ISMS-P, 중복 심사 부담 줄고 사후관리 강화된다

개인정보위, 고시 개정안 공포

컴퓨팅입력 :2020/12/28 12:00

정보보호 및 개인정보보호 관리체계(ISMS-P) 인증에 대한 기업의 중복 심사 부담이 줄어들고, 인증 심사 후 현장실사 등 사후관리가 강화될 예정이다.

개인정보보호위원회는 이같은 내용을 담은 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 등에 관한 고시' 일부 개정안을 위원회 전체회의에서 의결, 공포했다고 28일 밝혔다.

ISMS-P 인증은 기업이 자체적으로 수립‧운영하는 정보보호 및 개인정보보호 관리체의 적합성 여부를 인증하는 국가인증 제도다. 정보보호 및 개인정보 보호에 관련한 총 102개 항목을 심사하며, 한국인터넷진흥원과 금융보안원이 인증기관으로 참여한다.

기업체가 ISMS-P 인증을 받으면 정보보호 및 개인정보보호 수준을 공식적으로 인정받았다는 의미가 있기 때문에, 인터넷 포털 기업이나 온라인 쇼핑몰 운영기업들이 주로 해당 인증을 받고 있다. 지난달 말 기준 830곳이 인증을 받았다.

정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 마크.

이번 고시 개정은 인증 대상 기업의 부담은 줄이면서, 개인정보 및 정보보안의 내실은 높이는 방향으로 제도를 개선했다. 현장에서 지속적으로 개선을 요구한 유사·중복점검 해소, 심사기관 지정공고 절차 개선, 인증‧심사기관에 대한 사후관리 강화, 신기술 변화에 대응하기 위한 분야별 세부점검 항목 마련 등이 반영됐다.

이번 고시 개정으로 앞으로 ISMS-P 인증을 획득한 수탁회사는 위탁회사들이 ISMS-P 인증심사를 받을 때마다 반복되던 현장점검을 면제받을 수 있게 됐다.

현행 인증을 받은 기업은 인증의 사후관리를 위해 유효기간 3년 중 연 1회 이상 인증심사를 받아야 한다. 이 때문에 위탁회사들이 ISMS-P 인증 심사를 받을 때마다 콜센터, 택배회사 등 여러 회사를 위탁회사로 둔 수탁회사들도 반복적으로 현장점검을 받아야 했다.

심사기관 지정 절차 상 편의도 개선했다. 별도의 공고를 통한 기간에만 실시하던 것을 언제든지 신청할 수 있도록 했다. 이를 통해 정부는 전문성, 역량을 갖춘 심사기관을 확대하면서 증가하는 인증 수요에도 적극 대응할 수 있을 것으로 기대했다.

심사기관 지정 이후 사후관리 미흡으로 심사기관마다 제각각이던 심사품질 문제 등을 개선하기 위해, 인증‧심사기관이 지정기준에 적합한 지에 대한 현장실사를 하고, 미흡 사항에 대해 시정조치 명령을 내릴 수 있게 된다.

관련기사

인증‧심사기관이 지정 취소 또는 업무 정지 명령을 받은 경우, 이 사실을 관보 또는 홈페이지에 공고하도록 하는 근거도 신설된다. 

신종철 개인정보위 자율보호정책과장은 “ISMS-P 인증제도 개선으로 기업 부담은 줄이면서, 인증제도의 내실을 다질 수 있게 됐다”며 “많은 기업들이 개인정보 보호에 관심을 갖고 자율적으로 ISMS-P 인증을 획득해 기업 활동에 도움이 되고, 국민 체감도 높일 수 있도록 해당 제도를 과학기술정보통신부와 함께 지속적으로 개선 발전시킬 것”이라고 말했다.