보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

(개인)정보보호 인증제도 개정에 따른 컨설팅 변화 및 대응

2016.07.05

9,551

 


1. (개인)정보보호 인증제도의 현황


1) (개인)정보보호 인증제도의 정의 및 종류

그렇다면 (개인)정보보호 인증제도는 무엇일까? 인증제도라 함은 제품 등 평가대상을 일정한 표준기준 또는 기술규정 등에 적합한지 여부를 평가하여 안정성 및 신뢰성 등을 인증하는 절차 및 제도로 (개인)정보보호와 관련하여 기존의 ISMS 및 PIMS, PIPL 인증제도 등을 들 수 있다. 이외에도 국제공인인 ‘ISO27001’, `14년 신설된 민간주도의 자율 규제형태의 ‘정보보호 준비도 평가’ 등이 있으나, 현재로써는 위의 ISMS 및 PIMS가 가장 보편화된 인증제도로 알려져 있다.

 

2) 정보보호 관리체계(ISMS) 인증

ISMS는 기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 종합적인 정보보호 관리체계의 적합성에 대해 인증을 부여하는 제도를 말한다. 지난 2001년 최초로 도입된 정보보호 인증제도로 총 2개 분야(관리과정, 정보보호대책), 18개 기준, 104개의 인증항목으로 구성되어 있다. 기타 인증제도에 비해 가장 큰 차이점은 인증 대상의 자격요건에 따라 인증을 의무적으로 취득할 것을 법에 명시하고 있다는 것이다.

 


[그림 1] 정보보호 관리체계(ISMS) 개요

 

3) 개인정보보호 관리체계(PIMS) 인증

PIMS는 기업이 개인정보보호 활동을 체계적ㆍ지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도로, 2010년 방송통신위원회 의결을 기반으로 제도가 시행되었다. ISMS가 기업의 특정 시스템 및 서비스 상 관리체계의 적합성 인증을 주요 대상으로 하는데 반해, PIMS는 전사적 범위에서의 개인정보보호 관리체계 활동의 적합성을 인증하는 것으로 상호 간 인증범위의 차이를 보인다.  


4) 개인정보보호(PIPL) 인증

PIPL은 개인정보 관리체계의 수립, 개인정보 처리단계별 기준·절차의 준수 및 안전한 관리, 정보주체의 권리보장 등을 지속적으로 수행하는 일련의 조치와 활동을 인증하는 제도로, 2013년 개인정보보호법을 근거로 시행되었다. 인증대상의 유형(공공기관/대기업, 중소기업, 소상공인)에 따라 인증범위를 차등 적용하여 인증대상의 부담을 감소시키고자 하였으나, PIMS와의 제도적 유사성으로 인해 15년 12월 PIMS와 제도가 통합되었다.


5) 각각의 인증제도 비교

 

 

구분

ISMS

PIMS 

PIPL 

근거법령

정보통신망법

정보통신망법

개인정보보호법

관리·감독 기관

미래창조과학부

방송통신위원회

행정자치부

인증기관

한국인터넷진흥원

한국인터넷진흥원

한국정보화진흥원

유효기관

3년(매년 사후관리심사)

3년(매년 사후관리심사)

3년(매년 유지관리심사)

평가기준

12개분야

18개 기준

104개 항목

 3개 분야

3개 기준

124개 항목

3개 유형

9개 기준

65개 항목

특징

인증대상 자격 요건에 따른 인증 취득의무 지정
(정보통신망법 시행령 제49조)

인증 취득 시 과징금 ½ 경감

공공기관 대상 적용 가능

 

[표 1] 개정 전 (개인)정보보호 인증제도 간 비교

 


2. (개인) 정보보호 인증제도의 개정


`14년 카드 3사를 비롯한 다수 기업의 개인정보 유출사고 증가로 개인정보보호 활동 범위의 강화 필요성이 제기 되었고, 이에 따라 `15년 정보통신망법 개정을 통해 ISMS의 인증 의무대상이 非 ICT 및 비영리 기업까지 확대되게 되었다. 또한 시행 초기부터 제도적 유사성을 지적받던 PIPL은 PIMS와의 통합을 통해 사업자의 부담을 경감하고 실효성을 증대시키는 방향으로 개정되었다.


