E.E.F@choigww180328: GDPR, 유럽연합 일반 데이터 보호 규정

in #coinkorea7 years ago (edited)

E.E.F for Enterprise Environment Factors

defined in the 3rd, the 4th and the 5th edition of the PMBOK.

프로젝트 관리 방법 또는 프로젝트/프로그램/포트폴리오의 결과에 중대한 영향을 끼치지만, 프로젝트 팀이 제어할 수 없는 요소들
factors that cannot be controlled by the project team but have a significant impact on how the project has to be managed or on the outcome of the project, program or portfolio.

GDPR, General Data Protection Regulation

Introduction video 1 (97 sec)



Introduction video 2 (211 sec)



Introduction video 3 (413 sec)

GDPR이란

기존 데이터 보호 지침(Europe Directive 95/46/EC)을 대체하는 정보 보호 법안으로, EU의 모든 28개 회원국 국민들에게 개인 데이터의 제어권을 돌려주는 것을 목적으로 한다.

  • "소비자들이 개인정보의 중요성을 인지함에 따라, 데이터 관리자에게 더 많은 투명성과 신속한 대응을 요구하고 있다." FROM RSA Data Privacy & Security Report

해당 EU 규정의 대상이 되는 회사는 EU 회원국 내 발생하는 거래에 대해 EU 시민의 개인/사생활 정보를 보호할 의무를 지며, EU 외부로의 개인정보 유출은 규제된다. 기준이 까다로워 대부분의 기업에서 대규모의 투자가 필요할 것으로 예상됨.

컨설팅 업체 오범(Ovum) 보고서에 따르면, 미국 기업 가운데 2/3는 GDPR로 인해 유럽 내 전략을 재고해야 한다고 생각하며 그 가운데 85%는 GDPR로 인해 유럽 업체와 경쟁에서 불리해질 것이라고 전망.

GDPR의 영향을 받는 기업

  • EU 국가 내에서 EU 시민에 관한 개인 정보를 저장하거나 처리하는 모든 기업
    • EU 국가에 사업장을 보유한 경우
    • EU에 사업장은 없으나 유럽 거주자의 개인 정보를 처리하는 경우
    • 직원 수가 250명 이상인 경우
    • 직원 수는 250명 미만이지만 정보 처리를 통해 정보 주체의 권리와 자유에 영향을 미치고, 정보 처리가 드물지 않게 일어나거나 특정 종류의 민감한 개인 정보를 처리하는 경우
  • PwC 설문조사에 따르면 미국 기업 가운데 92%가 GDPR을 정보 보호 최우선 순위로 인식

규정 준수 이행 기한

  • 2018년 5월 25일까지 (규정 준수 이행 준비의 완료)

GDPR를 준수하지 못하면

  • 정보 침해의 심각도에 따라,
    • 현지 데이터 보호 기관과 잠재적 정보 소유자에게 침해된 기록에 대해 알려야 함
    • 연간 전 세계 매출액의 4%, 또는 2,000만 유로를 벌금으로 납부 (더 큰 액수를 벌금으로 함)
  • 예외를 적용하는 경우
    • 보안 제어 기능이 배포되어 있는 경우 (데이터 액세스 권한이 없는 모든 사람에게 데이터를 암호화한 상태로 제공하는 경우, 정보 소유자에게 침해 사실을 알릴 필요 없음)
    • "보안 침해"의 발생을 입증할 수 있는 경우 벌금을 부과받지 않을 수 있음
  • 오범 보고서는 전체 기업 가운데 52%가 규정 불이행으로 인한 벌금을 물게 될 것으로 예상
  • 경영 컨설팅 업체 올리버 와이먼(Oliver Wyman)은 GDPR 시행 첫 해에 EU에서 거둬 들일 수 있는 벌금이 무려 60억 달러에 달할 것으로 예측

GDPR 하에서 보호되는 개인 정보

  • 이름, 주소, ID 명 등 기본 신상 정보
  • 위치, IP 주소, 쿠키 데이터, RFID 태그 등 웹 정보
  • 건강, 유전 정보
  • 생체 정보
  • 인종 또는 민족 정보
  • 정치적 의견
  • 성적 취향

