ISO정보보호연수원(공병철 원장)은 이멜벤처스 임직원을 대상으로 3차례의 연수과정 진행을 통해 6명의 국제표준 ISMS-P(정보보호 및 개인정보보호) 인증심사원을 배출했다고 19일 밝혔다.

지난 1월 19일 이멜벤처스 임직원 'ISO/IEC 27701 국제인증심사원' 연수과정을 마치고 합격증 전달식이 진행됐다.

이멜벤처스는 지난 2022년 1월 임직원 6명이 ISO/IEC 27001 인증심사원 연수를 통하여 내부심사원을 양성하고 TQCSI International 인증원으로부터 ISO/IEC 27001 정보보호경영시스템 ISMS 인증을 취득하였으며, 2023년 사후1차 심사 준비하기 위하여 클라우드 정보보안 ISO 27017과 공공 클라우드 개인정보 ISO 27018 연수를 진행하여 자사 플랫폼의 클라우드 서비스 운영의 안전성과 전문성을 확장하였으며, 올해 사후2차 심사 준비를 위하여 ISO 27701 개인정보보호경영시스템 국제인증심사원 연수과정을 진행하고 PCAA 자격등록기관에 인증심사원 등록을 진행하였다고 밝혔다.

이멜벤처스 윤현근 부대표는 “2022년 ISO 27001 국제인증을 취득한 이후로 모바일 어플리케이션 서비스를 개발하고 운영하는 기업으로서의 국제규격 준수뿐만 아니라 임직원의 역량개발을 통해 자발적이고 자율적인 IT 보안이 이루어질 수 있도록 노력해 왔다. 앞으로도 정보보호관리체계를 클라우드 및 개인정보보호 영역까지 확대하여 운영의 효율성을 꾸준히 높여나가기 위해 더욱 노력할 계획이다.”라고 밝혔다.

ISO/IEC 27001은 국제표준화기구(ISO)의 정보보안경영시스템(Information Security Management System)인증으로, 주요 정보자산의 유출 및 피해 예방을 위해 기관(기업)에서 정보보호관리체계(ISMS)가 수립·관리·운영하고 지속적인 개선을 위한 요건이 적합한지를 인증하는 정보보안 분야에서 가장 권위 있는 국제 표준제도이다.

ISO 27017은 ISO/IEC 27002에 기반한 클라우드 서비스에 대한 정보보안 통제 실무지침을 제공하며, 클라우드 서비스 이용자(고객) 및 클라우드 서비스 공급자를 위한 정보보호 통제의 구현을 지원하는 지침을 제공한다.

ISO 27018은 개인정보 수탁자 역할을 하는 공공 클라우드의 개인정보보호 실무지침을 제공하며, 공공 클라우드 서비스 제공자(CSP)가 개인식별정보(PII)를 처리하는 수탁자에 대하여 개인식별정보(PII)를 보호하기 위한 개인정보보호 통제의 구현을 지원하는 지침을 제공한다.

ISO/IEC 27701은 국제표준화기구(ISO)가 EU GDPR 규정(전문 총 173개, 본문 총 11장 99개 조항) 준수를 인정받을 수 있도록 2019년 8월에 최초 제정되었으며, 공공 및 민간 기업, 정부 기관 및 비영리 조직을 포함한 모든 유형 및 규모의 조직에서 개인식별정보(PII)를 처리(수집/이용/활동/저장/폐기)를 위한 개인정보보호관리체계(PIMS)를 수립, 이행, 유지 및 지속적 개선을 할 수 있도록 대표적인 프레임워크와 가이드를 제공하고 있으며, 부속서D에서는 EU GDPR 규정과의 상호 연계성 매핑을 제공하고 있다.

ISO/IEC 27701은 기관의 규모나 구조, 기관이 활동 중인 국가와 관계없이 모든 종류의 기관들이 ISO 27001의 요구조건과 ISO 27002의 지침을 기반으로 기존 정보보안 경영시스템(ISMS, Information Security Management System)을 향상시켜 개인정보보호 경영시스템(PIMS, Privacy Information Management System)을 구축 및 유지하고 지속적으로 발전시킬 수 있도록 방향을 제시한다.

ISO/IEC 27701 PIMS 인증을 취득하려면 기존 ISMS 통제항목과 PIMS 통제항목 및 PIMS 부속서 A~F를 수립 및 운영하고 정보보호 관리적, 물리적, 기술적, 법률적, 개인정보보호 생명주기 프레임워크 등 모든 통제항목을 만족하고 있음을 평가를 받아야 한다. 특히, ISO 27701 인증은 EU GDPR(유럽연합 개인정보보호법) 규정인 전문 총 173개 항을 준수하고 있음을 증명할 수 있다.

ISO/IEC 27701 인증심사원 연수과정은 기존 ISO/IEC 27001 ISMS의 기본 이해도를 바탕으로 개인식별정보(PII)를 보호하고, PIMS를 적절히 수행하는데 필요한 세부적인 요구사항을 통해 조직 내 Privacy 경영시스템 고도화와 Data의 현황을 파악하고 개선할 수 있는 능력을 평가하며, 조직 내부심사원이나 외부 심사원으로 활동이 가능하도록 지원 한다.

유럽연합(EU) 집행위는 지난 2020년 12월 17일 우리나라 국무회의 격인 ‘집행위원 전원회의(College of Commissioners)’를 열어 한국에 대한 ‘개인정보보호 적정성 결정(Adequacy Decision)’을 최종 채택하였으며, 영국 디지털문화미디어스포츠부(Department for Digital Culture, Media & Sport)에서 한국에 대한 개인정보보호 적정성 결정을 지난 22년 12월 19일 최종 채택(발효) 되었다. 적정성 결정(Adequacy Decision)은 타국의 개인정보보호 수준을 평가하여 자국의 개인정보 이전이 가능한 국가로 승인(화이트 리스트)하는 제도로서 유럽연합(EU)·영국·일본·브라질 등이 운영 중에 있다.

우리 정부의 노력으로 한국 기업이 EU 및 영국 내 개인정보를 추가적인 인증이나 절차 없이 국내로 이전할 수 있게 되었으며, ISO/IEC 27701 인증을 취득하는 기업 또한 꾸준히 늘어나고 있는 추세이다.

ISO정보보호연수원 공병철 원장은 “지난 2020년 1월부터 27001 심사원 연수과정을 시작으로, 27017, 27018, 27701 연수과정을 개발하고 자격등록기관인 PCAA에 약 300여명의 국제인증심사원을 등록하였으며, 지난 2023년 10월에는 ISO 23806 선박 사이버 보안 연수과정 등록을 통하여 제조업의 OT보안 국제인증심사원을 본격적으로 시작하고 있다.”라고 밝혔다.

또한, “ISO/IEC 27000 Family 확장 표준인 산업제어시스템 27019, 의료보안 27799, 네트워크보안 27033, 어플리케이션보안 27034, 침해대응 27035, 보안관제 27039, IoT보안 27400 등 다양한 ICT 및 제조 산업 영역에서 활동 중인 현장전문가를 대상으로 국제표준 정보보안 인증 전문가로 활동할 수 있도록 지속적으로 확대할 것"이라고 덧붙였다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★