ISMS-P 인증제도 개선, “기업부담 줄이고 심사 품질 향상”

[아이티데일리] 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 제도가 개선된다. 실제 인증제도를 운영하고 있는 개인정보보호위원회가 현장에서 요구하던 유사·중복점검 해소, 인증·심사기관에 대한 관리 강화 등을 포함한 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’ 개정안을 지난해 말 공포한 것이다.

ISMS-P 개선 사항은 K-사이버방역 정책에도 포함됐다. 클라우드, 교육, 의료 등 분야별 맞춤형 점검항목을 개발해 정보보호 사각지대를 해소하고, 표준화된 증빙 서류 양식과 가이드라인을 마련해 기업 스스로 인증을 준비할 수 있는 환경을 마련한다는 방침이다. 업계에서는 ISMS 인증 부담이 완화된다는 점에서 제도 개선을 환영하고 있다.

① ISMS 인증, 기업 부담 완화 위해 개선 추진 
② K-사이버 방역 정책 통해 인증 부담 완화

ISMS-P 인증 로고


정보보호 체계 인증 통해 안전한 환경 구현

‘정보보호 관리체계 인증(ISMS) 제도’는 주요 정보자산 유출을 사전에 예방하기 위해 조직이 스스로 운영 중인 정보보호 및 개인정보보호 시스템이 적합한지 인증하는 제도다. 정보보호 관리체계 수립 및 운영, 정보보호대책 요구사항, 개인정보 처리단계별 요구사항 등 3개 분야 102개 항목을 심사해 인증을 발급한다. 일반 기업 및 기관을 대상으로는 325개의 점검항목, 금융기업을 대상으로는 385개의 점검항목을 통해 인증 심사를 진행하게 된다. 인증은 서비스 운영을 위한 조직 및 인력, 장소, 인프라는 물론, 개인정보 처리를 위한 조직 및 인력, 인프라를 대상으로 심사한다.

ISMS-P 인증 항목 102개(출처: KISA)

지난해 말 기준 ISMS-P 인증서는 총 466건 발급됐으며, 464건이 유지되고 있다. ISMS 인증은 349건이 유지되고 있다. ISMS 인증의 유효기간은 3년이며, 인증 발급 이후 매년 사후심사, 3년 주기로 갱신 심사를 진행해야 한다.

ISMS 인증의 특징은 의무 인증 대상자가 있다는 것이다. ‘전기통신사업법 제2조 8호’에 따르면, 전기통신사업자와 전기통신사업자의 전기통신역무를 이용해 정보를 제공하거나 정보를 매개하는 자로서 의무대상자 기준에 하나라도 해당되면 인증을 받아야 한다.

의무대상자는 ▲정보통신망서비스사업자(ISP) ▲집적정보통신시설 사업자(IDC) ▲연간매출액 또는 세입이 1,500억 원 이상인 상급종합병원 및 재학생 수 1만 명 이상인 학교 ▲정보통신서비스 부문 매출액 100억 원 이상인 자 ▲정보통신서비스 일일평균 이용자 수가 100만 명 이상인 자 등이다. 최근 가상화폐가 이슈가 됨에 따라 가상화폐 거래소 또한 ISMS 인증 의무대상자로 지정됐다. 의무대상자가 인증을 받지 않을 때에는 3천만 원 이하의 과태료가 부과된다.

또한 의무대상자 기준에 해당되지 않으나 자발적으로 정보보호 및 개인정보보호 관리 시스템을 구축·운영하고 있는 기업 및 기관은 자율적으로 신청해 인증심사를 받을 수 있다.

ISMS-P 인증 대상(출처: KISA)

인증절차는 준비부터 신청, 심사, 인증까지 4단계로 구성된다. 인증 신청 기관 및 기업은 인증 신청을 준비하면서 관리 시스템을 구축해 2개월 간 운영해야 한다. 이후 신청 단계에서 공문을 접수하고 예비 점검을 받게 된다. 인증 수수료를 납부하면 본격적인 심사 단계에 접어들며, 서면 및 현장 심사가 진행된다. 심사 기관은 심사 결과로 결함 사항을 보완하도록 요청하며, 신청 기관 및 기업은 보완조치 결과를 제출해 보완조치를 이행했는지 점검 받아야 한다. 심사기관은 이를 토대로 심사결과보고서를 작성하고 인증위원회를 통해 인증서를 발급하게 된다.

ISMS-P 인증 심사 절차(출처: KISA)
ISMS-P 인증 심사 절차(출처: KISA)

인증 심사에 소요되는 시간은 약 4개월이며, 비용은 약 1,500만 원이다. 중소기업은 약 30%의 수수료 할인이 적용되며, 정보보호를 공시해도 30% 할인을 받을 수 있다.

