홈메뉴 > ISO인증 > 인증서비스 분야 > ISO/IEC 27701(GDPR)

ISO/IEC 27701(GDPR)

인증개요

ISO/IEC27701(Privacy Information Management, 개인정보관리)는 ISO/IEC27001 및 ISO/IEC27002의 프라이버시에 대한 확장판으로서 개인 정보의 수집과 처리로 인하여 잠재적으로 영향을 받는 프라이버시의 보호에 대한 추가적인 지침을 제공합니다.

설계상의 목표는 기존의 ISMS를 추가적인 요구사항으로 강화하여 개인정보보호관리체계(Privacy Information Management System; 이하 PIMS)를 수립, 이행, 유지 및 지속적으로 개선하는 것입니다.

본 표준은 프라이버시 통제(Privacy control)을 관리하기 위한 개인식별정보(Personally Identifiable Information; PII)의 컨트롤러(Controller)과 프로세서(Processor)에 관한 프레임워크를 개괄하여, 개별적인 프라이버시권(Privacy right)에 대한 위험을 줄이는 것입니다.

이러한 추가적인 요구사항과 지침은 모든 문화권에서 다양한 규모의 조직이 실용적으로 활용할 수 있도록 기술되었습니다.
특히, ISO/IEC27701은 EU(유럽연합) 회원국과 유럽국경을 넘어 글로벌 상거래와 비즈니스가 가능하도록 GDPR(General Data Protection Regulation, 개인정보보호규정) 준수를 염두 해두고 제정되었기 때문에, 개인정보식별정보(PII) 컨트롤러와 프로세서 역할을 하는 조직이 갖추어야 하는 개인정보보호관리체계의 요구사항을 포함하고 있으며, Annex D에서는 ISO/IEC27701과 GDPR 규정 간의 매핑을 제공합니다

필요성 및 인증의 기대효과

정보보호경영시스템(Information Security Management System; ISMS) 내에서 개인정보식별정보(PII)를 처리하는 PII 컨트롤러와 프로세서는 공공과 민간기업 및 정부단체, 비영리단체를 포함한 모든 유형의 조직과 규모에 적용됩니다.

오늘날 모든 비즈니스에는 데이터프라이버시(Data privacy)가 존재한다. 데이터프라이버시는 더 이상 최고데이터책임자(CDO)나 IT보안부서에만 영향을 미치는 문제가 아닙니다. 이는 인적자원, 고객서비스담당자, 그리고 일반적으로 개인데이터와 접촉하는 모든 사람들에게 영향을 미치는 조직의 문제입니다. PIN 처리의 데이터프라이버시 보호는 전 세계의 법적/규제적 요구사항의 이슈뿐만 아니라 사회적 필요성입니다.

국내 개인정보보호법과 유럽연합(EU)의 개인정보보호규정(GDPR) 등은 전 세계적으로 프라버시보호법 등의 규제요구사항이 증가하고 있습니다. 이러한 새로운 프라이버시보호 규제를 조직은 어떻게 대응 할 것인가? ISO/IEC 27701는 프라이버시보호 및 개인정보보호 준수를 지원하기위한 효과적인 시스템을 제공할 수 있습니다. 또한, 개인정보식별정보(PII) 처리방법을 설명하는 증거(문서)를 확보할 수 있습니다.
이러한 증거는 개인정보식별정보(PII)의 처리가 상호 관련이 있는 비즈니스 파트너에게 신뢰를 제공하고, 계약을 촉진하는데 사용될 수 있으면, 다른 이해관계자들과의 관계에 도움이 될 수 있습니다.

