시스템 규격 인증

ICMC교육원

icmcert@naver.com

02-851-3111

ISO 27701 개인정보보호

ISO 27701 (Privacy Information Management System)

개요

ISO 27701은 최초의 글로벌 개인정보보호 경영시스템 표준이다. ISO 27701은 ISO 27001의 확장 영역으로서 ISO 27701에는 PIMS(Privacy Information Management System, 개인정보보호 경영시스템)의 구축과 관련된 요구사항, 특정 목표 및 관리 수단이 포함된다.
ISO 27701은 개인정보보호를 위한 중요한 단계이다. ISO 27701은 조직에 데이터 및 개인정보 보호 행동 방법에 대한 실제 지침을 제공함으로써, 기존의 규정을 충족한다. 이러한 지침을 통해 PII(개인식별정보)를 보호하면서 GDPR(유럽연합 개인정보보호법)과 같은 해당 규정을 준수할 수 있다.

ISO 27701 배경

최근 역동적인 환경에서 개인 정보에 대한 위협을 줄이기 위하여 조직이 데이터를 관리하고 처리해야 하는 방법에 관한 지침에 대한 요구가 더욱 증가하고 있다. 그에 따라 조직이 개인 정보를 잘 관리하고, 전 세계에서 업데이트되고 있는 각종 프라이버시 관련 규제를 준수할 수 있도록 보조하는 방식에 관한, 새로운 국제 표준 형식의 지침이 강력한 효과를 발휘할 것이며, 이것이 프라이버시 정보 관리를 위한 ISO 27701의 배경이 되었다.

ISO 27701 구성

ISO 27701 표준이 ISO 27001 및 ISO 27002를 기본으로 하는 만큼, 정보 보안 외에도 PII 처리에 영향을 받을 수 있는 PII 보안 주제의 개인 정보 보호를 고려하여 요구 사항과 가이드라인을 확장시킨다. 즉, ISO 27001 또는 ISO 27702에서 “정보 보안”이라는 용어가 사용되는 경우에 대하여 ISO 27701에서는 “정보 보안 및 개인 정보”라는 용어가 대신 적용된다. 또한 각 표준들과의 관계, 용어 정리, 적용 방법 및 각 조항 간의 매핑까지 규격 내에 포함되어 있다.
특히 ISO 27701은 EU 회원국과 유럽 국경을 넘어 글로벌 상거래 및 비즈니스가 가능하도록 GDPR 준수를 염두해두고 제정되었기 때문에, PII 컨트롤러와 프로세서 역할을 하는 조직이 갖추어야 하는 개인정보보호 관리 체계의 요구사항을 포함하고 있으며, Annex D에서는 ISO 27701과 GDPR 규정 간 매핑을 제공한다.

