[뉴스토마토 배한님 기자] 기업의 정보보호 관리체계의 적합 여부를 판별하는 국가 인증제도가 불필요한 단계는 줄이고 심사기관 사후 관리는 강화하는 등 현장의 목소리를 반영해 개선된다.
개인정보보호위원회는 지난 23일 제9회 위원회 전체회의에서 의결한 '정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시'(이하 'ISMS-P 인증') 일부개정안을 28일 공포했다.
'ISMS-P 인증'은 기업이 자체적으로 수립·운영하는 정보보호 및 개인정보보호 관리체계가 적합한지 여부를 인증하는 국가인증 제도다. ISMS-P 인증은 총 102개 항목을 심사하며, 한국인터넷진흥원과 금융보안원이 인증기관으로 참여한다. 인터넷 포털기업이나 온라인 쇼핑몰 운영기업들이 주로 해당 인증을 받고 있으며, 지난 11월 말 기준 830개 기업이 인증을 받았다.
이번 고시 개정에는 현장에서 지속적으로 개선을 요구한 △유사·중복점검 해소 △심사기관 지정공고 절차 개선 △인증·심사기관에 대한 사후관리 강화 △신기술변화에 대응하기 위한 분야별 세부점검 항목 마련 등 내용이 반영됐다.
이번 고시 개정으로 ISMS-P 인증을 획득한 수탁회사는 위탁회사들이 ISMS-P 인증심사를 받을 때마다 반복되던 중복 현장점검을 면제받을 수 있게 됐다. ISMS-P 인증을 받은 기업은 인증의 사후관리를 위하여 유효기간 3년 중 연 1회 이상 인증심사를 받아야 한다. 그러나 위탁회사들이 'ISMS-P 인증' 심사를 받을 때마다 인증심사 범위에 포함된 콜센터나 택배회사 등 수탁회사까지 함께 현장점검을 받으면서 기업 부담이 커 이 부분을 손봤다. 3개의 위탁 고객사를 둔 택배업체의 경우 1번의 인증심사를 받으면 각각의 고객사들이 인증심사를 받을 때마다 추가적인 현장 심사를 받지 않아도 된다.
ISMS-P 인증 심사기관 지정 제도도 개선됐다. 별도 공고 기간에만 실시하던 심사기관 지정을 상시로 전환해 심사기관 준비에 대한 부담을 낮췄다. 현재 한국정보통신기술협회·한국정보통신진흥협회·개인정보보호협회 3곳인 심사기관은 언제든지 지정기준을 맞춰 신청하면 심사기관으로 등록할 수 있다.
심사기관 지정 기준 조건은 5명 이상의 인증심사원 고용(선임심사원 1명 이상 확보)하고, 심사업무의 독립성·객관성·공정성·신뢰성을 확보하며 해당 인증 관련 컨설팅 업무를 수행하지 않아야 한다.
심사기관마다 제각각이던 심사품질 문제 등을 개선하기 위해 사후관리도 강화한다. 이를 위해 인증·심사기관이 지정기준에 적합한지에 대한 현장실사를 하고, 미흡 사항에 대해 시정조치 명령을 내릴 수 있게 된다. 인증·심사기관이 지정 취소 또는 업무 정지 명령을 받은 경우, 이 사실을 관보 또는 홈페이지(개인정보위 또는 과기정통부)에 공고하도록 하는 근거도 신설했다.
신종철 개인정보위 자율보호정책과장은 "ISMS-P 인증제도 개선으로 기업 부담은 줄이면서, 인증제도의 내실을 다질 수 있게 됐다"며 "많은 기업이 개인정보보호에 관심을 갖고 자율적으로 ISMS-P 인증을 획득해 기업 활동에 도움이 되고, 국민 체감도 높일 수 있도록 해당 제도를 개선 발전시킬 것"이라고 전했다.
배한님 기자 bhn@etomato.com