1) 정보보호 관리체계(ISMS) 인증제도 개정 사항

현행 의무대상의 지정 범위는 정보통신망에 대한 서비스 의존도가 높고, 개인정보 등 다량의 민감정보를 다루는 기관이 누락됨에 따라 보안사고 발생 가능 우려가 크다는 지적이 있었다. 이에 따라 ICT 기업으로 한정된 ISMS 인증 의무대상을 업태 구분 없이 보안사고 발생 시 사회ㆍ경제적 파급력이 큰 연간 매출액 또는 세입 1,500억원 이상의 非 ICT 기업 및 비영리 기관을 포함한 모든 기관으로 확대하는 방향으로 개정되었다. .

 


[그림 2] ISMS 인증대상 확대 방안


또한 제도의 신뢰성 증대를 위해 인증의 부정 취득 시 인증의 취소를 강행규정으로 명시하고, 지정취소 처분 시 청문회 시행, 인증 미취득으로 인한 과태료의 상향 등 관련 규정을 강화하였다. 한편, ISMS에 준하는 조치를 취한 사업자의 인증의무 완화를 통하여 중복 인증 취득 등으로 인한 사업자의 과도한 부담을 경감하게 하도록 하였다

 

 

조항

(정보통신망법

변경내용

제47조제2항

 연간 매출액 또는 세입 등이 1,500억원 이상인 사업자를 인증 의무대상으로 지정

제47조제3항

 ISMS에 준하는 조치를 취한 사업자의 인증 의무 완화

제47조제6항,

제7항 

 정보보호 관리체계 인증업무를 명확히 규정하고, 심사업무만을 전담하는 기관을 지정할 수 있는 근거 마련

제47조제9항,

제47조의5 제4항

 거짓이나 부정한 방법으로 정보보호 관리체계 인증을 받거나 정보보호 관리등급을 부여 받은 경우에는 그 취소를 강행규정으로 함

제64조의4

 지정취소 처분 등으로 하려는 경우에는 청문을 실시하도록 함

제74조제1항

 정보보호 관리체계 인증을 받지 아니한 자에 대한 과태료를 3천만원 이하로 상향

 
[표 2] 법령대비 개정 사항

 

1) IEC/ISO 27001 인증, 「정보통신망법」 제47조의 3에 따른 PIMS인증, 「정보통신기반보호법 」 제9조에 따른 취약점 분석ㆍ평가

 

2) 개인정보보호 관리체계(PIMS) 인증제도 통합

산업 전 분야에서 개인정보보호 필요성 및 중요성 인식의 확대와 정보통신서비스 제공자 구분의 모호성으로 인해 현장의 부담가중을 호소하게 되었다. 이로 인한 2014년 8월 규제개혁위원회 “범부처 인증제도 개선방안”의 일환으로 제도의 통합이 결정됨에 따라 `16년도부터 (통합) 개인정보보호 관리체계(PIMS) 인증제도가 시행되었다.


3) 통합 PIMS 인증제도 시행 방안

2016년 1월 1일, 행정자치부와 방송통신위원회의 공동 고시2) 마련 및 시행을 통해 법적 준거성을 획득하게 되었다. 인증 기준 적용은 기존 PIPL과 같이 인증 대상의 유형 및 규모, 의사결정체계, IT 구축ㆍ운영 환경 등을 고려하여 차등적용 하도록 하였다. 인증항목은 기존의 PIMS와 PIPL 항목의 통합 및 개정을 통해 3개 분야, 9개 기준, 86개 항목으로, 사업자의 혼란 방지를 위해 신규 인증 기준은 `17년 1월 1일부터 적용하기로 하였다.

