Day 22: ISO 27701 개인정보 관리 시스템
1. ISO 27701의 개요
1.1 ISO 27701이란?
정식 명칭: ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
ISO 27701: ISO 27001 및 ISO 27002를 개인정보 보호(Privacy) 로 확장한 국제 표준
별칭: PIMS (Privacy Information Management System) 표준
1.2 제정 배경
- 2019년 8월 6일 발행
- GDPR (EU 일반 데이터 보호 규정) 시행 (2018년 5월)
- 글로벌 개인정보 보호 규제 강화
- ISO 27001만으로는 개인정보 보호 요구사항 충족 부족
- 정보보호 + 개인정보 보호 통합 관리 필요
1.3 ISO 27701의 목적
조직이 개인정보를 안전하게 보호하기 위해:
- 개인정보 관리체계(PIMS) 수립·구현·유지·개선
- ISO 27001 기반 개인정보 보호 확장
- 국제적 개인정보 보호 표준 준수 입증
1.4 ISO 27701 vs ISMS-P vs ISO 27001
| 구분 | ISO 27701 | ISMS-P | ISO 27001 |
|---|---|---|---|
| 발행 기관 | ISO/IEC | 한국인터넷진흥원 | ISO/IEC |
| 범위 | 정보보호 + 개인정보보호 | 정보보호 + 개인정보보호 | 정보보호만 |
| 기반 표준 | ISO 27001 확장 | 독립 표준 | 독립 표준 |
| 적용 범위 | 전 세계 | 한국 | 전 세계 |
| 인증 | ISO 27001 선행 필수 | 독립 인증 가능 | 독립 인증 |
| GDPR 준수 | ⭐⭐⭐ | ⭐⭐ | ⭐ |
| 한국 법 준수 | ⭐⭐ | ⭐⭐⭐ | ⭐ |
핵심 차이:
- ISO 27701: ISO 27001 확장 (ISO 27001 인증이 선행 조건)
- ISMS-P: 정보보호+개인정보보호 통합 (단독 인증 가능)
1.5 ISO 27701이 필요한 조직
- 이미 ISO 27001 인증을 보유한 조직
- 글로벌 비즈니스 (특히 EU, 미국)
- GDPR 준수가 필요한 조직
- 개인정보 처리가 많은 조직
- 고객 신뢰 확보가 중요한 조직
2. ISO 27701의 구조
2.1 전체 구조
ISO 27701은 ISO 27001/27002에 추가되는 형태:
ISO 27001 (정보보호 관리체계) + ISO 27002 (정보보호 통제 가이드) + ISO 27701 (개인정보 보호 확장) <- 추가 = PIMS (Privacy Information Management System)
2.2 ISO 27701의 구성
ISO 27701은 크게 3부분으로 구성:
(1) Clause 1~4: 도입 및 범위
(2) Clause 5: PIMS 요구사항
- 5.2: ISO 27001에 대한 추가 요구사항
- 5.3: ISO 27001 Clause 4 (조직 상황) 확장
- 5.4: ISO 27001 Clause 5 (리더십) 확장
- 5.5: ISO 27001 Clause 6 (계획) 확장
- 5.6: ISO 27001 Clause 7 (지원) 확장
- 5.7: ISO 27001 Clause 8 (운영) 확장
- 5.8: ISO 27001 Clause 9 (성과 평가) 확장
- 5.9: ISO 27001 Clause 10 (개선) 확장
(3) Annex A, B: 개인정보 보호 통제
- Annex A: PII 컨트롤러 (데이터 관리자) 통제 - 23개
- Annex B: PII 프로세서 (데이터 처리자) 통제 - 17개
2.3 PII 컨트롤러 vs PII 프로세서
PII Controller (개인정보 컨트롤러)
개인정보 처리의 목적과 수단을 결정하는 자
예시:
- 온라인 쇼핑몰 (고객 정보 수집·이용)
- 병원 (환자 정보 관리)
- 은행 (고객 정보 관리)
역할:
- 개인정보 수집·이용 결정
- 개인정보 보호 책임
PII Processor (개인정보 프로세서)
컨트롤러를 대신하여 개인정보를 처리하는 자
예시:
- 클라우드 서비스 제공자 (AWS, Azure)
- 콜센터 위탁 업체
