Automotive and aerospace

ISO/IEC 27701 - 개인정보 경영을 위한 국제 표준

Data privacy

Contact us:

추가적인 정보가 필요하세요?

문의사항 접수

필요한 정보를 모두 확인하셨습니까?

제안서 요청

점점 더 서로가 연결되어지는 세상에서, 개인 정보 보호는 점점 더 큰 사회적인 욕구로 작용하고 있습니다. 정부적 차원에서 도입한 유럽 연합의 GDPR(General Data Protection Regulations)과 같은 프라이버시 규정들은 기업의 대응을 요구합니다. ISO/IEC 27701과 같은 ISO 표준은 개인 식별 가능 정보(Personally identifiable information,PII)와 관련된 개인 정보 보호 위험을 관리하고 요구사항을 충족시키는 데에 도움이 될 것입니다.

개인 정보에 대한 신뢰와 책임의 필요성은 고객, 소비자 그리고 여타 이해관계자들 모두의 마음에 증가하고 있습니다. 그러나 그에대한 리스크는 규제 준수(regulatory compliance)보다 더 광범위합니다. 기업은 적절한 역량, 프로세스 및 시스템을 갖추어야 합니다. 프라이버시와 데이터 보호와 관련된 불만과 과징금이 증가하면서, 관련된 지침의 필요성이 더욱 커지고 있습니다.

ISO/IEC 27001요건을 토대로 한 ISO/IEC 27701은, 요구사항을 제공하고 기업이 개인 식별 가능 정보(PII)와 관련된 프라이버시 리스크를 관리할 수 있도록 돕습니다. 이것은 또한 기업들이 여타 데이터 보호 규정뿐만 아니라 GDPR을 준수하도록 도울 수 있습니다. 두 표준을 조합하여 인증할 수 있습니다.

ISO/IEC 27701이란?

ISO/IEC 27701은 요구사항을 명시하고 개인 정보 경영 시스템의 구축, 구현 , 유지 및 지속적인 개선을 위한 지침을 제공합니다. ISO/IEC 27001의 요구사항, ISMS(정보보호 경영시스템)표준, ISO/IEC 27002의 정보보안 통제에 관한 직업 규약(code of practice)을 바탕으로 구축합니다.

ISO/IEC 27701은 개인 식별 가능 정보(PII)를 보호하기 위한 경영 시스템 프레임워크를 제공합니다. 이 문서는 조직이 개인 정보를 관리하는 방법을 포함하며 적용될수 있는 개인 정보 보호 규정 준수를 입증하는 데에 도움이 됩니다.

ISO/IEC 27001을 실현한 경우 ISO/IEC 27701은 귀사의 보안에 관련된 노력들을 확장시킬 것입니다. 이것은 GDPR과 같은 데이터 보호 규정 준수를 입증하기 위한 PII 처리를 포함합니다.

ISO/IEC 27001을 준수하는 기존의 정보보호 경영시스템이 없는 조직의 경우, 두가지 표준(ISO/IEC 27001 및 ISO/IEC 27701)을 단일 프로젝트에서 구현할 수 있습니다.

누가 ISO/IEC 27701를 구현해야 하는가?

ISO/IEC 27701은 정보보호 경영시스템 내에서 PII(개인식별정보)처리를 담당하는 조직에 지침을 제공합니다. 공공 및 민간 기업뿐만 아니라 정부 기관 및 기타 유형의 조직을 포함한 모든 규모와 유형의 조직에 이점을 얻을 수 있습니다. 위험 기반 접근방식(Risk-based approach)을 제공함으로써, 조직은 개인정보 및 프라이버시에 대한 위험뿐만 아니라 특정 개인 정보 위험에도 대처할 수 있습니다.