 

 

 구분

 공공기관

대기업·정보통신 서비스제공자 

중소기업 

소상공인 

 개인정보보호 관리과정(16개)

 16

 16

 15

 4

 생명주기 / 권리보장(20개)

 20

 19

 19

 19

 개인정보보호대책(50개)

 50

 48

 40

 24

 총계

 86

 83

 74

 47

 


[표 3] (통합) PIMS 인증 기준

 

 

[그림 2] (통합) PIMS 인증 기준 구분에 따른 차등적용(안)

 


2) 「개인정보 관리체계 인증 등에 관한 고시」 행자부고시 제2015-52호, 방통위고시 제2015-29호

 


3. 인증제도 개정으로 인한 컨설팅 환경의 변화 및 대응


인증제도 운영주체인 한국인터넷진흥원(KISA)에서는 안내서 개정, 제도 전환 교육 등을 통한 개정 인증제도의 이행을 지원할 예정이다. 현재 KISA의 ISMS 및 PIMS 홈페이지(http://isms.kisa.or.kr)에서 올해 지속적인 개정 인증제도 안내 교육을 진행할 예정됨에 따라, 기존 인증 심사원 자격 보유자는 관련 교육을 통한 인증심사 자격 갱신이 필요하다.
특히, (통합)PIMS 인증제도의 전면적 시행에 대해 1년의 유예기간(`17.01.01 시행)을 설정함에 따라, 향후 인증 컨설팅의 환경 또한 점진적 변화를 꾀해야 할 것이다. (통합)PIMS 인증 컨설팅 진행 시 인증 기준 차등 적용에 따른 컨설팅 대상 기업의 적용 범위를 정확히 인지하고 이에 따른 적합한 컨설팅 방안을 제시할 수 있어야 한다. 더불어 기존 PIMS 및 PIPL 인증 취득을 위해 사전 준비된 증적자료의 개정 기준에 따른 활용 여부 및 변환을 통해 컨설팅 준비 기간 축소 등 효율성을 극대화 할 수 있도록 컨설팅 방법론을 재정비 해야 하겠다.
또한, 기존 ISMS 인증 의무대상이 非 ICT 기업 및 비영리 단체로 확대됨에 따라 인증 대상 기업의 업종은 금융, 교육, 병원 등으로 다양화 되었다. 이에 따라 참고 해야 할 법령 또한  「신용정보의 이용 및 정보보호에 관한 법률」 , 「교육기본법」, 「의료법」 등 업종에 따라 다양해졌다. 더불어 기존의 예하 고시인 ‘표준 개인정보보호 지침’, ‘개인정보의 안전성 확보조치’ 등의 전면적 개정이 예고됨에 따라 실제 인증 항목 적용 시 기준의 변화폭이 커질 것이므로 지속적인 개정 현황에 대한 추이가 필요하다.
공자가 옛말에 이르기를 “때때로 배우고 익히면 어찌 즐겁지 아니한가!(學而時習之 不亦說乎)” 라고 하였다. 자신의 자리에서 성공하기 위해서는 여러 가지 역량이 필요하겠으나, 그 중 가장 필요한 역량은 ‘학습하는 자세’라고 생각한다. 기존의 법과 제도의 개정으로 인해 대비해야 할 사항이 많아졌으나 이런 혼란 속에서 새로운 기회와 지식을 포착하는 것 또한 중요할 것이다.

 

 

* 참고 자료

 

[1]  정보통신망법 개정에 따른 ISMS 인증제도. KISA
[2]  16년 ISMS 인증 현황 및 추진 계획. KISA
[3]  ISMS 인증제도 안내서. KISA
[4]  PIMS 인증 통합에 따른 제도 운영방안. KISA
[5]  PIMS 인증 운영절차 및 신청안내. KISA
[6]  PIMS 인증제도 안내서 – 제도운영편. KISA
[7]  KISA 정보보호 및 개인정보보호 관리체계 인증 .http://isms.kisa.or.kr
[8]  국가법령정보센터. http://www.law.go.kr
[9]  인증제도의 정의. 네이버 지식백과