개인정보보호위원회가 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’ 일부개정안을 28일 공표했다.
해당 일부개정안은 23일 제9회 위원회 전체회의에서 의결한 내용이다. 현장에서 지속적으로 개선을 요구한 유사ㆍ중복점검 해소, 심사기관 지정공고 절차 개선, 인증ㆍ심사기관에 대한 사후관리 강화, 신기술변화에 대응하기 위한 분야별 세부점검 항목 마련을 위해 개정했다.
이번 고시 개정으로 앞으로 ISMS-P 인증을 획득한 수탁회사는 위탁회사들이 ISMS-P 인증심사를 받을 때마다 반복되던 현장점검을 면제받을 수 있다.
‘ISMS-P 인증’이란 기업이 자체적으로 수립ㆍ운영하는 정보보호 및 개인정보보호 관리체계가 적합한지 여부를 인증하는 국가인증 제도다. 정보보호 및 개인정보보호 관련 총 102개 항목을 심사, 한국인터넷진흥원과 금융보안원이 인증기관으로 참여한다.
‘ISMS-P’ 인증을 받으면 정보보호 및 개인정보보호 수준을 공식적으로 인정받았다는 의미가 있어 인터넷 포털기업이나 온라인 쇼핑몰 운영기업들이 주로 해당 인증을 받고 있다. 2020년 11월 말 기준 830개 기업 및 기관이 인증을 받은 상태다.
‘ISMS-P’ 인증을 취득한 수탁회사는 위탁회사가 인증심사를 받더라도 추가적인 현장점검을 받지 않아도 된다. 현행 인증을 받은 기업은 인증의 사후관리를 위하여 유효기간 3년 중 연 1회 이상 인증심사를 받아야 한다.
위탁회사들이 ‘ISMS-P 인증’ 심사를 받을 때마다 인증심사 범위에 포함된 콜센터, 택배회사 등 수탁회사들도 반복적으로 현장점검을 받아야 했다. 앞으로는 3개의 위탁 고객사를 둔 택배업체의 경우 한 번의 인증심사를 받으면 각각의 고객사들이 인증심사를 받을 때마다 추가적인 현장 심사를 받지 않아도 된다.
별도의 공고를 통한 기간에만 실시하던 심사기관 지정 공고 절차도 손질했다. 심사기관으로 지정받고자 하는 기관은 언제든지 신청할 수 있도록 해 심사기관 준비에 대한 부담을 낮춘다.
인증‧심사기관이 지정기준에 적합한 지에 대한 현장실사도 진행한다. 심사기관 지정 이후 사후관리 미흡으로 심사기관마다 제각각이던 심사품질 문제 등을 개선하기 위한 조치다. 미흡 사항에 대해 시정조치 명령을 내릴 수 있게 됐다. 인증‧심사기관이 지정 취소 또는 업무 정지 명령을 받은 경우, 이 사실을 관보 또는 홈페이지(개인정보위 또는 과기정통부)에 공고하도록 했다.
신종철 개인정보위 자율보호정책과장은 “ISMS-P 인증제도 개선으로 기업 부담은 줄이면서, 인증제도의 내실을 다질 수 있게 됐다”라며 “많은 기업들이 개인정보보호에 관심을 갖고 자율적으로 ISMS-P 인증을 획득해 기업 활동에 도움이 되고, 국민 체감도 높일 수 있도록 해당 제도를 과학기술정보통신부와 함께 지속적으로 개선ㆍ발전시킬 것”이라고 말했다.