정보보호 준비도 평가제는 보안투자 비율과 인력·조직 확충, 개인정보보호, 법규 준수 등 기업의 보안역량 강화를 위해 정보보호 준비 수준(Readiness)을 평가하는 인증 제도다. 기업들은 평가를 통해 B에서부터 AAA까지 다섯 단계(B-BB-A-AA-AAA) 중 한 등급을 부여받게 된다.
정보보호 준비도 평가제는 '정보보호관리체계(ISMS)'를 받기 어려운 중소기업, 소규모 기업들을 대상으로 할 예정이다. 즉, 정보보호 준비도 평가제는 민간의 자발적 보안역량 강화를 위한 자율규제라는 점에서 법령에서 규정하는 인증제도와 차별화된다.
미래창조과학부와 한국인터넷진흥원(KISA)은 제도의 등급모델과 평가기준, 방법론 등 초기 제도 설계만 지원하고, 이후 민간에 기술을 이전해 자율적으로 도입·시행하도록 유도할 계획이다.
강성주 미래부 정보화전략국장은 “미래부는 민간이 스스로 자신들의 정보보호 수준에 대해 고민을 하고 투자하는 문화를 만들고자 한다"며 "이번 정보보호 준비도 평가제가 기업들의 정보보호 수준을 높이는 계기가 되길 바란다”고 밝혔다.
현재 국내에서는 ISMS 인증을 비롯해 개인정보보호관리체계(PIMS) 인증, 개인정보보호인증제(PIPL) 등이 시행되고 있다. 이들의 공통점은 모두 법령에서 규정하고 있는 인증 제도라는 점이다.
그러나 정보보호 준비도 평가제는 자율규제인 만큼 기존 제도와 차이점이 많다. 가장 큰 차이점은 평가 기준과 방법의 간소화다.
ISMS 인증의 경우, 기업의 정보보호 전반을 아우르는 104개의 기준을 모두 만족해야 하지만, 정보보호 준비도 평가제는 기업의 정보보호 준비 수준에 대한 30개의 기준을 만족하면 된다.
특히 항목별 점수가 별개로 매겨지기 때문에 기준에 전혀 부합되지 않는 경우(0점)를 제외하곤 최소 B등급을 받을 수 있다.
또 평가기간의 단축을 위해 현재 기업이 진행하고 있는 보안활동을 심사하게 된다. 정보보호최고책임자(CISO) 지정 여부, 정보보호 예산, 인력 등을 비롯해 관리적·물리적·기술적 보호활동을 얼마나 잘 준비하고 있는지가 평가 기준이 될 전망이다.
정보보호 준비도 평가제의 심사 비용은 기존 인증 제도의 3분의1 수준이 될 것으로 보인다. 간소화된 기준과 더불어 저렴한 비용 책정으로 보다 많은 기업들을 제도권 안으로 끌어들일 계획이다.
정보보호 준비도 평가제로 기업이 획득한 등급은 1년간 유효하다. 등급 획득 이후 1년이 경과하면 또다시 평가를 받아야 한다.
정보보호 준비도 평가제 심사원 풀은 KISA로부터 기술 이전을 받게 되는 기업에서 직접 운영하게 되며, KISA는 ISMS, PIMS 인증 심사원을 활용할 계획도 검토 중이다.
한편 KISA는 이날 ‘정보보호 준비도 평가 사업화 방안 연구’ 용역을 발주했으며, 이 사업이 종료(2014년 11월) 되는 대로 제도를 시행할 예정이다.