기업에 영향을 주는 GDPR 요건

  • 기업의 고객 개인정보의 처리, 보관, 보호 방식 변경
    • 예를 들면, 개인의 동의가 있어야만 개인 정보의 보관, 처리가 가능하며 그 기간은 "개인 정보 처리 목적에 필요한 기간을 넘을 수 없다."
    • 개인의 삭제 요청 시 의무적으로 삭제
  • 기업 보안팀
    • EU 시민의 개인/사생활 정보를 "합리적"인 수준으로 보호
    • GDPR에서 말하는 "합리적"이 무슨 의미인지는 정확히 규정되지 않음

정보 침해를 감지한 지 72시간 이내에 침해에 영향을 받는 개인과 감독 당국에게 이를 신고해야 하는 요건은 이행하기 어려울 수 있다. 영향 평가 수행 요건도 있는데 취약점과 그 해결 방법을 파악함으로써 정보 피해 위험을 경감시키는 것이 목적이다.

GDPR 준비를 위한 사전 작업

  • 최고 경영진의 긴급성 강조 : 위험 관리 업체 마쉬(Marsh)는 사이버 준비성을 우선 순위로 삼으려면 임원진의 리더십이 중요하다는 것을 강조한다. 사이버 준비성의 일환으로 글로벌 정보 위생 기준을 준수해야 한다.
  • DPO 고용 또는 임명 : GDPR에는 DPO가 별개의 직책일 필요가 있는지 규정되어 있지 않다. 따라서 이미 유사한 역할을 하고 있는 사람을 지명해도 무방한 것으로 보인다. 그렇지 않다면 담당자를 채용해야 한다.
  • 정보 보호 계획 수립 : 대부분의 기업에는 이미 계획이 수립되어 있지만 재검토해서 GDPR 요건과 일치하도록 업데이트해야 한다.
  • 위험 평가 실시 : EU 시민에 대한 어떤 정보를 보관, 처리하는지 인지하고 그와 관련된 위험을 이해할 필요가 있다. 위험 평가 시에는 해당 위험 경감을 위해 취한 조치도 간략히 서술해야 한다.
  • 위험 경감 조치 이행 : 위험과 그 경감 방법을 파악하고 나면 위험 경감 조치를 시행해야 한다. 대부분의 회사에서 이는 기존 위험 경감 조치를 수정하는 것을 의미한다.
  • 사고 대응 계획 테스트 : GDPR은 정보 침해 시 기업들이 72시간 이내에 신고할 것을 의무화하고 있다. 기업이 규정 위반으로 벌금을 물 것이냐는 대응팀이 얼마나 효과적으로 피해를 최소화 하느냐에 직접적으로 좌우된다. 기한 내에 적절한 신고와 대응이 가능하도록 조치해야 한다.
  • 지속적 평가를 위한 절차 수립 : 규정은 계속 준수해야 하며 이를 위해서는 감시와 지속적인 개선이 필요하다.

GDPR 규정 준수를 위해 적용가능한 구체적 방법

provided by gemalto



On-premise(인하우스) 또는 클라우드 인프라 환경에서 하나 이상의 암호화 방법(data encryption) 사용

  • 서버 / 파일, 애플리케이션, 데이터베이스, 전체 디스크 가상 컴퓨터 암호화 등
  • 스토리지 / 네트워크 연결형 스토리지 및 스토리지 영역 네트워크 암호화 등
  • 미디어 / 디스크 암호화
  • 네트워크 / 고속 네트워크 암호화 등

+사용자의 "잊혀질 권리"를 위해서도 정보가 유출되어서는 안 되므로 강력한 키 관리가 요구됨
+사용자 ID와 트랜잭션의 합법성 / 규정 준수를 입증할 수 있는 엔지니어링이 요구됨

관련 글 묶어보기

MORE INFORMATION

REFERENCE

#kr-it #kr-dev #kr #gdpr
7 years ago in #coinkorea by
$0.00
    Reply 0
    Sort:  
  • Trending