앞으로 기업이 정보보호관리체계(ISMS) 인증과 클라우드보안인증(CSAP)을 모두 취득할 때 두 인증에 중복된 일부 항목의 심사가 면제된다. 클라우드서비스 사업자가 ISMS 인증 후 CSAP 취득을 위한 부담을 줄일 수 있다는 얘기다.
또 법적으로 ISMS 인증 취득 의무가 있는 암호화폐거래소 사업자들은 앞으로 업종 특성에 맞춰 현행 대비 강화된 심사를 받는다.
반면 중소기업들은 일반 정보통신서비스 사업자보다 완화된 기준으로 ISMS 인증심사를 받을 수 있게 되고, 인증 의무가 있는 대학 중 교육부가 주관하는 '정보보호수준진단' 점검결과에서 고득점한 곳은 의무가 면제된다.
과학기술정보통신부와 개인정보보호위원회는 정보보호 유사·중복 부담을 완화하고 정보보호 사각지대를 해소하기 위해, 이같은 내용을 골자로 ISMS 인증과 정보보호 및 개인정보보호관리체계(ISMS-P) 인증 제도개선을 추진한다고 1일 밝혔다.
정부는 11월중 정보통신망법 개정안을 마련해 암호화폐거래소 사업자와 중소기업에 특화된 ISMS 인증 심사체계를 만든다.
암호화폐거래소 사업자들은 내년 3월 시행되는 '특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법)'에 따라 '가상자산사업자'라는 법적지위를 부여받게 된다. 가상자산사업자에게는 사업 운영을 위해 신고 의무가 부여되는데, 신고 수리요건 중 하나에 ISMS 인증이 포함돼 있다.
두나무, 빗썸코리아, 코빗, 코인원, 스트리미, 플루토스디에스, 뉴링크 등 암호화폐거래소 7개사는 일반 정보통신서비스 분야에 적용되는 심사체계로 ISMS 인증을 취득한 상태다. 이들을 비롯해 향후 신고 의무가 부여될 가상자산사업자들은 ISMS 인증을 새로 취득하거나 기존 인증을 갱신하기 위한 심사에 암호화폐거래소에 특화된 심사체계를 적용받게 된다.
암호화폐거래소에 특화된 심사체계는 기존 ISMS 심사항목 325개에 지갑·암호키, 전산원장 관리, 비인가자 이체탐지 등 추가 심사항목 56개, 총 381개 항목을 점검하도록 구성돼 있다. 이 추가 심사항목 56개는 과기정통부와 금융위원회(금융보안원)이 협업해 개발한 것으로, 이를 포함해 강화되는 심사체계는 이달부터 공지된 후 ISMS 인증 심사에 적용된다.
비용 부담으로 ISMS 인증을 꺼렸던 영세·중소기업을 위해 기준이 완화된 중소기업용 ISMS 인증체계도 마련된다. 과기정통부는 중소기업들이 불필요한 비용 소모 없이 스스로 ISMS 인증을 준비할 수 있도록 인증항목을 102개로 경량화해 인증비용과 소요기간을 단축할 수 있도록 지원할 계획이라고 밝혔다.
ISMS 인증을 취득한 클라우드서비스 사업자들은 CSAP 신청시 인증항목 중 54%를 생략하고 심사를 받을 수 있게 된다. 과기정통부는 이달중 CSAP 안내서를 개정해 다음달부터 이를 시행한다.
CSAP 인증항목 117개 가운데 ISMS 인증과 유사한 인증항목이 다수 존재하기 때문에, 이를 생략하고 54개 항목만 심사를 받을 수 있다는 게 과기정통부 측 설명이다.
다른 기업들이 위탁한 개인정보 관련업무를 처리하는 수탁회사(콜센터·택배회사)가 ISMS-P 인증심사 중복 현장점검 부담을 줄일 방안이 마련된다. 수탁회사 스스로 ISMS-P 인증을 취득하면, 고객사의 ISMS-P 인증심사에 딸린 현장점검을 받지 않아도 된다. 이를 위해 과기정통부는 '정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시' 제20조를 개정한다.
현행 ISMS-P 인증심사 범위에 기업의 개인정보 관련업무를 수탁처리하는 곳의 정보보호 관리체계도 포함돼 있다. 콜센터나 택배사가 그런 수탁회사다. 이들은 여러 고객사 기업의 개인정보 관련업무를 처리하고 있어서, 각 고객사가 ISMS-P 인증심사를 받을 때마다 매번 인증심사에 딸린 수탁회사 현장점검을 받아 왔다.