요구사항
5 ISO/IEC 27001 관련 PIMS 특정 가이던스
5.1 일반

5.2 조직상황
5.2.1 조직관 상황에 대한 이해
5.2.2 이해당사자의 요구와 기대에 대한 이해
5.2.3 정보보호 경영시스템 범위 결정
5.2.4 정보보호 경영시스템
5.3 리더십
5.3.1 리더십과 의지
5.3.2 정책
5.3.3 조직의 역할, 책임, 권한
5.4 계획
5.4.1 위험과 기회에 따른 조치
5.4.2 정보보호 목표 및 달성 계획
5.5 지원
5.5.1 자원
5.5.2 적격성
5.5.3 인식
5.5.4 의사소통
5.5.5 문서 정보
5.6 운영
5.6.1 운영 계획 및 통제
5.6.2 정보보호 위험평가
5.6.3 정보보호 위험처리
5.7 성과평가
5.7.1 모니터링, 측정, 분석, 평가
5.7.2 내부심사
5.7.3 경영검토
5.8 개선
5.8.1 부적합 및 시정조치
5.8.2 지속적 개선

6 ISO/IEC 27002 관련 PIMS 특정 가이던스
6.1 일반

6.2 정보보호 정책
6.2.1 정보보호를 위한 경영방침

6.3 정보보호
6.3.1 내부 조직
6.3.2 모바일 기기 및 원격근무

6.4 인적자원 보안
6.4.1 고용 전
6.4.2 조용 중
6.4.3 고용 종료 및 직무 변경

6.5 자산관리
6.5.1 자산에 대한 책임
6.5.2 정보 등급 분류
6.5.3 매체 취급
6.6 접근통제
6.6.1 접근통제 업무 요구사항
6.6.2 사용자 접근관리
6.6.3 사용자 책임
6.6.4 시스템 및 애플리케이션 접근통제

6.7 암호화
6.7.1 암호통제

6.8 물리적 및 환경적 보안
6.8.1 보안 구역
6.8.2 장비
6.9 운영 보완
6.9.1 운영 절차 및 책임
6.9.2 악성코드 방지
6.9.3 백업
6.9.4 로그 기록 및 모니터링
6.9.5 운영 소프트웨어 통제
6.9.6 기술적 취약점 관리
6.9.10 정부시스템 감사 고려사항

6.10 통신보안
6.10.1 네트워크 보안관리
6.10.2 정보 전송

6.11 시스템 도입, 개발, 유지보수
6.11.1 정보시스템 보안 요구사항
6.11.2 개발 및 지원 프로세스 보안
6.11.3 시험 데이터

6.12 공급자 관계
6.12.1 공급자 관계 정보보호
6.12.2 공급자 서비스 전달관리

6.13 정보보호 사고 관리
6.13.1 정보보호 사고 관리 및 개선

6.14 업무연속성 관리의 정보보호 측면
6.14.1 정보보호 연속성
6.14.2 이중화

6.15 준거성
6.15.1 법적 및 계약 요구사항 준수
6.15.2 정보보호 검토

7 PII “컨트롤러”에 대한 추가 ISO/IEC 27002 가이던스
7.1 일반
7.2 수집 및 처리조건
7.3 PII원칙과 의무
7.4 Privacy by Design, Privacy by default
7.5 PII 공유, 이전 및 공개

8 PII “프로세스”에 대한 추가 ISO/IEC 27702 가이던스
8.1 일반
8.2 수집 및 처리조건
8.3 PII원칙과 의무
8.4 Privacy by Design, Privacy by default
8.5 PII 공유, 이전 및 공개

Annex
A : PIMS 특정 기준 제어 목표 및 제어 (PII 컨트롤러)
B : PIMS 특정 기준 제어 목표 및 제어 (PII 프로세서)
C : ISO/IEC 29100 맵핑
D: 일반 데이터 보호 규정 맵핑
E: ISO/IEC 277018 및 ISO/IEC 29151 맵핑
F : ISO/IEC 27701을 ISO/IEC 27001 및 ISO/IEC 27002에 적용하는 방법

ISO/IEC 27701;
Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management
- Requirements and guidelines

ISO/IEC 27001;
Information technology - Security techniques - Information security management systems - Requirements

ISO/IEC 27002;
Information technology - Security techniques - Code of practice for information security controls

ISO/IEC 27018;
Information technology - Security techniques - Code of practice for protection of personally identifiable information
(PII) in public clouds acting as PII processors

ISO/IEC 27017;
Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services

ISO/IEC 29001;
Information technology - Security techniques - Privacy framework

한국경영인증원 고객지원팀
T. 02-6309-9023, 9016, 9022, 9026 / E-mail. lsh@ikmr.co.kr