2022-06-26 14:30 (일)
ISMS-P 인증시 중복점검 해소 등…기업부담↓ 내실은↑
상태바
ISMS-P 인증시 중복점검 해소 등…기업부담↓ 내실은↑
  • 길민권 기자
  • 승인 2020.12.28 21:52
이 기사를 공유합니다

개인정보위·과기정통부, ISMS-P 인증제도 고시 개정
ISMS-P 정책기관(과기정통부‧개인정보위), 인증기관, 심사기관 구성
ISMS-P 정책기관(과기정통부‧개인정보위), 인증기관, 심사기관 구성

개인정보보호위원회(위원장 윤종인, 이하 ‘개인정보위’)는 12월 23일 제9회 위원회 전체회의에서 의결한 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’(이하 ‘ISMS-P 인증 고시’) 일부개정안을 공포했다.

현장에서 지속적으로 개선을 요구한 유사・중복점검 해소, 심사기관 지정공고 절차 개선, 인증‧심사기관에 대한 사후관리 강화, 신기술변화에 대응하기 위한 분야별 세부점검 항목 마련을 위해 개정하였으며, 이번 고시 개정으로 앞으로 ISMS-P 인증을 획득한 수탁회사는 위탁회사들이 ISMS-P 인증심사를 받을 때마다 반복되던 현장점검을 면제받을 수 있게 되었다.

‘ISMS-P 인증’이란 기업이 자체적으로 수립‧운영하는 정보보호 및 개인정보보호 관리체계가 적합한 지 여부를 인증하는 국가인증 제도다.

정보보호 및 개인정보보호에 관련한 총 102개 항목을 심사하며, 한국인터넷진흥원과 금융보안원이 인증기관으로 참여한다.

기업체가 ‘ISMS-P’ 인증을 받으면 정보보호 및 개인정보보호 수준을 공식적으로 인정받았다는 의미가 있기 때문에, 인터넷 포털기업이나 온라인 쇼핑몰 운영기업들이 주로 해당 인증을 받고 있다.

현재 830개(2020년 11월말 기준)이 인증을 받았으며, 인증을 받고 있는 기업 및 기관은 ISMS-P 누리집에서 확인할 수 있다.

이번 고시 개정은 인증 대상기업의 부담은 줄이면서, 개인정보 및 정보보안의 내실은 높이는 방향으로 ‘ISMS-P 인증 제도’를 개선한다.

■인증 대상기업 부담 줄이고

우선 ‘ISMS-P’ 인증을 취득한 수탁회사는 위탁회사가 인증심사를 받더라도 추가적인 현장점검을 받지 않아도 된다.

현행 인증을 받은 기업은 인증의 사후관리를 위하여 유효기간 3년 중 연 1회 이상 인증심사를 받아야 한다.

이와 관련 위탁회사들이 ‘ISMS-P 인증’ 심사를 받을 때마다 인증심사 범위에 포함된 수탁회사(콜센터, 택배회사 등)들도 반복적으로 현장점검을 받는 등 부담이 큰 실정이었다.

앞으로는 3개의 위탁 고객사를 둔 택배업체의 경우 1번의 인증심사를 받으면 각각의 고객사들이 인증심사를 받을 때마다 추가적인 현장 심사를 받지 않아도 된다.

■인증제도 내실은 다지고

먼저 별도의 공고를 통한 기간에만 실시하던 심사기관 지정 공고 절차를 개선해, 심사기관으로 지정받고자 하는 기관은 언제든지 신청할 수 있도록 해 심사기관 준비에 대한 부담을 낮춘다.

심사기관은 한국정보통신기술협회, 한국정보통신진흥협회, 개인정보보호협회 등이다. 지정기준은 인증심사원 고용(5명 이상, 선임심사원 1명 이상 확보), 심사업무의 독립성‧객관성‧공정성‧신뢰성을 확보하고, 해당 인증 관련 컨설팅 업무를 수행하지 않아야 한다.

이를 통해 전문성과 역량을 갖춘 심사기관 확대와 함께 인증수요 증가에 적극적으로 대처할 수 있을 것으로 기대된다.

또한 심사기관 지정 이후 사후관리 미흡으로 심사기관마다 제각각이던 심사품질 문제 등을 개선하기 위한 인증‧심사기관의 사후관리 강화 방안으로 인증‧심사기관이 지정기준에 적합한 지에 대한 현장실사를 하고, 미흡 사항에 대해 시정조치 명령을 내릴 수 있게 된다.

더불어, 인증‧심사기관이 지정 취소 또는 업무 정지 명령을 받은 경우, 이 사실을 관보 또는 홈페이지(개인정보위 또는 과기정통부)에 공고하도록 하는 근거를 신설한다.

심사기관에 대한 관리감독 체계를 강화함으로써, 심사기관별로 제각각인 심사품질을 상향 평준화할 수 있을 것으로 기대된다.

신종철 개인정보위 자율보호정책과장은 “ISMS-P 인증제도 개선으로 기업 부담은 줄이면서, 인증제도의 내실을 다질 수 있게 됐다”며 “많은 기업들이 개인정보보호에 관심을 갖고 자율적으로 ISMS-P 인증을 획득해 기업 활동에 도움이 되고, 국민 체감도 높일 수 있도록 해당 제도를 과학기술정보통신부와 함께 지속적으로 개선 발전시킬 것”이라고 말했다.

■정보보호 및 개인정보보호 관리체계 개정사항 정리

① 유사・중복 점검제도의 부담 해소(안 제20조)

(상호 인정) 교육부가 주관하는 정보보호 수준진단에서 ‘우수(80점 이상) 등급을 획득한 대학은 ISMS 인증의무를 이행한 것으로 인정

(심사 생략) 수탁회사가 ISMS-P 인증을 획득한 경우, 위탁사에서의 ISMS-P 인증심사에 부수되는 수탁사의 현장점검 면제

② 심사 품질 향상

(인증・심사기관 관리) 심사기관 상시 지정, 현장실사 등 사후관리 강화, 지정 취소・정지 사실 공고 기준 신설(안 제6조, 제8조, 제11조)

(분야별 세부점검항목) 가상자산, 의료, 공공 등 분야별 특성・신기술을 고려한 세부점검항목 마련(안 제23조)

③ 인증 인센티브 확대

「정보보호산업의 진흥에 관한 법률」제13조에 따른 정보보호공시기업의 ISMS-P 인증수수료 할인(30%) 적용(안 제21조)

④ 코로나19 등 재난・재해 상황 발생 시 예외 조항 신설

심사원 자격 유효기간 유예(안 제15조), 인증 의무대상자 이행 기한 연장(안 제19조), 유사 시 비대면 원격 심사 병행(안 제25조)

⑤ 기타 개정 사항

심사원이 인증위원회 소속된 경우 자격 유지 의무 유예(안 제15조)

심사원 지급수수료 기준 및 출장경비 지급 기준을 인터넷진흥원에서 정해 공고하도록 개정(안 별표 6)

관계법 개정 사항 반영(안 제21조)

문구 및 용어 수정(안 제2조, 제20조)

★정보보안 대표 미디어 데일리시큐!★