정부는 최근 통신사와 이커머스 해킹 등 인증기업의 사고가 잇따르면서 정보보호 및 개인정보보호 관리체계 인증제도의 실효성에 대한 우려가 커진 상황을 배경으로, 인증제도의 구조적 개편을 추진하게 되었다. 개인정보보호위원회와 과학기술정보통신부는 관계부처 대책회의와 현장 간담회를 통해 인증체계의 전반적인 개선과제를 발굴했다. 이번 강화방안에는 인증 대상과 기준, 심사방식, 사후관리, 심사품질확보 등 제도 전반의 개선이 포함되어 있다. ISMS·ISMS-P 인증은 국제표준(ISO27001·27701) 기반으로 기업의 정보보호 및 개인정보보호 관리체계를 점검·인증하는 제도이다.
주요 정책으로는 대규모 개인정보처리자에 대한 인증 의무화, 위험 기반의 차등화된 관리체계 도입, 인증심사 방식의 현장 중심 전환, 기술심사 강화, 인증 사후관리 체계 확립, 심사기관 및 심사원 전문성 제고 등이 있다. 인증체계는 강화인증, 표준인증, 간편인증 등 3단계로 재편되며, 국민생활에 파급력이 큰 사업자에 대해 강화된 기준과 심사방식이 적용된다. 심사방식은 예비심사, 취약점진단, 모의침투 등 기술심사로 확대되고, 심사팀 구성도 강화된다. 사후관리에서는 상시 점검체계와 사고기업에 대한 엄격한 관리, 인증취소 기준 구체화 등이 추진된다.
🎯 metaqsol opinion:
정보보호 인증제도 개편은 실효성 강화와 현장 부담, 효과 측정 등 다양한 쟁점을 둘러싼 균형 잡힌 논의가 필요합니다.
핵심 쟁점: 정책 개편이 실제로 침해사고 예방에 효과적인지에 대한 실증적 근거 인증 의무화 및 기준 강화가 중소·신생기업 등 다양한 사업자에 미치는 부담과 형평성 문제
공통 인식: 정보보호 및 개인정보 유출 예방의 필요성에 대한 공감 심사방식의 현장실증 강화와 기술심사 도입의 필요성 인정
정보보호 인증제도 개편은 실효성 강화와 현장 부담, 효과 측정 등 다양한 쟁점을 둘러싼 균형 잡힌 논의가 필요합니다.
핵심 쟁점: 정책 개편이 실제로 침해사고 예방에 효과적인지에 대한 실증적 근거 인증 의무화 및 기준 강화가 중소·신생기업 등 다양한 사업자에 미치는 부담과 형평성 문제
공통 인식: 정보보호 및 개인정보 유출 예방의 필요성에 대한 공감 심사방식의 현장실증 강화와 기술심사 도입의 필요성 인정