ISO/IEC 27018 공공클라우드 개인정보보호 경영시스템
■
ISO/IEC 27018 (공공클라우드개인정보보호 경영시스템) 인증제도란?
ISO/IEC 27018은 퍼블릭 클라우드 환경에서 개인정보(PII: Personally Identifiable Information)를 처리하는 클라우드 서비스 제공자(CSP, Cloud Service Provider)를 위한 국제 표준 가이드라인입니다.
ISO/IEC 27001 정보보안경영시스템을 기반으로, 클라우드 환경에서 개인정보를 보호하기 위한 세부 통제 기준과 운영 지침을 제공합니다. 이 규격은 고객의 개인정보 보호에 대한 책임을 명확히 하고,
클라우드 서비스 이용자의 신뢰 확보를 위한 핵심 도구로 활용됩니다. 또한, ISO/IEC 27002에 기초하여 클라우드 환경에서 개인정보보호를 위한 고려사항을 다루고 있으며 개인 정보(PII)를 보호하기 위해
일반적으로 받아들여지는 통제 목적, 통제 및 수단의 구현에 대한 지침으로 확립하고 있습니다.
■
ISO/IEC 27018 (공공클라우드개인정보보호경영시스템)의 필요성
-
●
퍼블릭 클라우드 상에서 고객 개인정보를 수집·보관·처리해야 한다면
-
●
클라우드 서비스 이용자의 개인정보 보호 요구사항을 충족해야 한다면
-
●
국내외 개인정보보호법, GDPR 등 규제에 대응하고자 한다면
-
●
기업의 클라우드 보안 역량과 투명성을 제3자 인증으로 증명하고자 할 때
-
→ ISO/IEC 27018 도입이 꼭 필요합니다.
■
ISO/IEC 27018 (공공클라우드개인정보보호경영시스템)의 인증 효과
-
●
클라우드 환경에서의 개인정보 처리 책임 및 보호 강화
-
●
고객의 데이터 프라이버시에 대한 신뢰도 제고
-
●
퍼블릭 클라우드 서비스에 대한 규제 및 법적 요구사항 대응
-
●
글로벌 기업 및 고객사와의 계약 요건 충족
-
●
클라우드 데이터 유출 사고 예방 및 사고 대응 역량 확보
-
●
개인정보 보호 문화 및 내부관리 체계 수준 향상
■
ISO/IEC 27018 (공공클라우드개인정보보호경영시스템)의 주요 요구사항
-
●
퍼블릭 클라우드에서의 개인정보 수집, 저장, 처리, 삭제 시 보호 기준 준수
-
●
데이터 처리 목적 외 사용 금지 및 데이터 주체 동의 기반 처리
-
●
개인정보 암호화, 익명화, 접근통제 등 기술적 보호조치 마련
-
●
클라우드 사용자에게 데이터 처리 위치 및 절차 투명하게 공개
-
●
개인정보 삭제 및 반환 절차 명확화
-
●
외부 위탁 시 계약상 개인정보 보호 조항 포함
-
●
데이터 주체 권리(열람, 정정, 삭제 등)의 보장 프로세스 운영
-
●
보안 사고 대응 절차 수립 및 통지 의무 강화
■
공공클라우드개인정보보호 경영시스템 모델