ISO/IEC 27701이 비즈니스에 도움이 되는 이유

개인정보 경영시스템(Privacy information management system, PIMS)에는 다음과 같은 몇 가지 이점이 있습니다. :

  • 고객 및 직원 모두의 개인 정보 관리 능력에 대한 신뢰를 구축
  • GDPR 및 기타 적용 가능한 개인 정보 관리 능력에 대한 신뢰를 구축
  • 조직내 역할과 책임의 명확화
  • 내부 역량 향상 및 프로세스 개선을 통한 위반 방지
  • 프라이버시 관리를 위한 확립된 통제 및 투명성 제공
  • PII 처리과정이 상호관련 있는 비즈니스 파트너와의 합의를 촉진
  • 선도적인 정보보안 표준 ISO/IEC 27001과 쉽게 통합 가능

ISO/IEC 27701을 어떻게 사용하여 GDPR을 준수할 수 있는가?

ISO/IEC 27701및 ISO/IEC 27001을 준수하는 경영시스템을 구현하면, 귀사는 GDPR에 명시된 개인 정보 보호 요건 및 기타 데이터 보호 규정을 충족할 수 있습니다. GDPR은 조직이 처리한 개인 데이터를 보호하기 위해 적절한 기술적, 관리적 조치(정책, 절차, 프로세스 포함)를 채택하도록 요구합니다.(제5조 2항(article5(2))에 따름).

ISMS(정보보안관리시스템)의 국제 표준인ISO/IEC 27001 은 위반 리스크를 줄이는 데에 필요한 기술적,운영적 요구사항을 달성하는 데에 훌륭한 출발점을 제공합니다.

ISO/IEC 27701은 ISO 27001의 요구사항, 관리 목적 및 관리를 기반으로 하여 PIMS(개인 정보 경영시스템, Privacy information management system)를 수립, 구현, 유지 및 지속적 개선을 위한 요건을 명시하고 있으며, 개인 정보 보호 관련 요건, 관리 목표 및 관리에 의해 확장됩니다.부록 상호 참조(annex cross-references) GDPR 및 ISO/IEC 27701.단 본 표준은 GDPR에 특정된 것이 아닙니다.

두 표준 모두 규정을 준수하는 기업들이 GDPR 프라이버시 및 정보보안 요건을 충족하고 준수함을 입증하는 데에 도움이 됩니다.

ISO/IEC 27701은 현재 제42조(article 42)의 GDPR에서 개괄적으로 기술한 인증 매커니즘을 다루고 있지는 않지만, DNV GL과 같은 독립된 제3자에 의해 ISO/IEC 27001과 결합된 ISO/IEC 27701에 대한 인증을 받을 수 있습니다.

인증 준비 방법

ISO/IEC 27701을 현재의 ISO/IEC 27001 과 호환되는 정보보호 경영시스템의 확장으로서 구현을 할 의향이 있거나, 이제 막 시작하려는 경우 다음을 통해 귀사를 지원할 수 있습니다.

  • GAP 분석 – 인증 준비 상태 확인
  • ISO/IEC 27001 교육 과정 제공
  • ISO/IEC 27001 및 ISO/IEC 27701에 대한 경영시스템 인증

또한 우리는 표준 및 GDPR과 관련된 교육을 지원할 수 있습니다.

인증을 받으려면 먼저 표준의 요건을 준수하는 효과적인 경영시스템을 구현해야 합니다. 귀하와 귀사가 투자하고, 실행과 평가를 위한 명확한 목표를 설정하는 것은 중요합니다. 인증에 앞서 귀사는 내부 심사를 실시하여 잠재적 격차(potential gaps)를 파악하는 것이 좋습니다. 기억해야 할 가장 중요한 것 중 하나는 경영 시스템의 개발, 구현 및 인증이 지속적인 여정이라는 것입니다. 인증 심사는 지속적인 개선 프로세스의 한 요소를 나타냅니다.

인증 취득 로드맵을 확인하여 인증을 위한 준비를 시작하세요.

Contact us:

추가적인 정보가 필요하세요?

문의사항 접수

필요한 정보를 모두 확인하셨습니까?

제안서 요청

Related services you might find interesting: