[보안뉴스 오병민] 통합정보보호 구축전략 컨퍼런스(ISEC 2010) 둘째 날 트랙 B의 세 번째 강연을 맡은 전상미 A3시큐리티 본부장은 ‘개인정보보호를 위한 거버넌스 체계’에 대해 설명했다.

개인정보 영향평가는 사업자가 사업을 추진, 수행할 때 발생할 수 있는 고객정보 침해나 유출 위험을 사전에 예방/조치하고 그 사후에 지속적으로 관리/지원함으로써, 회사에서 서비스 제공을 위해 이용하는 고객정보에 대한 안전성 확보를 목적으로 시행하는 개인정보보호를 위한 사전예방 및 개선절차이다.

이어 전 본부장은 개인정보 영향평가 시스템이 갖춰야할 기능에 대해 설명했다. 우선 개인정보 보유 현황 및 위험수준에 대한 모니터링이 필요하다고 이야기 했다. 개인정보 보유 현황 및 위험수준 모니터링과 개인정보 위험 수준 및 취약점을 모니터링 그리고 서비스와 부문별 보호수준 모니터 기능이 요구되며 정기적으로 운영이나 통계를 보고하는 기능도 필요하다고 이야기한다.

그리고 정확한 영향평가를 위해서 개인정보에 대한 영향평가를 자동화하고 가시화 할 수 있어야한다고 말한다. 개인정보 영향평가 프로세스의 자동화가 필요하며 요청서나 결과보고서 등 단계별 다양한 보고서 산출물이 제공돼야 한다는 것.

개인정보 보안대책 및 위험관련 지식 DB의 제공도 중요한 부분이라고 덧붙인다. 서비스 유형별 점검항목의 제공, 점검항목 별 상세 보안대책 제공, 그리고 점검항목 별 위험 시나리오 제공 등이 포함된다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>