- 결제 대행 업체 (PG사)
역할:
- 컨트롤러의 지시에 따라 개인정보 처리
- 컨트롤러에게 책임
비유:
컨트롤러 = 회사 (고객 정보 소유) 프로세서 = 외주 업체 (회사를 대신해 고객 정보 처리)
한국 법률 용어:
- 컨트롤러 ≈ 개인정보처리자
- 프로세서 ≈ 수탁자
3. PIMS 요구사항 (Clause 5)
3.1 5.2 일반 요구사항
5.2.1 PIMS 수립 및 유지
조직은 PIMS를 수립·구현·유지·지속적으로 개선해야 함
5.2.2 역할
조직 내 역할 정의:
- PII Controller (개인정보 컨트롤러)
- PII Processor (개인정보 프로세서)
- 둘 다 해당하는 경우 모두 준수
3.2 5.4 리더십 (Leadership)
5.4.1 정책
개인정보 보호 정책 수립:
- 개인정보 처리 원칙
- 정보주체 권리 보장
- 법적 요구사항 준수
ISO 27001 정보보호 정책에 통합 가능
5.4.2 역할, 책임 및 권한
개인정보 보호 책임자 지정:
- DPO (Data Protection Officer) 또는 CPO (Chief Privacy Officer)
- 개인정보 보호 업무 총괄
3.3 5.5 계획 (Planning)
5.5.1 개인정보 보호 목표
개인정보 보호 목표 수립:
- 측정 가능
- 모니터링 가능
예시:
- 개인정보 유출 사고 0건
- 정보주체 요구 처리율 100%
- 개인정보 교육 이수율 100%
5.5.2 위험 평가
개인정보 관련 위험 평가:
- 개인정보 수집·이용·제공·파기 전 과정
- 정보주체 권리 침해 가능성
- 법적 위반 가능성
3.4 5.6 지원 (Support)
5.6.1 역량 및 인식
- 개인정보 취급자 교육
- 개인정보 보호 인식 제고
5.6.2 의사소통
정보주체와의 의사소통:
- 개인정보 처리방침 공개
- 동의 획득
- 권리 행사 절차 안내
3.5 5.7 운영 (Operation)
5.7.1 개인정보 처리 활동
개인정보 처리 활동 기록 유지:
- 처리 목적
- 개인정보 항목
- 보유 기간
- 제3자 제공 현황
GDPR Article 30과 유사
5.7.2 정보주체 권리
정보주체 권리 보장 절차 수립:
- 열람
- 정정·삭제
- 처리정지
- 이동권 (데이터 포터빌리티)
3.6 5.8 성과 평가 (Performance Evaluation)
5.8.1 모니터링, 측정, 분석 및 평가
개인정보 보호 성과 측정:
- 개인정보 보호 목표 달성도
- 개인정보 침해 사고 건수
- 정보주체 불만 건수
5.8.2 내부 심사
PIMS 내부 심사 실시 (연 1회 이상)
5.8.3 경영 검토
최고경영자의 PIMS 검토 (연 1회 이상)
3.7 5.9 개선 (Improvement)
5.9.1 부적합 및 시정 조치
개인정보 보호 부적합 발견 시 시정 조치
5.9.2 지속적 개선
PIMS의 지속적 개선
4. Annex A: PII 컨트롤러 통제 (23개)
4.1 A.6 조직 (Organization)
A.6.1.1 법적 근거
개인정보 처리의 법적 근거 확인:
- 동의
- 계약 이행
- 법적 의무
- 정당한 이익
GDPR Article 6과 동일
A.6.1.2 개인정보 보호 정책
정보주체에게 개인정보 처리방침 공개:
- 수집 목적
- 보유 기간
- 제3자 제공
- 정보주체 권리
A.6.1.3 정보주체 권리
정보주체 권리 보장:
- 열람권
- 정정·삭제권
- 처리정지권
- 이동권
- 자동화된 결정 거부권
4.2 A.7 인적 자원 보안 (Human resource security)
A.7.2.1 개인정보 보호 인식 및 교육
개인정보 취급자 교육 실시:
- 연 1회 이상
- 개인정보 보호 원칙
- 법적 의무
4.3 A.8 자산 관리 (Asset management)
A.8.2.1 개인정보 분류
개인정보 분류 및 라벨링:
- 일반 개인정보
- 민감 개인정보
- 고유식별정보
A.8.3.1 개인정보 삭제
보유 기간 경과 시 즉시 삭제:
- 복구 불가능한 방법
- 삭제 기록 유지
4.4 A.9 접근 통제 (Access control)
A.9.2.1 개인정보 접근 제한
개인정보 접근 최소화:
- 업무상 필요한 자만 접근