ISMS 인증을 획득하면 정보보호 전문서비스 기업 지정 시 ‘업무 수행력 심사 평가표’의 정보보호 인증 기업 항목에서 만점을 받을 수 있다. 또한 보안 관제 전문 기업 지정 시에도 인증 기업 항목에서 만점을 받을 수 있다. 한국인터넷진흥원은 물품 구매·제조, 용역 및 공사, 위탁연구 등에 있어 계약자 선정 평가시 가산점을 부여한다. 국토교통부는 스마트시티 기반 시설 보호에 대해 인증 취득을 권고하고 있으며, 교육부 또한 사이버 대학 원격교육설비에 대해 인증을 취득해야 한다고 권고한다.

ISMS-P 인증제도의 법적 근거는 ▲정보통신망 이용촉진 및 정보보호에 관한 법률 제47조 ▲정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제47조~제54조 ▲정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제3조 ▲개인정보보호법 제32조의2 ▲개인정보보호법 시행령 제34조의2~제34조의8 등이다.

정책기관인 과학기술정보통신부와 개인정보보호위원회는 이러한 법적 근거를 바탕으로 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’를 마련했으며, 인증기관과 심사기관을 지정해 제도를 운영하고 있다.

인증기관은 한국인터넷진흥원과 금융보안원이다. 한국인터넷진흥원은 ▲제도 운영 및 인증품질 관리 ▲신규·특수 분야 인증심사 ▲인증서 발급 ▲인증심사원 양성 및 자격관리 등의 업무를 전담하고 있다. 금융보안원은 금융분야 인증심사 및 금융분야 인증서 발급을 담당한다. 심사기관으로는 정보통신진흥협회(KAIT), 정보통신기술협회(TTA), 개인정보보호협회(OPA)가 지정돼 있다.

ISMS-P 인증 수수료 산정 기준(출처: KISA)
ISMS-P 인증 수수료 산정 기준(출처: KISA)


2018년 ISMS-P로 통합…기업 부담 완화

ISMS 인증은 지난 2002년부터 시행되고 있으며, 정보보호의 중요성이 강조되면서 인증 대상과 범위에 따라 ▲민간기업을 대상으로 하는 정보보호관리체계(ISMS) ▲공공기관 대상의 정부 정보보호관리체계(G-ISMS) ▲금융기관에 적용되는 금융 정보보호관리체계(F-ISMS) ▲개인정보보호 관리체계(PIMS) ▲개인정보보호인증제(PIPL) 등 다양한 인증제도가 마련됐었다.

하지만 유사 항목이 많은 다양한 인증제도가 동시다발적으로 운영됨에 따라 일원화된 관리의 필요성이 대두됐다. 2014년에는 G-ISMS가 ISMS 인증으로 통합돼 민간 및 공공기관이 동일한 인증제도를 따르게 됐다. 2016년에는 개인정보보호 관련 유사한 인증제도의 별도 운영에 따른 기업의 혼란을 없애기 위해 PIMS 인증과 PIPL 인증을 PIMS 인증으로 통합하고 인증심사기관을 한국인터넷진흥원으로 일원화했다.

2018년에는 ISMS와 PIMS 인증 간의 중복 문제가 제기됐다. 과학기술정보통신부에 따르면 ISMS 인증항목 104개, PIMS 인증항목 86개에 대한 비교 검토 결과, ISMS 인증항목 82개(78.8%)가 PIMS 인증과 동일하거나 유사했으며 PIMS 인증항목 86개를 기준으로 볼 때 58개 항목이 동일, 유사한 것으로 분석됐다.

ISMS 인증 제도 추진 경과(출처: KISA)
ISMS 인증 제도 추진 경과(출처: KISA)

ISMS 인증의 경우 의무대상자가 있으며, PIMS 인증은 의무 규정은 아니지만 개인정보보호 관련 법령 위반으로 인한 과징금 부과 시 경감 혜택을 받을 수 있기 때문에 대부분이 발급받고 있는 상황이었다. 시장에서는 ISMS와 PIMS 인증을 이중으로 받아야 해 물리적·경제적 부담이 과중되고 있다는 지적이 잇따랐다.

이에 정부는 정보와 개인정보를 단일제도에서 체계적으로 보호하기 위해 개별 운영되던 ISMS와 PIMS의 행정 및 인증심사 절차의 통합을 추진했고, 2019년 5월부터 ‘ISMS-P’가 본격적으로 시행됐다. 통합된 이후 기관 및 기업은 업무 성격에 따라 ISMS 또는 ISMS-P 인증을 선택해 심사를 진행할 수 있게 됐다는 점과 비용과 시간을 절약할 수 있다는 점에서 긍정적으로 평가하고 있다. 특히 인증 통합 이후 별도인증 대비 약 40%(기업당 약 1천만 원)의 비용을 절감할 수 있어 긍정적인 반응을 보이고 있다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지