ISO/IEC 27701:2019: 개인 정보 관리

ISO/IEC 27701:2019 개요

ISO/IEC 27701:2019 는 정보 보안 관리를 위해 널리 사용되는 ISO/IEC 27001 및 ISO/IEC 27002 표준을 보완하기 위해 빌드되었습니다. 요구 사항을 지정하고 PIMS(개인 정보 관리 시스템)에 대한 지침을 제공하여 PIMS 구현을 ISO/IEC 27001을 사용하는 많은 조직에 유용한 규정 준수 추가를 제공하고 보안 및 개인 정보 보호 제어를 조정하기 위한 강력한 통합 지점을 만듭니다. ISO/IEC 27701은 GDPR(일반 데이터 보호 규정) 규정 준수의 주요 차이점인 데이터 컨트롤러와 데이터 프로세서 모두에서 사용할 수 있는 개인 데이터를 관리하기 위한 프레임워크를 통해 이러한 통합을 수행합니다.

또한 ISO/IEC 27701 감사는 organization 감사 기준에 해당하는 법률/규정을 선언해야 하며, 이는 표준이 GDPR, 캘리포니아 소비자 개인 정보 보호법(CCPA) 또는 기타 법률에 따른 많은 요구 사항에 매핑될 수 있음을 의미합니다. 매핑되면 개인 정보 전문가가 ISO/IEC 27701 운영 제어를 구현합니다. 평가 인증을 받은 내부 또는 외부 타사인은 organization 표준 요구 사항을 준수하는지 평가하고 해당 효과에 대한 인증서를 발급합니다. 이 유니버설 프레임워크를 통해 조직은 새로운 규정 요구 사항을 효율적으로 준수할 수 있습니다. Microsoft는 오픈 소스 데이터 보호 매핑 프로젝트를 후원하여 ISO/IEC 27701과 다양한 데이터 보호 규정 간의 관계를 공통적으로 이해합니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

scope Microsoft 온라인 서비스 Azure ISO/IEC 27701 인증서에 표시됩니다.

• Azure(자세한 인사이트는 Azure ISO/IEC 27701 제품 참조)
• Dynamics 365(자세한 인사이트는 Azure ISO/IEC 27701 제품 참조)
• Microsoft Defender XDR(Azure Government scope 없음)
• 상거래용 Microsoft Bing(Azure Government scope 없음)
• Microsoft Defender for Cloud Apps
• 엔드포인트용 Microsoft Defender
• Microsoft Graph
• Microsoft Intune
• Microsoft Managed Desktop(Azure Government의 경우 범위에 포함되지 않음)
• Microsoft Stream
• Microsoft 위협 전문가(Azure Government의 경우 범위에 포함되지 않음)
• Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense
• Power Apps
• Power Automate
• Power BI
• Power BI Embedded
• Power Virtual Agents(Azure Government의 경우 범위에 포함되지 않음)
• 유니버설 인쇄(Azure Government scope 없음)
• Windows 365

Azure, Dynamics 365 및 ISO 27701

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure ISO 27701:2019 제품을 참조하세요.

Office 365 및 ISO 27001

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

• 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
• Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
• Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
• Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
• Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성	범위 내 서비스
상업용	Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox(Torus) Office 365용 Microsoft Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 고객 포털, Office 365 마이크로 서비스(Kaizala, ObjectStore, Sway, PowerPoint Online 문서 서비스, 쿼리 주석 서비스, 학교 데이터 동기화, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, Project Online, Microsoft Purview 고객 키를 사용한 서비스 암호화, SharePoint Online, 비즈니스용 Skype, Stream
GCC	Microsoft Entra ID, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, Stream
GCC High	Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype
DoD	Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Office 365용 Microsoft Defender, Microsoft Teams, Office 365 Advanced Compliance 추가 기능, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, Power BI, SharePoint Online, 비즈니스용 Skype

Office 365 감사, 보고서 및 인증서

Microsoft 클라우드 및 상업용 기술 지원 서비스는 ISO/IEC 27701에 대한 인증 프로세스에 대해 일년에 한 번 감사됩니다.

• MICROSOFT OFFICE 365 ISO 전체 평가 보고서

질문과 대답

ISO/IEC 27701은 진화하는 규제 요구 사항에 어떻게 도움이 됩니까?

ISO/IEC 27701에는 컨트롤러 및 프로세서에 대한 GDPR의 관련 요구 사항에 대해 매핑된 표준의 운영 제어가 포함된 부록이 포함되어 있습니다. 이 매핑은 ISO 프레임워크를 기준으로 개인 정보 보호 규정을 구현하는 방법의 예일 뿐입니다. 다른 규정을 사용하여 추가 매핑도 사용 가능하게 되고 검증되면 표준의 운영 제어를 규제 검토에서 구현으로 직접 이전할 수 있습니다. 이 범용 프레임워크를 통해 조직은 관련 규정 요구 사항을 안정적으로 구현할 수 있습니다.

ISO/IEC 27701은 감사 비용에 어떤 도움이 됩니까?