과기정통부는 수탁회사가 ISMS-P 인증을 획득할 경우 위탁사의 인증심사에 부수되는 수탁사의 현장점검을 면제할 예정"이라며 "3개 고객사를 둔 A콜센터사가 각 고객사 ISMS-P 인증심사별 3번의 현장점검을 받았다면, 앞으로는 A콜센터사의 ISMS-P 인증심사를 위한 현장점검 1회만 받도록 하는 것"이라고 설명했다.
현행 정보통신망법상 재학생 수 1만명 이상인 국내 대학 44개에는 ISMS 인증을 취득할 의무가 있다. 과기정통부는 이달중 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙(제3조)' 개정 입법예고를 추진해, 교육부 정보보호수준진단 '우수(80점)' 등급을 획득한 대학에는 ISMS 인증 의무를 면제할 방침이다.
과기정통부에 따르면 44개 대학 중 ISMS 인증 의무를 이행하지 않은 대학은 13개다. 이가운데 올해 교육부 정보보호수준진단 우수 등급을 획득해 ISMS 인증을 면제받을 수 있는 대학은 10개다. 조선대, 경북대, 충북대, 전남대, 공주대, 부경대, 경상대, 부산대, 충남대, 서울과기대 등이다.
과기정통부와 개보위는 이번 제도 개선으로 기업·대학의 행정부담을 덜고 정보보호 사각지대 해소에도 기여할 것이라 기대했다. 향후에도 제도 개선과 지원책을 마련해 기업·기관 정보보호 활동을 돕겠다고 밝혔다.
ISMS와 ISMS-P는 둘 다 과기정통부 산하기관 한국인터넷진흥원(KISA)이 운영하는 인증제도다. 정보시스템을 운영하는 기업이나 기관의 정보보호 조치와 활동이 인증기준에 적합하다는 것을 KISA 또는 다른 인증기관이 보증하는 것이다. ISMS 인증은 정보통신망의 일반 정보보호, 안전성, 신뢰성 확보를 위한 관리·기술·물리적 보호 조치와 활동에 대해 심사하고, ISMS-P 인증은 정보통신망의 일반 정보보호뿐아니라 개인정보보호를 위한 조치와 활동에 대해서도 심사한다.
또 법적으로 ISMS 인증 취득 의무가 있는 암호화폐거래소 사업자들은 앞으로 업종 특성에 맞춰 현행 대비 강화된 심사를 받는다.
반면 중소기업들은 일반 정보통신서비스 사업자보다 완화된 기준으로 ISMS 인증심사를 받을 수 있게 되고, 인증 의무가 있는 대학 중 교육부가 주관하는 '정보보호수준진단' 점검결과에서 고득점한 곳은 의무가 면제된다.
과학기술정보통신부와 개인정보보호위원회는 정보보호 유사·중복 부담을 완화하고 정보보호 사각지대를 해소하기 위해, 이같은 내용을 골자로 ISMS 인증과 정보보호 및 개인정보보호관리체계(ISMS-P) 인증 제도개선을 추진한다고 1일 밝혔다.
암호화폐거래소·중소기업 특화 ISMS 인증항목 신설
암호화폐거래소 사업자들은 내년 3월 시행되는 '특정 금융거래정보의 보고 및 이용 등에 관한 법률(특금법)'에 따라 '가상자산사업자'라는 법적지위를 부여받게 된다. 가상자산사업자에게는 사업 운영을 위해 신고 의무가 부여되는데, 신고 수리요건 중 하나에 ISMS 인증이 포함돼 있다.
두나무, 빗썸코리아, 코빗, 코인원, 스트리미, 플루토스디에스, 뉴링크 등 암호화폐거래소 7개사는 일반 정보통신서비스 분야에 적용되는 심사체계로 ISMS 인증을 취득한 상태다. 이들을 비롯해 향후 신고 의무가 부여될 가상자산사업자들은 ISMS 인증을 새로 취득하거나 기존 인증을 갱신하기 위한 심사에 암호화폐거래소에 특화된 심사체계를 적용받게 된다.
암호화폐거래소에 특화된 심사체계는 기존 ISMS 심사항목 325개에 지갑·암호키, 전산원장 관리, 비인가자 이체탐지 등 추가 심사항목 56개, 총 381개 항목을 점검하도록 구성돼 있다. 이 추가 심사항목 56개는 과기정통부와 금융위원회(금융보안원)이 협업해 개발한 것으로, 이를 포함해 강화되는 심사체계는 이달부터 공지된 후 ISMS 인증 심사에 적용된다.
