사건·사고 이슈 및 ESG까지 대응할 수 있는 장점 갖춰
[보안뉴스= 원성만 정보통신행정연구원 대표] 1906년 영국의 ‘전기관련 국제표준회의’를 시작으로 국제 표준화 기구인 ISO가 출범한 지 78년이 흘렀다. 한국 또한 회원국으로 가입되어 있을 뿐만 아니라 2019년 비상임 이사국 선임과 2022년 ISO 총회에서 조성환 현대모비스 대표가 회장으로 선임되는 등 상당한 영향력을 가지고 있다. 또한, 국제표준 특성상 어느 인정기관을 통해 인증을 받더라도 ISO 회원국으로 가입된 국가 간 상호인증의 효력을 가지고 있어 정보통신기술의 발달과 국제교역이 많아질수록 국제표준에 대한 관심과 수요는 지속적으로 증가할 것으로 전망된다.
▲ISO 인증 관련 기관 [자료: 원성만 대표]
ISO 인증을 총괄하는 기구는 ‘IAF(International Accreditation Forum)’이며, 국가별 인정기구(Accreditation Body)를 통해 인증기관(Certification Body)을 관리하고 있다. 한국은 KAB(한국인정지원센터)가 있고, 다수의 외국계 인증기관(인증원)이 한국에 진출해 인증을 수행하고 있다.
ISO 인증 규격은 분야별 숫자로 표기하고 있으며, ISO 27001은 정보보호 경영시스템, ISO 27701은 개인정보보호 경영시스템을 의미한다. 기관이나 기업에서 ‘ISO 27001/27701 인증을 받으면 보안 사고나 개인정보 유출을 막을 수 있다’고 오해하는 경우가 있는데, ISO 인증은 해당 업무에 대한 프로세스를 표준화하고, 지속적인 개선을 이루어가는 노력의 증명이라고 할 수 있다.
과거 ISO 인증이 한국에 도입된 이후 정보보안 및 개인정보보호 관련 자격이나 경력이 부족한 일부 심사원들이 기관이나 기업체를 상대로 ISO 인증을 남발해 해킹이나 개인정보 유출 관련 사건·사고 발생 시 ISO 인증에 대한 공신력에 대한 이슈가 발생한 바 있다. 한국은 국제인증인 ISO 인증을 기반으로 ‘ISMS 인증(소위 K-ISO)’ 체계를 발전시켜 왔고, 현재까지 발전해 왔으나 나름의 한계점을 가지고 있는 것이 현실이다.
▲ISO 27001과 ISMS의 차이점 [자료: 원성만 대표]
아울러, 2023년 ‘개인정보 보호법 및 시행령’ 전면 개정 이후 ISO 27001/27701 인증이 기관이나 기업의 ‘개인정보 보호 노력’으로 인정된 만큼 ISO 인증이 기업의 정보보안/개인정보보호에 대한 업무 프로세스를 표준화하고 거버넌스를 구축하는 데 도움이 될 수 있을 것으로 기대된다. 또한, ‘ESG’에 대한 국제적인 관심과 규제가 증가하고 있어 ‘사회(Social)’ 분야의 경쟁력 제고와 이슈에도 대응할 수 있을 것으로 주목된다고 할 수 있다.
지금까지의 내용을 종합해 볼 때, ISO 27001/27701 인증이 기관이나 기업의 정보보안 및 개인정보보호 업무에 대한 프로세스 정립과 거버넌스 구축에 도움이 될 수 있으며, 사건·사고 이슈 및 ESG까지 대응할 수 있는 상당한 장점이 있다고 할 것이다.
다만, ISO 인증이 국제표준 규격에 의해 자율적으로 운용되고 있어 갈수록 정보보안 및 개인정보보호에 대한 이슈가 커지고 있는 상황에서 인증에 대한 공신력 제고와 인증심사원의 역량 강화를 위한 실질적인 노력 또한 지속되어야 할 것으로 전망된다.
