정보보호·개인정보보호 관리체계 통합인증, ‘ISMS-P’ 시행 속도낸다

개별 운영돼온 정보보호관리체계(ISMS) 인증과 개인정보보호관리체계(PIMS) 인증 통합 작업에 속도가 붙었다.

방송통신위원회(이하 방통위)는 4일 전체회의를 열고 ‘개인정보보호 관리체계 인증 등에 관한 고시’ 전부개정안을 확정했다.

정보통신망의 안정성과 신뢰성 확보를 위한 ISMS은 과학기술정보통신부가 관리, 운영해왔다. 개인정보보호 활동에 대한 인증인 PIMS는 방송통신위원회와 행정안전부 소관이다.

ISMS(인증항목 104개)와 PIMS(인증항목 86개) 가운데 두 인증 가운데 동일·유사한 인증항목이 58개로 분석된 바 있다.

앞으로 두 인증제도가 통합된 이후 제도명칭은 ‘정보보호 및 개인정보보호 관리체계 인증제도(ISMS-P)’로 변경된다.

기존의 ISMS 인증기준 104개, PIMS 인증기준 86개를 통합, ISMS-P 인증기준은 102개로 일원화된다. 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리단계별 요구사항 3개 영역으로 구분된다.

인증체계는 기본 80개 보안항목으로 ISMS 인증을 실시하되, 추가로 22개 개인정보 항목까지 인증 받으면 ISMS-P 인증을 부여키로 했다.

방통위와 행안부, 과기정통부가 참여하는 협의회를 구성해 인증·심사기관 지정 등 제도 전반에 관한 정책사항 등을 결정하며 부처 공동의 지정서를 발급해 운영·관리를 일원화한다.

기존에 인증을 취득한 기업·기관은 기존 유효기간까지 사후심사를 받을 수 있고, 신규인증제도 선택 때 그로부터 3년 유효기간이 부여된다.

제도 통합 이후 심사원은 자격전환 절차를 통과해야 한다. 기존 인증 심사기관인 한국인터넷진흥원(KISA, PIMS/ISMS 인증기관), 금융보안원(ISMS 인증기관), 한국정보통신진흥협회(KAIT)·한국정보통신기술협회(TTA)(ISMS 심사기관)도 새롭게 지정받아야 한다.

신규제도는 고시발령일로부터 즉시 시행될 예정이다. 고시 시행 후 6개월까지는 기존의 인증제도(ISMS, PIMS)로 신규·갱신 인증신청이 가능하다.

향후 개정안은 방통위·과기부·행안부 공동으로 행정예고 및 규개위 심의 후 위원회 의결을 거쳐 시행한다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network