- 최소 권한 부여
4.5 A.10 암호화 (Cryptography)
A.10.1.1 암호화 정책
개인정보 암호화 정책 수립:
- 저장 시 암호화
- 전송 시 암호화
4.6 A.11 물리적 및 환경적 보안 (Physical and environmental security)
A.11.2.1 물리적 매체 처리
개인정보가 저장된 물리적 매체 안전한 처리:
- 폐기 시 완전 삭제
4.7 A.12 운영 보안 (Operations security)
A.12.2.1 변경 관리
개인정보 시스템 변경 시 개인정보 보호 영향 평가
A.12.7.1 로그 관리
개인정보 접근 로그 기록 및 모니터링
4.8 A.13 통신 보안 (Communications security)
A.13.2.1 정보 전송 계약
제3자에게 개인정보 전송 시 계약서 체결:
- 보안 조치 명시
- 책임 명확화
4.9 A.14 시스템 개발 및 유지보수 (System acquisition, development and maintenance)
A.14.2.1 개인정보 보호 설계
시스템 개발 시 Privacy by Design 적용:
- 설계 단계부터 개인정보 보호 고려
- 기본 설정을 개인정보 보호 중심으로
4.10 A.15 공급자 관계 (Supplier relationships)
A.15.1.1 공급자 선정
개인정보 처리 위탁 시 수탁자 선정 기준:
- 보안 수준 확인
- 계약서 체결
4.11 A.16 정보보안 사고 관리 (Information security incident management)
A.16.1.1 개인정보 침해 통지
개인정보 유출 시 정보주체 및 규제기관 통지:
- 72시간 이내 (GDPR 기준)
- 통지 내용: 유출 항목, 시점, 조치
4.12 A.17 사업 연속성 (Business continuity management)
A.17.1.1 개인정보 백업
개인정보 정기 백업:
- 재해 복구 대비
4.13 A.18 컴플라이언스 (Compliance)
A.18.1.1 법적 요구사항 준수
개인정보 관련 법령 준수:
- GDPR (EU)
- 개인정보보호법 (한국)
- CCPA (캘리포니아)
5. Annex B: PII 프로세서 통제 (17개)
5.1 B.6 조직 (Organization)
B.6.1.1 계약 조건
컨트롤러와의 계약서에 다음 포함:
- 처리 목적
- 처리 기간
- 보안 조치
- 하위 위탁 조건
- 개인정보 반환·삭제
B.6.1.2 지시 준수
컨트롤러의 지시에 따라서만 개인정보 처리:
- 목적 외 사용 금지
5.2 B.8 자산 관리 (Asset management)
B.8.3.1 개인정보 반환 및 삭제
계약 종료 시:
- 개인정보 컨트롤러에 반환 또는 삭제
- 삭제 증명서 제공
5.3 B.9 접근 통제 (Access control)
B.9.2.1 접근 제한
프로세서 직원의 개인정보 접근 제한:
- 업무상 필요한 자만
5.4 B.12 운영 보안 (Operations security)
B.12.7.1 감사 지원
컨트롤러의 감사 요청 시 협조:
- 개인정보 처리 현황 제공
- 현장 감사 수용
5.5 B.15 공급자 관계 (Supplier relationships)
B.15.1.1 하위 위탁
프로세서가 하위 위탁 시:
- 컨트롤러 사전 동의
- 하위 수탁자도 동일한 보안 수준
5.6 B.16 정보보안 사고 관리 (Information security incident management)
B.16.1.1 침해 통지
개인정보 유출 시:
- 컨트롤러에 즉시 통지
- 컨트롤러가 정보주체·규제기관 통지
6. ISO 27701 인증 절차
6.1 인증 전제 조건
ISO 27001 인증이 선행 조건
- ISO 27001 미인증 -> ISO 27701 인증 불가
- ISO 27001 인증 보유 -> ISO 27701 확장 인증 가능
6.2 인증 절차
Phase 1: 사전 준비 (3~6개월)
-
갭 분석
- ISO 27001 대비 ISO 27701 추가 요구사항 파악
-
PIMS 구축
- Clause 5 요구사항 충족
- Annex A/B 통제 구현
- 개인정보 처리 활동 기록