[글_ 원성만 정보통신행정연구원 대표]
[보안뉴스= 원성만 정보통신행정연구원 대표] 1906년 영국의 ‘전기관련 국제표준회의’를 시작으로 국제 표준화 기구인 ISO가 출범한 지 78년이 흘렀다. 한국 또한 회원국으로 가입되어 있을 뿐만 아니라 2019년 비상임 이사국 선임과 2022년 ISO 총회에서 조성환 현대모비스 대표가 회장으로 선임되는 등 상당한 영향력을 가지고 있다. 또한, 국제표준 특성상 어느 인정기관을 통해 인증을 받더라도 ISO 회원국으로 가입된 국가 간 상호인증의 효력을 가지고 있어 정보통신기술의 발달과 국제교역이 많아질수록 국제표준에 대한 관심과 수요는 지속적으로 증가할 것으로 전망된다.
▲ISO 인증 관련 기관 [자료: 원성만 대표]
ISO 인증을 총괄하는 기구는 ‘IAF(International Accreditation Forum)’이며, 국가별 인정기구(Accreditation Body)를 통해 인증기관(Certification Body)을 관리하고 있다. 한국은 KAB(한국인정지원센터)가 있고, 다수의 외국계 인증기관(인증원)이 한국에 진출해 인증을 수행하고 있다.
ISO 인증 규격은 분야별 숫자로 표기하고 있으며, ISO 27001은 정보보호 경영시스템, ISO 27701은 개인정보보호 경영시스템을 의미한다. 기관이나 기업에서 ‘ISO 27001/27701 인증을 받으면 보안 사고나 개인정보 유출을 막을 수 있다’고 오해하는 경우가 있는데, ISO 인증은 해당 업무에 대한 프로세스를 표준화하고, 지속적인 개선을 이루어가는 노력의 증명이라고 할 수 있다.
과거 ISO 인증이 한국에 도입된 이후 정보보안 및 개인정보보호 관련 자격이나 경력이 부족한 일부 심사원들이 기관이나 기업체를 상대로 ISO 인증을 남발해 해킹이나 개인정보 유출 관련 사건·사고 발생 시 ISO 인증에 대한 공신력에 대한 이슈가 발생한 바 있다. 한국은 국제인증인 ISO 인증을 기반으로 ‘ISMS 인증(소위 K-ISO)’ 체계를 발전시켜 왔고, 현재까지 발전해 왔으나 나름의 한계점을 가지고 있는 것이 현실이다.
▲ISO 27001과 ISMS의 차이점 [자료: 원성만 대표]
아울러, 2023년 ‘개인정보 보호법 및 시행령’ 전면 개정 이후 ISO 27001/27701 인증이 기관이나 기업의 ‘개인정보 보호 노력’으로 인정된 만큼 ISO 인증이 기업의 정보보안/개인정보보호에 대한 업무 프로세스를 표준화하고 거버넌스를 구축하는 데 도움이 될 수 있을 것으로 기대된다. 또한, ‘ESG’에 대한 국제적인 관심과 규제가 증가하고 있어 ‘사회(Social)’ 분야의 경쟁력 제고와 이슈에도 대응할 수 있을 것으로 주목된다고 할 수 있다.
지금까지의 내용을 종합해 볼 때, ISO 27001/27701 인증이 기관이나 기업의 정보보안 및 개인정보보호 업무에 대한 프로세스 정립과 거버넌스 구축에 도움이 될 수 있으며, 사건·사고 이슈 및 ESG까지 대응할 수 있는 상당한 장점이 있다고 할 것이다.
다만, ISO 인증이 국제표준 규격에 의해 자율적으로 운용되고 있어 갈수록 정보보안 및 개인정보보호에 대한 이슈가 커지고 있는 상황에서 인증에 대한 공신력 제고와 인증심사원의 역량 강화를 위한 실질적인 노력 또한 지속되어야 할 것으로 전망된다.
[글_ 원성만 정보통신행정연구원 대표]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