ISO 27701 요구사항의 구성

NO	제목	NO	제목
4	일반(General) 4.1 문서의 구조(Structure of this document) 4.2 ISO 27001 요구사항(Application of ISO 27001 requirements) 4.3 ISO 27002 가이드라인(Application of ISO 27002 guidelines) 4.4 고객(Customer)	7	PII 컨트롤러에 대한 추가 ISO 27002 지침 (Additional ISO 27002 guidance for PII controllers) 7.1 일반(General) 7.2 수집 및 처리 조건(Conditions for collection and processing) 7.3 PII 원칙과 의무(Obligations to PII principals) 7.4 Privacy by Design and Privacy by default 7.5 PII 공유, 이전 및 공개(PII sharing, transfer, and disclosure)
5	ISO 27001 관련 PIMS 특정 요구 사항 (PIMS-specific requirements related to ISO 27001) 5.1 일반(General) 5.2 조직 상황(Context of the organization) 5.3 리더십(Leadership) 5.4 계획(Planning) 5.5 지원(Support) 5.6 운영(Operation) 5.7 성능 평가(Performance evaluation) 5.8 개선(Improvement)	8	PII 프로세서에 대한 추가 ISO 27002 지침 (Additional ISO 27002 guidance for PII processors) 8.1 일반(General) 8.2 수집 및 처리 조건(Conditions for collection and processing) 8.3 PII 원칙에 대한 의무(Obligations to PII principals) 8.4 Privacy by Design and Privacy by default 8.5 PII 공유, 이전 및 공개(PII sharing, transfer, and disclosure)
6	ISO 27002 관련 PIMS 관련 지침 (PIMS-specific guidance related to ISO 27002) 6.1 일반(General) 6.2 정보 보안 정책(Information security policies) 6.3 정보 보안 조직(Organization of information security) 6.4 인적 자원 보안(Human resource security) 6.5 자산 관리(Asset management) 6.6 접근 통제(Access control) 6.7 암호화(Cryptography) 6.8 물리적 및 환경적 보안(Physical and environmental security) 6.9 운영 보안(Operations security) 6.10 통신 보안(Communications security) 6.11 시스템 구입, 개발 및 유지 보수(Systems acquisition, development and maintenance) 6.12 공급 업체 관계(Supplier relationships) 6.13 정보 보안 사고 관리(Information security incident management) 6.14 비즈니스 연속성 관리의 정보 보안 측면(Information security aspects of business continuity management) 6.15 컴플라이언스(Compliance)	부록	부록A (규범) PIMS 특정 기준 제어 목표 및 제어 (PII 컨트롤러) Annex A (normative) PIMS-specific reference control objectives and controls (PII Controllers) 부록B (규범) PIMS 특정 기준 제어 목표 및 제어 (PII 프로세서) Annex B (normative) PIMS-specific reference control objectives and controls (PII Processors) 부록C (정보) ISO 29100 맵핑 Annex C (informative) Mapping to ISO 29100 부록D (정보) 일반 데이터 보호 규정 맵핑 Annex D (informative) Mapping to the General Data Protection Regulation 부록E (정보) ISO 277018 및 ISO 29151 맵핑 Annex E (informative) Mapping to ISO 27018 and ISO 29151 부록F (정보) ISO27701을 ISO 27001 및 ISO 27002에 적용하는 방법 Annex F (informative) How to apply ISO 27701 to ISO 27001 and ISO/IEC 27002

ISO 27701 도입의 효과

1: 개인정보보호와 신뢰 구축
고객, 직원, 규제 기관 등 모든 이해관계자는 조직이 정보와 개인정보를 보호하기 위해 더 나은 조치를 취할 것을 요구하고 있다. ISO 27701 인증은 개인정보보호 및 모범 사례에 대한 귀사의 의지 표명을 입증할 수 있도록 독립적이고 공정한 승인 역할을 한다. 이러한 인증을 통해 신뢰가 구축되고 경쟁 우위를 확보할 수 있다.

2: 법규 준수 인증
ISO 27701 인증만으로 조직이 GDPR(유럽연합 일반 개인정보보호법)을 준수하는지 확인할 수 없다. 하지만, ISO 27701 인증은 다양한 개인정보보호 법률 및 규정을 준수하기 위한 노력을 지원하기 위해 기업이 사용할 수 있는 논리적이고 효과적인 프레임워크를 제공한다.

3: 보다 체계적인 통합시스템 구축
ISO 27701 인증을 획득하려면 ISO 27001 인증을 이미 받았거나 통합 심사를 통해 심사할 수 있는 두 표준을 모두 구현해야 한다. ISO 27001과 ISO 27701 표준을 모두 준수하는 통합시스템을 통해 개인정보보호 관리와 관련한 변화하는 요구사항과 기대를 적절히 처리하는 체계적인 정보보안 경영시스템을 입증할 수 있다.

ICMC (주)해외인증 경영센터
국내/해외 RA인허가 전문 & GMP(ISO) 내부심사원 교육 전문

ICMC는 25년 이상 국내/해외 RA인허가 전문 & GMP(ISO) 내부심사원 교육 전문 기관으로서 경험이 풍부하고 우수한 RA컨설턴트 및 심사 강사를 확보하여 고객만족의 기업이 되기 위해 끊임없이 노력하고 있습니다. ICMC는 숙련된 인허가 전문 인력을 통하여 국제적으로 인정받는 시스템 도입이 가능하도록 컨설팅 서비스와 국내 GMP 및 국제 ISO 심사 대응 및 실무역량 강화, 내부심사 스킬 습득할 수 있는 교육서비스를 제공할 것이며, 글로벌 시스템 도입 시행을 통해 제품의 안전성, 신뢰성, 품질의 향상과 국제경쟁력을 갖출 수 있습니다. ICMC는 최단 기간 내 최소의 비용으로 품질 시스템을 구축할 수 있도록 고객 맞춤형 컨설팅 서비스를 제공하며 국내GMP 및 해외ISO의 전반적인 개념 및 운영방법을 확립할 수 있는 교육을 통해 글로벌 시장 진출에 꼭 필요한 파트너가 되어드리겠습니다.

TOP