실무자가 실무업무를 총괄, 각 부서의 개인정보 처리자 및 취급자에 대한 교육 및 제도 전파 등을 수행하고 있습니다.
.jpg)
▲ 통제구역인 개인정보보호 담당 부서[사진=제주도]
개인정보보호 강화를 위해 구축한 솔루션은?
제주도에서는 개인정보 처리 시스템과 저장된 개인정보 데이터 보호를 위해 기본적으로 디도스(DDoS) 탐지, 침입차단, 침입방지, 웹방화벽, 개인정보 노출 진단툴 등 각종 보안장비를 도입했으며, 개인정보의 안전한 관리를 위해 데이터베이스 접근제어, 암호화 시스템, 로그분석 시스템 등을 설치·운영해 오고 있습니다.
아울러 개인정보가 포함된 문서의 유출을 예방하기 위해 전 직원용 업무용 PC 약 7,500대에 문서 암호화 및 워터마킹을 적용한 개인정보 유출방지 시스템을 운영하고 있습니다. 또한, 개인정보 처리 시스템에 무단 접근·조작·유출 등을 예방하기 위한 통합 로그분석 시스템 구축, 홈페이지 등에 개인정보 검출을 위한 필터링 시스템도 운영 중에 있으며, 개인정보의 안전한 관리를 위해 외부에서 들어오는 파일들을 통제 및 방역 처리해 안전한 콘텐츠만 이용하게 하는 외부유입 파일관리 시스템도 구축되어 있습니다.
개인정보보호를 위해 도내 구성원들에게 어떤 교육을 하고 있나요
제주도에서는 매년 개인정보 교육 계획을 수립해 역할별 ·맞춤형 개인정보보호 교육을 실시하고 있습니다. 개인정보보호 책임자, 개인정보 담당자, 개인정보 처리자, 개인정보 취급자, 심지어 위탁업체 직원에게도 개인정보보호 교육을 실시하고 있습니다.
개인정보보호 책임자는 해마다 CPO워크숍 및 개인정보보호 페어에 참석하고 있으며, 개인정보 실무자 역시 최소 연2회 이상 개인정보보호 교육 및 개인정보보호 페어에 참석함으로써 달라지는 개인정보보호 제도나 정보보호 기술 및 동향 파악에 나서고 있습니다.
개인정보의 최소한 수집 및 유출 사고의 심각성에 대한 인식을 높이기 위해 개인정보보호 업무담당자 및 취급자를 대상으로 집합교육이나 사이버교육에 참석하도록 유도하는 등 교육을 강화했으며, 정보시스템 유지관리업체 직원에 대해서도 연1회 이상 개인정보보호 교육을 이수하도록 하는 등 만전을 기하고 있습니다.
또한, 전 직원의 개인정보보호법 관련 인식 제고를 위해 도정 영상TV 방송을 통한 개인정보보호 교육을 수행하고 있습니다. 이와 함께 도 행정정보 시스템 메인페이지에 개인정보/보안 탭을 개설해 개인정보와 관련된 각종 지침 및 홍보자료, 교육자료 등을 전 직원이 상시로 볼 수 있게 게시하고 있습니다. 특히, 기관뿐만 아니라 도민의 개인정보보호를 위한 홍보물 및 영상물을 제작해 도민의 개인정보보호 인식 강화에도 힘쓰고 있습니다.
.jpg)
▲ 제주특별자치도의 PIMS 인증서[사진=제주도]
산하기관이나 협력기관의 경우에는 어떤 조치를 취하고 있는지 궁금합니다
제주도에서는 산하기관 공기업의 개인정보보호 강화를 위해 적극 나서고 있습니다. 기관별 개인정보보호 체계 관련 업무 공유 및 이슈사항 논의, 협력지원을 위해 제주특별자치도개발공사, 제주관광공사, 제주에너지공사 개인정보보호 담당자들과의 정기적 미팅을 통해 협력체계를 추진하고 있으며, 각종 개인정보보호 지침 전파 및 개인정보보호 홍보물 송부 등으로 산하 공기업의 개인정보보호 강화를 위해 노력하고 있습니다.
개인정보보호 강화를 위한 어떤 계획을 갖고 있는지요?
개인정보 유출은 음주운전이 나쁘다는 인식 이상으로 철저하게 생활화되어 무의식중에서도 인지되어야 한다고 생각합니다. 이에 직원들의 개인정보보호 생활화를 위해 개인정보 처리 업무별 맞춤교육에 더욱 매진할 계획이며, 계정관리 시스템 및 접근관리 시스템을 도입해 개인정보처리 시스템의 계정 및 암호보안 수위를 한층 강화할 방침입니다. 또한, 개인정보 처리 시스템에 접근하는 사용자를 접근목적 및 역할에 따라 접근권한을 다르게 설정함으로써 체계적인 계정관리를 할 수 있도록 하며, 만약의 사고에 대비해 개인정보 접속이력 관리 시스템도 구축할 계획입니다.
앞으로도 제주도는 도민의 소중한 개인정보보호를 위해 물리적, 제도적, 기술적인 모든 분야에서 다각적인 노력을 펼쳐나갈 방침입니다.
[원병철 기자(boanone@boannews.com)]
디도스 탐지, 침입차단·방지, 개인정보 노출 진단툴 등 각종 보안장비 설치·운영
[보안뉴스 원병철 기자] 기관과 기업의 원활한 개인정보보호 관리를 위해 시작된 ‘개인정보보호 관리체계(PIMS)’ 인증제도는 2011년부터 시작해 지금까지 총 103건의 인증서가 발급됐으며, 75건이 유지되고 있다. 최근 ‘여기어때’ 등 기업의 고객 개인정보보호 유출 이슈로 PIMS 의무화를 내용으로 하는 법률개정안(이재정 민주당 의원)이 발의될 정도로 관심이 높은 가운데 제주특별자치도(이하 제주도)가 광역자치단체로는 최초로 PIMS 인증을 취득하는 등 지자체와 정부기관의 PIMS 취득이 증가하고 있다.
▲ 제주특별자치도청 전경[사진=제주도]
최근 제주도는 대민 서비스를 제공하고 있는 대표 홈페이지에 대해 법에서 정한 각종 규정의 개인정보보호 준수 여부를 전문기관에 인증받아 도민에게 신뢰받는 개인정보관리 체계 확립을 위해 전국 광역자치단체 최초로 PIMS를 취득했다. 이에 본지에서는 제주도 PIMS 인증을 담당한 기획조정실 정보융합담당관을 통해 제주도의 개인정보보호 강화 분투기를 들어봤다.
제주도에서 보유 및 관리하고 있는 개인정보는 어떤 것들이 있습니까?
도민들의 회원정보를 담고 있는 △제주특별자치도 대표홈페이지, 4·3유족들의 자료를 관리하는 △4·3희생자 및 유족관리 시스템, 감귤재배실태를 파악하기 위해 수용가 정보 등을 보유하고 있는 △감귤재배실태 전산관리 시스템, 지하수 수용가 정보 등을 관리하는 △지하수 관리 시스템 등 행정업무 처리를 위한 각종 개인정보 시스템을 운영 중에 있습니다. 시스템으로 관리되는 개인정보 외에도 △어업허가 신고파일 △소방시설업체 현황파일 △조상 땅 찾기 신청서 등 파일 및 대장으로 관리되는 개인정보 또한 운영 중에 있습니다.
그렇다면 제주도에서 개인정보보호를 담당하는 조직은 어떻게 되는지 궁금합니다
개인정보 및 각종 전산보안을 정보융합담당관 내에 정보보호담당이 조직되어 전담하고 있습니다. 개인정보는 기획관리실장이 기관 개인정보보호책임자로 지정되어 개인정보 업무를 총괄하고 있으며, 그 하부 직속기관·사업소 기관장들이 분야별 기관 책임자의 임무를 맡고 있습니다. 개인정보보호책임자를 보좌해 개인정보보호 업무를 전담하는 개인정보관리실무자가 실무업무를 총괄, 각 부서의 개인정보 처리자 및 취급자에 대한 교육 및 제도 전파 등을 수행하고 있습니다.
▲ 통제구역인 개인정보보호 담당 부서[사진=제주도]
개인정보보호 강화를 위해 구축한 솔루션은?
제주도에서는 개인정보 처리 시스템과 저장된 개인정보 데이터 보호를 위해 기본적으로 디도스(DDoS) 탐지, 침입차단, 침입방지, 웹방화벽, 개인정보 노출 진단툴 등 각종 보안장비를 도입했으며, 개인정보의 안전한 관리를 위해 데이터베이스 접근제어, 암호화 시스템, 로그분석 시스템 등을 설치·운영해 오고 있습니다.
아울러 개인정보가 포함된 문서의 유출을 예방하기 위해 전 직원용 업무용 PC 약 7,500대에 문서 암호화 및 워터마킹을 적용한 개인정보 유출방지 시스템을 운영하고 있습니다. 또한, 개인정보 처리 시스템에 무단 접근·조작·유출 등을 예방하기 위한 통합 로그분석 시스템 구축, 홈페이지 등에 개인정보 검출을 위한 필터링 시스템도 운영 중에 있으며, 개인정보의 안전한 관리를 위해 외부에서 들어오는 파일들을 통제 및 방역 처리해 안전한 콘텐츠만 이용하게 하는 외부유입 파일관리 시스템도 구축되어 있습니다.
개인정보보호를 위해 도내 구성원들에게 어떤 교육을 하고 있나요
제주도에서는 매년 개인정보 교육 계획을 수립해 역할별 ·맞춤형 개인정보보호 교육을 실시하고 있습니다. 개인정보보호 책임자, 개인정보 담당자, 개인정보 처리자, 개인정보 취급자, 심지어 위탁업체 직원에게도 개인정보보호 교육을 실시하고 있습니다.
개인정보보호 책임자는 해마다 CPO워크숍 및 개인정보보호 페어에 참석하고 있으며, 개인정보 실무자 역시 최소 연2회 이상 개인정보보호 교육 및 개인정보보호 페어에 참석함으로써 달라지는 개인정보보호 제도나 정보보호 기술 및 동향 파악에 나서고 있습니다.
개인정보의 최소한 수집 및 유출 사고의 심각성에 대한 인식을 높이기 위해 개인정보보호 업무담당자 및 취급자를 대상으로 집합교육이나 사이버교육에 참석하도록 유도하는 등 교육을 강화했으며, 정보시스템 유지관리업체 직원에 대해서도 연1회 이상 개인정보보호 교육을 이수하도록 하는 등 만전을 기하고 있습니다.
또한, 전 직원의 개인정보보호법 관련 인식 제고를 위해 도정 영상TV 방송을 통한 개인정보보호 교육을 수행하고 있습니다. 이와 함께 도 행정정보 시스템 메인페이지에 개인정보/보안 탭을 개설해 개인정보와 관련된 각종 지침 및 홍보자료, 교육자료 등을 전 직원이 상시로 볼 수 있게 게시하고 있습니다. 특히, 기관뿐만 아니라 도민의 개인정보보호를 위한 홍보물 및 영상물을 제작해 도민의 개인정보보호 인식 강화에도 힘쓰고 있습니다.
▲ 제주특별자치도의 PIMS 인증서[사진=제주도]
산하기관이나 협력기관의 경우에는 어떤 조치를 취하고 있는지 궁금합니다
제주도에서는 산하기관 공기업의 개인정보보호 강화를 위해 적극 나서고 있습니다. 기관별 개인정보보호 체계 관련 업무 공유 및 이슈사항 논의, 협력지원을 위해 제주특별자치도개발공사, 제주관광공사, 제주에너지공사 개인정보보호 담당자들과의 정기적 미팅을 통해 협력체계를 추진하고 있으며, 각종 개인정보보호 지침 전파 및 개인정보보호 홍보물 송부 등으로 산하 공기업의 개인정보보호 강화를 위해 노력하고 있습니다.
개인정보보호 강화를 위한 어떤 계획을 갖고 있는지요?
개인정보 유출은 음주운전이 나쁘다는 인식 이상으로 철저하게 생활화되어 무의식중에서도 인지되어야 한다고 생각합니다. 이에 직원들의 개인정보보호 생활화를 위해 개인정보 처리 업무별 맞춤교육에 더욱 매진할 계획이며, 계정관리 시스템 및 접근관리 시스템을 도입해 개인정보처리 시스템의 계정 및 암호보안 수위를 한층 강화할 방침입니다. 또한, 개인정보 처리 시스템에 접근하는 사용자를 접근목적 및 역할에 따라 접근권한을 다르게 설정함으로써 체계적인 계정관리를 할 수 있도록 하며, 만약의 사고에 대비해 개인정보 접속이력 관리 시스템도 구축할 계획입니다.
앞으로도 제주도는 도민의 소중한 개인정보보호를 위해 물리적, 제도적, 기술적인 모든 분야에서 다각적인 노력을 펼쳐나갈 방침입니다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
