실시간
뉴스

법제도/정책

내년 2월부터 정보보호관리체계(ISMS) 인증 의무화

- 인증 의무 위반시 1000만원 이하의 과태료 부과 등 강력 제재

[디지털데일리 이민형기자] 지난해 2월 17일 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 개정에 따라 기존 ‘정보보호 안전진단제도’가 폐지되고, 대신 더 높은 수준의 정보보호관리체계(ISMS) 인증제도로 일원화 된다. 8월 중 시행령 개정이 이뤄지면, 10월 경 방송통신위원회의 고시 개정, 공포가 진행된다.

방통위와 한국인터넷진흥원(KISA)은 13일 서울 역삼동 GS타워에서 ‘기업 정보보안 강화를 위한 정보보호 제도 설명회’를 개최했다. 이번 설명회에서는 ▲기업 정보보호 수준 강화전략 ▲정보보호관리체계 인증 제도 개선 관련법, 시행령, 고시개정(안) ▲정보보호 사전점검에 관한 고시(안) ▲정보보호 지침 전부개정(안)에 대한 발표가 진행됐다.

장상수 한국인터넷진흥원 보안관리팀장<사진>은 “조직의 보안은 각 분야의 유기적인 협조와 노력에 의해 지켜질 수 있으며, 한 분야의 취약점은 조직 전체의 보안수준을 저해한다”며 “자산에 대한 위험을 분석하고 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련할 필요가 있다”고 강조했다.

ISMS 인증은 방통위가 내리고, 인증 업무 전반은 현행대로 한국인터넷진흥원이나 방통위가 지정하는 인증기관에서 수행한다. 인증서 발급은 한국인터넷진흥원에서 이뤄진다.

ISMS 인증 의무 대상자는 ‘전기통신사업법’ 제6조 제1항에 따른 허가를 받은자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 사업자와 집적정보통신시설 사업자, 연간매출액, 또는 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 자 등이다.

이동통신사, 인터넷서비스사업자 등 대부분의 정보통신서비스 사업자들이 의무적으로 인증을 받아야한다. 특히, 전년도 매출액 100억원 이상의 방통위가 고시하는 기준에 해당하는 경우와 전년도말 기준 3개월간의 일일평균 이용자수가 100만명 이상으로서 방통위가 고시하는 기준에 해당되는 경우도 포함된다.

ISMS 인증을 받게되면 3년간 유효하며, 매년 1회 이상의 사후관리 심사를 통해 인증기준 이행 여부를 지속적으로 확인해야한다. 정보보호 관리등급을 받은 경우, 그 유효기간(1년) 동안 ISMS 인증을 받은 것으로 간주하는 조항도 신설됐다.

인증심사 기준은 최근 침해사고 이슈와 IT환경을 고려해 신설, 폐지해 현행 137개에서 104개로 축소됐다.

신설된 기준으로는 ▲경영진 책임 강화 ▲최고정보보호책임자(CISO) 지정 ▲모바일 기기 통제 등으로 임원들의 책임 강화와 모바일기기, 스마트워크 보안과 관련된 이슈를 보완하기 위한 항목이 추가됐다.

문서화 통제 영역 항목, 전자거래 보안 항목, 검토•모니터링 및 감사 항목 등은 개정과 함께 모두 삭제됐다.

ISMS 인증 의무제도는 내년 2월 18일부터 본격 시행되며, 인증 의무사업자들은 2013년 12월 31일까지 반드시 인증을 취득해야한다.

과태료 항목도 신설됐다. ISMS 인증 의무 사업자가 인증 의무를 미이행시 1000만원 이하의 과태료를 부과하고, 인증을 취득하고 유지해야 하는 연도마다 1000만원을 부과하게 된다. 장 팀장은 “인증을 강제화해 정보보호를 신경쓰도록 하는 환경을 만들어나갈 것”이라고 설명했다.

장 팀장은 “ISMS 인증 심사를 할 심사원 양성을 위해 오는 10월까지 10회에 걸쳐 교육을 실시할 계획이며 500명의 심사원을 선발 할 것”이라며 “인증 방법과 절차, 인증심사 기준 해설, 인증 수수료 산정 등을 위한 안내서를 개발해 12월 경 배포할 것”이라고 말했다.

이어 “ISMS 인증 취득 효과와 혜택으로는 ▲종합적인 정보보 대책 수립 가능 ▲위험관리를 기반으로 비용효과적인 정보보호 대책 구현 ▲입찰 참여시 가산점 혜택 ▲침해사고 피해 최소화 등을 얻게된다. 기업들의 적극적인 동참을 기대한다”고 덧붙였다.

<이민형 기자>kiku@ddaily.co.kr

디지털데일리 네이버 메인추가
x