- 개인정보 보호 정책 수립
-
문서화
- 정책, 절차, 기록
Phase 2: 내부 심사 (1개월)
- PIMS 내부 심사
- 부적합 시정
Phase 3: 인증 심사 (1~2개월)
- 1단계 심사 (문서 심사)
- 2단계 심사 (현장 심사)
- ISO 27001 인증 유지 확인
- ISO 27701 추가 요구사항 준수 확인
Phase 4: 인증서 발급
- ISO 27001 + ISO 27701 통합 인증서
유효 기간: 3년 (ISO 27001과 동일)
6.3 사후 관리
- 연간 사후 심사: ISO 27001 + ISO 27701 함께 심사
- 갱신 심사: 3년 후 재인증
7. 보안 컨설팅 관점의 시사점
7.1 ISO 27701 인증이 필요한 경우
(1) EU 비즈니스
- EU 고객·파트너가 있는 경우
- GDPR 준수 입증 필요
(2) 글로벌 확장
- 국제적으로 개인정보 보호 수준 입증
(3) 고객 요구
- 대기업 고객이 ISO 27701 요구
(4) 경쟁 우위
- 입찰 시 가점
- 고객 신뢰 확보
7.2 ISO 27701 vs ISMS-P 선택
| 상황 | 권장 |
|---|---|
| 이미 ISO 27001 보유 | ISO 27701 |
| EU 비즈니스 중심 | ISO 27701 |
| 한국만 비즈니스 | ISMS-P |
| 정보통신망법 의무 대상 | ISMS-P |
| 글로벌 + 한국 | ISO 27701 + ISMS-P 병행 |
실무:
- 대기업: ISO 27001 + ISO 27701 + ISMS-P 모두 취득
- 중견기업: ISO 27001 + ISO 27701 또는 ISMS-P
- 스타트업: ISMS-P (비용 효율적)
7.3 컨설팅 프로세스
Phase 1: 현황 진단 (1개월)
- ISO 27001 인증 보유 확인
- ISO 27701 갭 분석
- 컨트롤러/프로세서 역할 판단
Phase 2: PIMS 구축 (3~4개월)
- 개인정보 처리 활동 기록 작성
- 개인정보 보호 정책·절차 수립
- Annex A/B 통제 구현
- 정보주체 권리 보장 절차
Phase 3: 내부 심사 (1개월)
- PIMS 내부 심사
- 부적합 시정
Phase 4: 인증 심사 (1~2개월)
- 1단계 심사 대응
- 2단계 심사 대응
총 기간: 6~8개월
8. 실무 사례
사례 1: 글로벌 SaaS 기업
A기업:
- 한국 SaaS 기업
- EU 고객 30%
배경:
- EU 고객이 GDPR 준수 요구
- ISO 27001 보유
ISO 27701 인증:
-
갭 분석 (1개월)
- 개인정보 처리 활동 기록 부족
- 정보주체 권리 절차 미비
-
PIMS 구축 (4개월)
- 개인정보 처리 활동 기록 작성
- Privacy Notice 작성 (GDPR 준수)
- 정보주체 권리 포털 구축 (열람, 삭제 요청)
- 데이터 이동권 (Data Portability) 기능 개발
-
인증 (2개월)
- ISO 27001 + ISO 27701 통합 인증
결과:
- GDPR 준수 입증
- EU 고객 신뢰 확보
- 매출 20% 증가
사례 2: 클라우드 서비스 제공자 (PII Processor)
B클라우드:
- IaaS, PaaS 제공
- 고객사의 개인정보 처리
역할:
- PII Processor (수탁자)
ISO 27701 Annex B 준수:
-
계약서 정비
- 고객사(컨트롤러)와 DPA (Data Processing Agreement) 체결
- 처리 목적, 보안 조치, 하위 위탁 조건 명시
-
하위 위탁 관리
- 하위 클라우드 사업자 사용 시 고객사 동의
- 하위 사업자도 동일 보안 수준
-
감사 지원
- 고객사 감사 요청 시 협조
- SOC 2 보고서 제공
-
데이터 반환·삭제
- 계약 종료 시 고객 데이터 반환 또는 삭제
- 삭제 증명서 발급
결과:
- 대기업 고객 확보
- 신뢰도 향상
사례 3: 전자상거래 기업
C쇼핑몰:
- 온라인 쇼핑몰
- 회원 500만명
역할:
- PII Controller (개인정보처리자)
- 결제 대행은 PG사 (Processor)
ISO 27701 Annex A 준수:
-
법적 근거 확인
- 회원가입: 동의
- 주문/배송: 계약 이행