더 많은 개인 정보 규정이 다양한 관할권에서 제정되면서 규정 준수에 대한 증거를 제공하라는 압박도 증가합니다. 모든 규정이 자체 고유의 감사를 요구할 경우에는 별도의 규정 인증 비용이 지나치게 커질 수 있습니다. 또한 ISO/IEC 27701은 범용 운영 제어 집합을 간략하게 설명하여 여러 규정 요구 사항에 대해 감사하고 잠재적으로 인증할 수 있는 범용 규정 준수 프레임워크를 간략하게 설명합니다.

공식 GDPR 인증을 수립하려면 유럽 규제 당국의 승인이 필요하다는 것을 인식하는 것이 중요합니다. ISO/IEC 27701과 GDPR 간의 맞춤은 분명하지만, 규제 결정이 완료될 때까지 ISO/IEC 27701 인증은 GDPR 규정 준수 또는 공식 GDPR 인증의 증거로 간주해서는 안 됩니다.

ISO/IEC 27701은 PII와 관련된 상용 계약에 어떤 도움이 됩니까?

개인 정보 이동과 관련된 상업적 계약은 규정 준수 인증을 보증할 수 있습니다. 최신 조직은 파트너 조직이나 공동 컨트롤러, 프로세서(예: 클라우드 공급자) 및 하위 프로세서(예: 그와 동일한 프로세서를 지원하는 공급업체)를 비롯한 비즈니스 파트너의 심도 있는 네트워크를 통한 복잡한 데이터 전송에 참여합니다. 이 네트워크에서 규정을 준수하지 않으면 공급 체인에서 연속적인 규정 준수 문제가 발생할 수 있습니다. 이는 이러한 조직 사이의 계약 약관이 제공하는 보장을 넘어 규정 준수 확인이 가치가 있는 위치입니다. 세계 경제는 이러한 조직의 대부분이 전 세계에 분산되어 있다고 규정하기 때문에 ISO의 국제 표준을 사용하여 네트워크를 통해 규정 준수를 관리하는 것이 실용적입니다.

규정 준수에 대한 이러한 의존도 때문에 표준에 대한 인증의 중요성이 높아집니다. 모든 회사와 조직에서 그러한 인증을 받아야 하는 것은 아니며, 특히 중요한 볼륨 또는 많은 볼륨의 데이터 처리가 관련된 경우에는 수행 파트너 및 공급업체로부터 대부분 이익을 얻게 됩니다.

ISO/IEC 27701은 ISO/IEC 27001과 어떤 관련이 있나요?

ISO/IEC 27701은 정보 보안 관리를 위해 가장 널리 채택된 국제 표준 중 하나인 ISO/IEC 27001을 기반으로 합니다. organization ISO/IEC 27001에 이미 익숙한 경우 ISO/IEC 27701에서 제공하는 새 개인 정보 제어를 통합하는 것이 논리적이고 효율적입니다. 이 방법은 둘 다의 구현 및 감사가 더 저렴하고 달성하기 쉽다는 것을 의미합니다. ISO/IEC 27701 및 ISO/IEC 27001의 핵심 사항:

• ISO/IEC 27001는 세계에서 가장 많이 사용되는 ISO 표준 중 하나로, 많은 회사가 이미 그에 대한 인증을 획득했습니다.
• ISO/IEC 27701에는 개인 정보 보호와 보안 간의 격차를 해소하는 데 도움이 되는 새로운 컨트롤러 및 프로세서별 컨트롤이 포함되어 있습니다. 조직에서 두 개의 별도 함수가 될 수 있는 기능 간의 통합 지점을 제공합니다.
• 개인 정보는 보안에 따라 다릅니다. 마찬가지로 ISO/IEC 27701은 보안 관리를 위해 ISO/IEC 27001에 따라 달라집니다. ISO/IEC 27701 인증은 ISO/IEC 27001 인증의 확장으로 획득해야 하며 독립적으로 얻을 수 없습니다.

ORGANIZATION ISO/IEC 27701로 무엇을 해야 하나요?

organization 크기와 컨트롤러 또는 프로세서에 관계없이 organization 자체 organization 인증을 추구하거나 비즈니스 요구 사항에 따라 공급업체 또는 공급업체로부터 인증을 요청하는 것을 고려해야 합니다. 이러한 상황은 특히 중요하거나 많은 양의 개인 데이터를 처리하는 프로세서, 하위 프로세서 및 공동 컨트롤러에 적용됩니다. organization 비즈니스 요구 사항을 평가하여 자체 제품 및 서비스에 대한 인증이 적합한지 확인해야 합니다.

Microsoft Purview 준수 관리자를 사용하여 위험 평가

Microsoft Purview 준수 관리자는 organization 규정 준수 상태를 이해하고 위험을 줄이는 데 도움이 되는 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.

리소스

• ISO/IEC 27701:2019 (구매 가능)
• ISO/IEC 27701 소개 비디오
• Microsoft 공통 컨트롤 허브 규정 준수 프레임 워크
• Microsoft 엔터프라이즈 클라우드 및 기술 서비스용 데이터 액세스 정책
• Microsoft 온라인 서비스 사용 약관
• Microsoft Government 클라우드
• Microsoft 보안 센터에 대한 규정 준수