비용 부담으로 ISMS 인증을 꺼렸던 영세·중소기업을 위해 기준이 완화된 중소기업용 ISMS 인증체계도 마련된다. 과기정통부는 중소기업들이 불필요한 비용 소모 없이 스스로 ISMS 인증을 준비할 수 있도록 인증항목을 102개로 경량화해 인증비용과 소요기간을 단축할 수 있도록 지원할 계획이라고 밝혔다.
클라우드서비스와 개인정보 수탁업무 중복점검 감소
ISMS 인증을 취득한 클라우드서비스 사업자들은 CSAP 신청시 인증항목 중 54%를 생략하고 심사를 받을 수 있게 된다. 과기정통부는 이달중 CSAP 안내서를 개정해 다음달부터 이를 시행한다.
CSAP 인증항목 117개 가운데 ISMS 인증과 유사한 인증항목이 다수 존재하기 때문에, 이를 생략하고 54개 항목만 심사를 받을 수 있다는 게 과기정통부 측 설명이다.
다른 기업들이 위탁한 개인정보 관련업무를 처리하는 수탁회사(콜센터·택배회사)가 ISMS-P 인증심사 중복 현장점검 부담을 줄일 방안이 마련된다. 수탁회사 스스로 ISMS-P 인증을 취득하면, 고객사의 ISMS-P 인증심사에 딸린 현장점검을 받지 않아도 된다. 이를 위해 과기정통부는 '정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시' 제20조를 개정한다.
현행 ISMS-P 인증심사 범위에 기업의 개인정보 관련업무를 수탁처리하는 곳의 정보보호 관리체계도 포함돼 있다. 콜센터나 택배사가 그런 수탁회사다. 이들은 여러 고객사 기업의 개인정보 관련업무를 처리하고 있어서, 각 고객사가 ISMS-P 인증심사를 받을 때마다 매번 인증심사에 딸린 수탁회사 현장점검을 받아 왔다.
과기정통부는 수탁회사가 ISMS-P 인증을 획득할 경우 위탁사의 인증심사에 부수되는 수탁사의 현장점검을 면제할 예정"이라며 "3개 고객사를 둔 A콜센터사가 각 고객사 ISMS-P 인증심사별 3번의 현장점검을 받았다면, 앞으로는 A콜센터사의 ISMS-P 인증심사를 위한 현장점검 1회만 받도록 하는 것"이라고 설명했다.
교육부 '정보보호수준진단' 우수대학, ISMS 인증의무 면제
현행 정보통신망법상 재학생 수 1만명 이상인 국내 대학 44개에는 ISMS 인증을 취득할 의무가 있다. 과기정통부는 이달중 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙(제3조)' 개정 입법예고를 추진해, 교육부 정보보호수준진단 '우수(80점)' 등급을 획득한 대학에는 ISMS 인증 의무를 면제할 방침이다.
과기정통부에 따르면 44개 대학 중 ISMS 인증 의무를 이행하지 않은 대학은 13개다. 이가운데 올해 교육부 정보보호수준진단 우수 등급을 획득해 ISMS 인증을 면제받을 수 있는 대학은 10개다. 조선대, 경북대, 충북대, 전남대, 공주대, 부경대, 경상대, 부산대, 충남대, 서울과기대 등이다.
과기정통부와 개보위는 이번 제도 개선으로 기업·대학의 행정부담을 덜고 정보보호 사각지대 해소에도 기여할 것이라 기대했다. 향후에도 제도 개선과 지원책을 마련해 기업·기관 정보보호 활동을 돕겠다고 밝혔다.
ISMS와 ISMS-P는 둘 다 과기정통부 산하기관 한국인터넷진흥원(KISA)이 운영하는 인증제도다. 정보시스템을 운영하는 기업이나 기관의 정보보호 조치와 활동이 인증기준에 적합하다는 것을 KISA 또는 다른 인증기관이 보증하는 것이다. ISMS 인증은 정보통신망의 일반 정보보호, 안전성, 신뢰성 확보를 위한 관리·기술·물리적 보호 조치와 활동에 대해 심사하고, ISMS-P 인증은 정보통신망의 일반 정보보호뿐아니라 개인정보보호를 위한 조치와 활동에 대해서도 심사한다.