주민번호 수집제한, ISMS 인증, 신고제도 등 12가지 꼼꼼히 살펴야
[보안뉴스
김태형] 방송통신위원회와 한국인터넷진흥원(KISA)은 지난 7월 13일 개정된 법에 따라 내년부터 본격 시행되는 기업 정보보호 법제도에 대해
소개하는 자리를 마련했다.
이날 소개된 관련 법제도는 정보보호관리체계(ISMS) 인증제도, 정보보호 사전점검, 정보보호 책임자 지정 등인데 이 외에도 달라지는 법제도에는 개인정보보호 관리체계(PIMS) 인증, 주민번호 수집·이용 제한, 개인정보 누출통지·신고 등이 있다.
기업에서는 이러한 정보보호 법제도를 꼼꼼히 살펴보고 대비해야 나중에 제도 불이행에 따른 불이익을 받지 않게 된다. 특히, 이번에 개정된 법에 따라 기업은 필요한 정보보호 활동·조치를 수행해야 한다. 의무사항은 위반시 과태료가 부과될 수 있다. 개정된 정보통신망법은 개인정보보호 분야는 2012년 8월 18일부터, 기업보안 분야는 내년 2월 18일부터 시행된다.
◇ 법적 준수사항(의무)
주민번호 수집·이용 제한 : 법에서 허용한 경우를 제외하고는 이용자 주민등록번호의 수집 및 이용이 불가능해진다. 대상자는 정보통신 서비스 제공자중에서 개인정보를 수집하는 경우이다.
예외는 본인확인 기관으로 지정받는 경우, 법령에서 이용자의 주민등록번호 수집·이용을 허용하는 경우, 영업상 목적을 위해 이용자의 주민등록번호 수집·이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우 등이다.
개인정보 누출 통지·신고 : 개인정보의 분실, 도난, 누출사고 발생시 이용자에게 해당 사실을 지체 없이 통지하고 방송통신위원회에 신고해야 한다. 대상자는 정보통신 서비스 제공자중에서 개인정보를 수집하는 경우이다.
개인정보 유효기간 : 회원탈퇴 등의 조치를 취하지 않고 장기간(3년) 정보통신서비스를 이용하지 않는 이용자의 개인정보는 파기해야 한다. 대상자는 정보통신 서비스 제공자중에서 개인정보를 수집하는 경우이다.
개인정보처리 시스템 망분리 : 개인정보처리 시스템에 접속하는 개인정보 취급자 컴퓨터 등은 외부 인터넷망과 연결을 차단해야 한다. 대상자는 전년도 말 기준 3개월간 일일 평균 100만명 이상의 개인정보를 보유하거나 정보통신서비스 부문 전년도 매출액이 100억 이상인 정보통신서비스 제공자 등이 해당된다.
개인정보 이용내역 통지 : 수집한 이용자 개인정보의 이용 내역을 해당 이용자에게 주기적(연1회 이상)으로 통지해야 한다. 대상자는 전년도 말 기준 3개월간 일일 평균 100만명 이상의 개인정보를 보유하거나 정보통신서비스 부문 전년도 매출액이 100억 이상인 정보통신서비스 제공자 등이 해당된다.
침해사고 신고 : 해킹, DDoS 등 침해사고가 발생하면 즉히 그 사실을 방송통신위원회나 한국인터넷진흥원에 신고해야 한다. 정보통신서비스 제공자와 집적정보통신시설 사업자가 이에 해당된다.
정보보호 관리체계(ISMS) 인증 : 주요 정보자산의 정보보호를 위해 정보보호 관리체계를 구축하고 인증기관(한국인터넷진흥원)으로부터 인증을 취득해야 한다. 의무 대상자외 인증을 희망하는 기업도 인증 취득이 가능하다.
주요 대상자는 정보통신망서비스 제공자, 집적정보통신시설 사업자, 정보통신서비스 제공자 등이며 특히 정보통신서비스부문 전년도 매출액 100억 이상 또는 전년도말 기준 3개월간 일일 평균 이용자 수 100만명 이상인 정보통신서비스 제공자가 해당된다.
◇ 관련 제도(권고)
개인정보보호 관리체계(PIMS) 인증 : 개인정보보호를 위해 개인정보보호 관리체계를 구축하고 인증기관(한국인터넷진흥원)으로부터 인증을 받을 수 있다. 인증 취득시 정보통신망법 개인정보보호관련 조항 및 개인정보보호법 준수로 인정된다. 대상자는 정보통신 서비스 제공자 중에서 개인정보를 수집하는 경우이다.
정보보호관리 등급 : 정보보호관리체계 인증을 취득한 기업은 높은 수준의 기업 보안 관리를 위해 정보보호 관리등급을 부여 받을 수 있다. 정보통신 서비스 제공자 모두에 해당된다.
정보보호 사전점검 : 새로운 정보통신서비스 개발 시 계획·설계 단계에서 위험분석, 보호대책 적용 등 정보보호 사전점검을 받을 수 있다. 특히, 신규 정보통신망을 구축하거나 정보통신서비스를 제공하는 자에 해당된다.
정보보호 최고책임자 지정 : 기업의 정보보호 활동을 총괄 관리하는 임원급의 정보보호 최고책임자(CISO)를 지정할 수 있다. 정보통신 서비스 제공자 모두에 해당된다.
정보보호 투자 : 최소한의 기업 정보보안을 위해 인증 현황의 홈페이지 공개, IT 예산 대비 정보보호 예산 5%이상 투자를 권고하고 있다. 정보통신서비스 제공자 모두에 해당된다.
[김태형 기자(boan@boannews.com)]
출처 : 보안뉴스
댓글