정보보호관리체계 인증 콜센터·택배사, '고객사 현장점검' 부담 덜어

2020-12-28 14:03
개인정보위·과기정통부 고시 개정

정보보호·개인정보보호 관리체계(ISMS-P) 인증을 취득한 콜센터 서비스 기업이나 택배회사 등 개인정보 수탁회사는 업무를 위탁한 기업의 인증심사때마다 중복됐던 현장점검 부담을 덜 수 있게 됐다.

개인정보보호위원회는 지난 23일 제9회 위원회 전체회의에서 의결한 '정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시' 일부개정안을 28일 공포했다.

ISMS-P 인증은 기업이 자체적으로 수립‧운영하는 정보보호 및 개인정보보호 관리체계가 적합한 지 여부를 인증하는 국가인증 제도다. 한국인터넷진흥원과 금융보안원이 인증기관이다. 지난달 기준 830곳이 인증을 받았다.

위탁회사가 이 인증심사를 받을 때 그 범위에 콜센터나 택배사 등 수탁회사의 현장점검도 포함되는데, 기존 고시는 여러 위탁 고객사를 둔 수탁회사는 각각의 고객사 심사 때마다 현장점검을 중복으로 받아야 했다. 고시 개정으로 ISMS-P 인증을 받은 개인정보업무 수탁회사는 위탁회사 인증심사시 매번 추가현장점검을 받지 않아도 된다.

고시 개정으로 ISMS-P 인증심사를 수행할 수 있는 심사기관을 지정하는 절차도 바뀌었다. 이제까지 심사기관 지정공고 절차로 지정된 공고기간에만 심사기관 지정이 이뤄졌는데 앞으로 지정받으려는 기관은 언제든 신청할 수 있다. 개인정보위는 이를 통해 인증수요 증가에 대처할 수 있을 것으로 기대하고 있다.
 

ISMS-P 인증 체계도. [사진=개인정보보호위원회 제공]


ISMS-P 심사기관으로 지정되려면 1명 이상의 선임심사원을 포함한 5명 이상의 인증심사원을 고용하고 심사업무의 독립성, 객관성, 공정성, 신뢰성을 확보하며 해당 인증관련 컨설팅업무를 수행하지 않아야 한다. 현재 한국정보통신기술협회, 한국정보통신진흥협회, 개인정보보호협회가 심사기관으로 지정돼 있다.

앞으로 지정된 인증·심사기관이 지정기준에 적합한지 현장실사 후 미흡사항에 시정조치 명령을 내릴 수 있게 된다. 인증·심사기관이 지정 취소 또는 업무정지 명령을 받으면 이를 관보나 개인정보위·과기정통부 홈페이지에 공고하게 된다.

신종철 개인정보위 자율보호정책과장은 "ISMS-P 인증제도 개선으로 기업 부담은 줄이면서, 인증제도의 내실을 다질 수 있게 됐다"며 "많은 기업들이 개인정보보호에 관심을 갖고 자율적으로 ISMS-P 인증을 획득해 기업 활동에 도움이 되고, 국민 체감도 높일 수 있도록 해당 제도를 과학기술정보통신부와 함께 지속적으로 개선 발전시킬 것"이라고 말했다.
 

윤종인 개인정보보호위원회 위원장 [사진=개인정보보호위원회]