오늘은 중학교 시절 친구를 만났다. 샌드박스로 이직을 하게 되었다는 좋은 소식을 들을 수 있었다. 회사 사이즈도 커지기도 했으나, 게임 업계보다는 정확히는 플랫폼 업계에서 게임을 다루고 싶어하는 친구의 목적이 달성된 것에 큰 의미가 있엇다. 성공적인 생활이 되기를 축하하는 한편, 돌아오는 길에 나도 언젠가 보안담당자로 간다면.. 이라는 상상의 나래를 펼치게 됐다. 그중에서 개보가 상상하기에 적합하여 개보 담당자의 면접을 생각해 보았다.
그리고 예상 질문과 의도 및 답변에 대해 간단하게 10개만 생각해 보았다. 다 쓰고 나니 개보 담당자들이 수탁사 문제를 까다로워 한다는 게 생각이 났지만.. 이 문제는 다음에 심도있게 다루는 게 좋을 것 같다.
1. 개인정보보호법에 따라 개인정보를 수집할 수 있는 법적 근거는 무엇인가?
• 질문 의도: 개인정보 수집의 법적 근거와 절차를 이해하고 있는지 확인한다.
• 답변: 개인정보는 정보주체의 동의, 법령에서 정한 경우, 계약 이행을 위한 필수적 수집 등 특정 요건에 해당할 때 수집할 수 있다.
2. 개인정보 보호책임자의 역할과 주요 업무는 무엇인가?
• 질문 의도: 개인정보 보호책임자의 법적 역할과 실무적 책임에 대한 이해도를 확인한다.
• 답변: 개인정보 보호책임자는 개인정보 관리체계 수립, 내부 정책 감독 및 이행, 유출 사고 대응 등의 역할을 맡고 있으며, 정보주체의 권리 보호와 개인정보 처리 절차 준수를 책임진다.
3. 개인정보의 제3자 제공 시 준수해야 하는 법적 절차는 무엇인가?
• 질문 의도: 제3자에게 개인정보를 제공할 때 필요한 요건과 절차를 이해하고 있는지 확인한다.
• 답변: 개인정보를 제3자에게 제공하기 위해서는 정보주체의 동의가 필요하며, 동의서에는 제공받는 자, 목적, 항목, 보유기간 등이 명시되어야 한다. 법적 근거가 있을 경우 동의 없이 제공 가능하다.
4. 개인정보 이용내역을 정보주체에게 통지해야 하는 기준과 절차는 무엇인가?
• 질문 의도: 정보주체에게 개인정보 이용내역 통지 의무를 이해하고 있는지 평가한다.
• 답변: 개인정보 이용내역은 정보주체에게 연 1회 이상 통지해야 하며, 통지에는 수집•이용 항목, 제공받은 자, 목적 등이 포함되어야 한다. 통지 절차는 서면, 전자문서, 이메일, 문자 등으로 가능하다.
5. 개인정보의 안전성 확보를 위한 관리적•기술적 조치에는 어떤 것들이 있는가?
• 질문 의도: 개인정보 보호를 위한 보안 조치에 대한 법적 요구 사항을 이해하고 있는지 확인한다.
• 답변: 안전성 확보를 위해 접근 권한 관리, 암호화 등의 기술적 조치와 보안 교육, 내부 감사 등의 관리적 조치가 요구된다. 또한, 시스템 접근 기록 관리, 백업, 방화벽 설치 등도 필수적이다.
6. 개인정보보호법 제15조와 관련된 개인정보 수집•이용 동의 절차는 어떻게 진행해야 하는가?
• 질문 의도: 개인정보 수집•이용 동의 절차에 대한 법적 요건을 얼마나 이해하고 있는지 평가한다.
• 답변: 제15조에 따르면, 개인정보 수집 시 정보주체의 동의를 반드시 사전에 받아야 하며, 동의서는 수집 목적, 항목, 보유 기간 등을 명시해야 한다. 동의는 자발적이고 명확하게 이루어져야 하며, 불이익이 발생할 경우 이에 대한 설명도 포함되어야 한다.
7. 개인정보 유출 사고 발생 시 개인정보보호법에 따른 대응 절차는 무엇인가?
• 질문 의도: 개인정보 유출 시 법적으로 요구되는 절차와 대응 방안을 이해하고 있는지 확인한다.
• 답변: 개인정보 유출이 발생하면, 즉시 개인정보 보호 책임자에게 보고하고, 관련 사실을 확인한 후 72시간 이내에 정보주체와 개인정보보호위원회에 유출 사실을 통지해야 한다. 이때, 유출된 개인정보의 종류와 규모, 피해를 방지하기 위한 조치를 설명해야 하며, 추가 피해를 막기 위한 긴급 조치를 취해야 한다.
8. 정보주체의 권리(열람, 정정, 삭제 등)에 대해 설명하고, 이를 실무에서 어떻게 지원할 수 있는가?
• 질문 의도: 정보주체의 권리 보장과 그에 따른 실무 절차를 얼마나 이해하고 있는지 평가한다.
• 답변: 개인정보보호법에 따르면 정보주체는 자신의 개인정보에 대한 열람, 정정, 삭제, 처리 정지를 요청할 권리가 있다. 실무적으로는 고객이 이러한 요청을 하면 이를 즉시 접수하고, 정해진 기한 내에 처리 절차를 안내하고 결과를 통지함으로써 신속히 대응한다.
9. 개인정보의 파기 절차와 방법은 무엇이 법적으로 요구되며, 실무에서 이를 어떻게 구현할 수 있는가?
• 질문 의도: 개인정보 파기와 관련된 법적 요구 사항과 이를 실무에서 준수하는 방법을 평가한다.
• 답변: 법적으로 개인정보는 목적이 달성되거나 보유 기간이 만료되면 지체 없이 파기해야 한다. 전자적 파일은 복구 불가능하게 삭제하고, 문서 형태는 파쇄하거나 소각해야 한다. 실무에서는 개인정보 처리 시스템 내에서 자동 파기 솔루션을 통해 이를 관리하는 것이 일반적이다.
10. ISMS-P 또는 ISO-27001 인증을 준비하거나 운영해본 경험이 있는가?
• 질문 의도: 개 정보보호 관리체계 인증 관련 지식을 확인하고, 구체적인 실무 경험을 확인한다.
• 답변: 직접 운영해본 경험은 없으나, 컨설팅을 통해 ISMS-P와 ISO 27701 인증을 준비해본 경험이 있다. 해당 사업에서 각 산출물 관리를 맡았으며, 어떤 산출물을 어떻게 만들어야 하는지 이해하고 있다.
'기타' 카테고리의 다른 글
| 물리적 취약점 분석·평가 가이드라인을 개선할 수 있을까 (0) | 2024.12.18 |
|---|---|
| 물리적 취약점 진단을 위한 현장실사를 진행하며 느낀점 (2) | 2024.11.27 |
| 자격 시험에 대한 생각 (2) | 2024.11.23 |
| 보안 컨설턴트는 보안담당자가 되기 위해 무엇을 갖춰야 할까 (0) | 2024.11.21 |
| CSAP 인증심사와 ISMS 인증심사의 차이 소고 (1) | 2024.11.19 |