2019-11-20 00:48 (수)
[박나룡 칼럼] 국가‧공공기관에 대한 ISMS 인증 확대 시급하다
상태바
[박나룡 칼럼] 국가‧공공기관에 대한 ISMS 인증 확대 시급하다
  • 길민권 기자
  • 승인 2019.10.02 17:09
이 기사를 공유합니다

국가‧공공기관, ISMS 인증 의무 대상에 포함될 수 있도록 관련 법률 개정 시급

국가‧공공기관의 개인정보 관리실태가 생각보다 심각하다는 보도가 나왔다.

“공공기관(81.2%)이 민간기관(58.7%)보다 개인정보 관리 소홀”
“정부기관 및 지자체(97.5%), 병원 등 의료기관(82.5%), 호텔여행업(83.3%), 학원(85.75) 등 특히 심각” (관련 기사 클릭)

정부기관 및 지자체, 교육기관, 지방공기업 등 총 293개 공공기관의 81.2%인 238개 공공기관에서 개인정보보호법 위반행위 363건에 대해 처분을 받았고, 특히 정부기관 및 지자체에 해당하는 행정기관은 점검받은 80개 기관 중 2곳을 제외한 78개 기관(97.5%)이 처분대상이었다는 부분은 국가가 개인정보보호에 대한 적극적 보호 의지가 있는지에 대한 의심마저 드는 수치다.

현재, 민간기업에 대해서는 방송통신위원회, 행정안전부, 과학기술정보통신부, 금융감독원, 한국인터넷진흥원 등 다양한 정부 기관을 통해 정보보호에 대한 규제와 수준 강화를 요구받고 있는 상황이다.

또한, 일정 규모 이상의 정보통신서비스 제공자에 대해서는 2013년부터 ISMS인증을 의무화하여 관리하고 있다.

민간과 비교할 수 없을 정도로 보유 정보의 중요도가 높은 기관에서 체계적인 보호가 미흡할 경우, 그 피해는 민간에서의 사고보다 부정적 영향이 훨씬 클 수밖에 없다.

국가의 개인정보 보호활동은 민간보다 훨씬 안전하고 투명하게 관리해야 하고, 민간기업의 보호 기준 이상의 관리 수준을 마련하여 신뢰를 확보할 필요가 있다.

정보통신 강국은 정보통신의 속도로만 판단할 수 없고, 국민들이 안심하고 이용할 수 있다는 신뢰에 기반한다는 사실을 잊어서는 안 된다.

따라서, 현재 기술적 점검 위주의 국가·공공기관에 대한 일회성 점검이나 체크리스트 방식의 보호 대책들을 지양하고 정보보호 전 분야를 체계적으로 시스템화 할 수 있는 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)를 적극 활용할 필요가 있다.

이에 따라, 관리 소홀로 더 큰 사고가 발생하기 전에, 일정 규모 이상의 중요 개인정보를 보유한 국가‧공공기관에 대해 ISMS 인증 의무 대상에 포함될 수 있도록 관련 법률의 개정이 시급하다.

박나룡 보안전략연구소 소장
박나룡 보안전략연구소 소장

[글. 박나룡 보안전략연구소 소장 / 전략물자기술자문단 / 브로콜리 CISO/CPO / isssi@daum.net]

 

 

 

 

 

 

[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★