최근의 데이터 보호법은 데이터 보호 책임자와 CISO가 협력하여 사용자의 데이터를 보호해야 함을 의미합니다.
전 세계적으로 엄격한 데이터 보호법(GDPR 및 CCPA 포함)이 시행되고 있으므로 DPO(데이터 보호 책임자)와 CISO가 긴밀하게 협력하는 것이 중요합니다. DPO의 업무 중 일부는 CISO의 보안 정책을 감사하는 것이지만 DPO와 CISO가 좋은 관계를 유지하는 것이 중요합니다. 기본적으로 CISO는 보안 및 기밀 데이터에 관심이 있고 DPO는 개인 정보 보호 및 개인 데이터에 중점을 둡니다.
CISO는 비즈니스 및 운영 관점에서 보안 문제를 조사합니다. 조직의 사이버 보안 태세를 강화하면서 CISO는 모든 회사 정보가 안전하게 처리되도록 노력합니다. DPO는 주로 조직이 개인 데이터를 처리하는 방법에 관심이 있습니다. 여기에는 데이터 최소화, 데이터 주체와의 커뮤니케이션, 권한 관리, 스토리지 최소화, 데이터 수집 및 데이터 처리가 포함될 수 있습니다.
데이터 최소화
DPO의 주요 목표 중 하나는 불필요한 고객 데이터가 처리되지 않도록 하는 것입니다. 개인정보를 처리하는 경우 (개인정보처리방침에 명시된 약속에 따라) 일정 기간을 초과하여 보관해서는 안 되며, 데이터 처리의 성격에 대해 고객에게 알려야 합니다.
데이터 최소화는 개인 데이터를 적게 저장하여 전체 공격 영역을 줄입니다. 이것은 DPO와 CISO 간의 협업에 있어 중요합니다. 수집된 데이터의 양을 최소화하는 데 도움이 되는 DPO를 통해 CISO는 더 높은 수준의 보안을 유지할 수 있습니다.
예를 들어 조직에서 이메일 주소, 전화번호 및 주민등록번호를 요구하는 등록 양식을 발행할 수 있습니다. CISO는 주로 데이터 보호 방법에 관심을 가질 것입니다. 반대로 DPO는 "이 정보를 수집하는 이유는 무엇입니까?"와 같은 질문을 할 가능성이 높습니다. "이 데이터를 처리(저장, 사용 또는 전송)해야 합니까?" 이와 같은 질문을 함으로써 DPO는 CISO의 보안 팀이 데이터를 효과적이고 선제적으로 보호하도록 돕습니다.
활동 등록 만들기
현대 디지털 조직에는 다양한 소스에서 오는 많은 데이터 흐름이 있습니다. 레지스터를 생성함으로써 DPO는 CISO가 다양한 데이터 흐름을 모니터링하는 데 도움을 줄 수 있습니다. 효과적인 활동 기록부는 "이 정보가 정확히 어디에 사용되고 있습니까?", "누가 사용하고 있습니까?", "이 데이터가 누구에게 전송되고 있습니까?"와 같은 질문에 답할 것입니다. 다시 말하지만 CISO는 보안 관점에서 이 정보에 관심이 있고 DPO는 개인 정보 보호 문제가 있습니다.
활동 등록을 생성하는 동안 데이터가 본질적으로 개인적인 것인지 평가하십시오. 경우에 따라 데이터가 개인적인 것인지 여부는 상황에 따라 다릅니다. 예를 들어 고객이 집 주소만 회사에 제공할 수 있습니다. 이 집 주소를 개인으로 역추적할 수 있다면 개인 데이터입니다. 이와 같은 뉘앙스로 인해 법적 배경이 있는 DPO가 있으면 도움이 됩니다.
설계에 의한 데이터 보호
DPO와 CISO가 효과적으로 협력할 수 있는 또 다른 방법은 제품 도입 단계입니다. 조직의 개발자와 긴밀히 협력함으로써 DPO 및 CISO는 회사 제품에 데이터 보호 기능을 사전에 구축할 수 있습니다.
예를 들어, 필수 쿠키와 비필수 쿠키를 생성하는 동안 CISO는 보안 취약성과 관련된 우려 사항을 갖고 DPO는 개인 정보 보호 우려 사항을 갖게 됩니다. 보안 관점에서 CISO는 로그인 세션을 추적하고 사용자 관련 기능을 제공하는 데 사용되는 필수 쿠키가 보호되는지 확인하고자 합니다. 이렇게 하면 명의 도용이 발생할 수 없습니다.
개인 정보 보호 관점에서 DPO는 광고를 표시하는 데 사용되는 광고 쿠키와 같은 비필수 쿠키에 대해 우려할 것입니다. DPO는 쿠키 목록이 웹사이트 사용자에게 표시되고 사용자가 웹사이트 성능을 크게 저하시키지 않고 일부 쿠키를 선택 해제할 수 있도록 해야 합니다.
따라서 쿠키 생성 프로세스 중 CISO와 DPO 간의 긴밀한 협력은 개인 정보 보호 및 보안 관점에서 모두 효과적일 수 있습니다.
위반 및 개인정보 침해 처리
DPO와 CISO가 긴밀히 협력해야 하는 또 다른 경우는 데이터 유출 또는 개인정보 침해가 발생한 경우입니다. 덧붙여서, 이들은 종종 서로 다른 이벤트입니다. 예를 들어 고객에게 연락처 양식이 제공되고 전화 번호는 나중에 제품을 판매하는 데 사용됩니다. 문의 양식에 개인 정보 보호 정책에 대한 링크가 없다면 개인 정보 보호 위반이 될 수 있지만 위반은 아닙니다. 또는 데이터 유출이 있었을 수 있습니다. 그러나 소스 코드만 도난당했습니다. 이것은 데이터 위반이지만 개인정보 침해는 아닙니다.
그럼에도 불구하고 상황을 평가하려면 DPO와 CISO가 긴밀히 협력해야 합니다. 회사가 적시에 사건에 대해 당국에 알리지 않으면 벌금이 부과될 수 있으므로 위반 중에 특히 중요합니다.
영향 평가
위반 후 조직은 DPO가 자문 역할을 수행하는 동안 위험 평가를 수행해야 합니다. CISO의 기존 보안 인프라를 감사하는 것 외에도 DPO는 미래를 위한 조언을 제공해야 합니다. CISO의 도움을 받아 DPO는 "이런 사고가 다른 곳에서 발생할 수 있습니까?", "앞으로 이런 일이 발생하지 않도록 어떻게 보호할 수 있습니까?" 모두?"
결론
긴밀하게 협력함으로써 DPO는 가장 필요한 데이터만 수집하고 고객에게 데이터 전송 및 사용에 대해 잘 알려줌으로써 CISO가 데이터를 보다 효율적으로 보호하도록 도울 수 있습니다. DPO와 CISO가 함께 작업하면 한 곳에서 다른 곳으로 데이터를 안전하고 합법적으로 전송할 수 있으므로 보안 침해 발생 가능성이 크게 줄어들고 궁극적으로 조직이 시간과 비용을 절약할 수 있습니다.
관련 콘텐츠 :
Rajesh Ganesan은 Zoho Corporation의 IT 관리 부서인 ManageEngine의 부사장입니다. Rajesh는 20년 이상 Zoho Corp.에서 통신, 네트워크 관리 및 IT 보안을 포함한 다양한 분야의 소프트웨어 제품을 개발해 왔습니다. 그는 가지고있다 … 전체 자료보기
더 많은 통찰력