- 마케팅: 별도 동의
-
개인정보 처리방침
- 명확한 안내
- 쉬운 언어
-
정보주체 권리
- 마이페이지에서 열람·정정·삭제
- 데이터 다운로드 (CSV)
-
PG사 관리
- PG사와 위탁계약
- PG사 보안 수준 정기 점검
결과:
- ISO 27701 인증
- 고객 신뢰 향상
9. GDPR과 ISO 27701의 관계
9.1 GDPR 주요 요구사항
GDPR (General Data Protection Regulation): EU 일반 데이터 보호 규정 (2018년 5월 시행)
주요 요구사항
- 적법성: 법적 근거 (동의, 계약 등)
- 투명성: 개인정보 처리 투명하게 공개
- 정보주체 권리:
- 열람권
- 정정·삭제권 (“잊힐 권리”)
- 처리정지권
- 데이터 이동권
- 자동화된 결정 거부권
- Privacy by Design: 설계 단계부터 개인정보 보호
- DPIA (Data Protection Impact Assessment): 고위험 처리 시 영향평가
- DPO (Data Protection Officer): 일정 규모 이상 조직은 DPO 지정
- 침해 통지: 72시간 이내 규제기관·정보주체 통지
- 국제 이전: EU 외 국가로 이전 시 적정성 결정 또는 SCC
9.2 ISO 27701과 GDPR 매핑
ISO 27701은 GDPR과 높은 일치도:
| GDPR 요구사항 | ISO 27701 통제 |
|---|---|
| 적법성 (Article 6) | A.6.1.1 법적 근거 |
| 투명성 (Article 12~14) | A.6.1.2 개인정보 보호 정책 |
| 정보주체 권리 (Article 15~22) | A.6.1.3 정보주체 권리 |
| Privacy by Design (Article 25) | A.14.2.1 개인정보 보호 설계 |
| DPIA (Article 35) | ISO 27001 Clause 6 위험 평가 |
| 침해 통지 (Article 33~34) | A.16.1.1 개인정보 침해 통지 |
| 프로세서 의무 (Article 28) | Annex B 전체 |
결론: ISO 27701 인증 = GDPR 준수의 강력한 증거
10. 체크리스트
PIMS 요구사항
- 개인정보 보호 정책을 수립했는가?
- 개인정보 보호 책임자를 지정했는가?
- 개인정보 보호 목표를 수립했는가?
- 개인정보 처리 활동을 기록하는가?
- 정보주체 권리 보장 절차가 있는가?
- PIMS 내부 심사를 연 1회 수행하는가?
PII 컨트롤러 (Annex A)
- 개인정보 처리의 법적 근거가 있는가?
- 개인정보 처리방침을 공개하는가?
- 정보주체 권리를 보장하는가? (열람, 정정·삭제, 이동권)
- 개인정보를 분류·라벨링하는가?
- 보유 기간 경과 시 즉시 삭제하는가?
- 개인정보를 암호화하는가?
- 개인정보 유출 시 통지 절차가 있는가?
- Privacy by Design을 적용하는가?
PII 프로세서 (Annex B)
- 컨트롤러와 계약서를 체결했는가?
- 컨트롤러의 지시에 따라서만 처리하는가?
- 하위 위탁 시 컨트롤러 동의를 받는가?
- 계약 종료 시 개인정보를 반환·삭제하는가?
- 컨트롤러 감사 요청 시 협조하는가?
학습 정리
오늘 학습한 핵심 내용:
- ISO 27701은 ISO 27001/27002의 개인정보 보호 확장 표준
- PIMS (Privacy Information Management System) 구축
- ISO 27001 인증이 선행 조건
- Clause 5: ISO 27001 요구사항에 개인정보 보호 추가
- Annex A: PII 컨트롤러 통제 23개 (개인정보처리자)
- Annex B: PII 프로세서 통제 17개 (수탁자)
- GDPR과 높은 일치도 -> GDPR 준수 입증에 유리
- 글로벌 비즈니스, EU 고객 있는 경우 필수
- 한국 기업: ISO 27701 (글로벌) vs ISMS-P (국내) 선택
- 인증 기간: 6~8개월, 유효기간 3년
다음 학습 주제
Day 23: PCI-DSS (Payment Card Industry Data Security Standard) - 카드 정보 보호 표준