1000만명 이상 유출, 반복 위반, 고의, 중과실 경우 인증 유지 불가
침해사고 직결 영역 집중 심사...형식적 관리체계 ‘퇴출 구조’로 전환
[보안뉴스 여이레 기자] 정보보호 관리체계(ISMS) 및 개인정보보호 관리체계(ISMS-P) 인증을 받은 기업·기관이라도 대형 사고가 일어날 경우 부여한 인증을 취소할 수 있도록 인증 유지 기준이 엄격해진다.
대규모 개인정보 유출이나 반복 위반, 고의·중과실 사고를 낸 기업 등이 대상이다.
[자료: 연합뉴스]
개인정보보호위원회와 과학기술정보통신부는 29일 서울정부청사에서 ‘정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의’를 열고 사이버침해·개인정보 유출사고 기업에 대한 인증 취소 기준과 절차를 확정했다고 밝혔다.
한국인터넷진흥원(KISA)과 금융보안원 등 인증기관과 민간 전문가로 구성된 인증위원회도 회의에 참여했다.
정부는 인증기업이 개인정보보호법 위반으로 과징금 등 처분을 받은 경우, 위반 행위의 중대성을 따져 인증 취소 여부를 결정하기로 했다.
특히 1000만명 이상의 피해가 발생했거나, 법 위반이 반복되거나, 고의·중과실로 사회적 파장이 큰 사고를 낸 경우 원칙적으로 인증을 취소한다는 방침이다.
현재 정보통신망법도 중대한 위반이 있을 경우 인증을 취소할 수 있도록 하는 개정 작업이 진행 중이다. 개정이 완료되면 이에 맞춘 세부 기준도 추가로 마련된다.
사후심사 제도도 손질한다. ISMS·ISMS-P 인증을 받은 기업은 매년 한 차례 받는 사후 심사에서 외부 인터넷 접점 자산 식별, 접근권한 관리, 패치 관리 등 실제 사고와 밀접하게 연관된 핵심 항목을 집중적으로 점검받게 된다.
이 과정에서 사후관리를 이행하지 않거나 점검 자체를 거부하는 경우, 자료를 제출하지 않거나 허위로 제출할 경우 인증이 취소된다. 점검 결과 중대한 결함이 드러나도 인증위원회 심의를 거쳐 취소 조치가 가능하다.
인증 취소 이후 관리 방안도 구체화됐다. 정보통신망서비스제공자(ISP), 집적정보통신시설사업자(IDC) 등 법에 따른 인증 의무대상 기업에 대해선 취소 후 1년간 재신청 유예기간을 두어 이 기간 실질적 보안 수준 개선이 이뤄지도록 유도한다.
유예 기간 동안엔 인증 의무 미이행에 따른 과태료는 면제, 제도 개선 부담은 줄이되 보안 투자는 강화하도록 유도하는 구조다. 의무대상이 아닌 기업에 대해서도 지속적 관리 체계를 위해 인증 재취득을 권고하기로 했다.
개인정보위 관계자는 “앞으로도 지속적 협력을 통해 인증기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리해 인증제도의 신뢰성을 회복하겠다”고 밝혔다.
[여이레 기자(gore@boannews.com)]
침해사고 직결 영역 집중 심사...형식적 관리체계 ‘퇴출 구조’로 전환
[보안뉴스 여이레 기자] 정보보호 관리체계(ISMS) 및 개인정보보호 관리체계(ISMS-P) 인증을 받은 기업·기관이라도 대형 사고가 일어날 경우 부여한 인증을 취소할 수 있도록 인증 유지 기준이 엄격해진다.
대규모 개인정보 유출이나 반복 위반, 고의·중과실 사고를 낸 기업 등이 대상이다.
[자료: 연합뉴스]
개인정보보호위원회와 과학기술정보통신부는 29일 서울정부청사에서 ‘정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의’를 열고 사이버침해·개인정보 유출사고 기업에 대한 인증 취소 기준과 절차를 확정했다고 밝혔다.
한국인터넷진흥원(KISA)과 금융보안원 등 인증기관과 민간 전문가로 구성된 인증위원회도 회의에 참여했다.
정부는 인증기업이 개인정보보호법 위반으로 과징금 등 처분을 받은 경우, 위반 행위의 중대성을 따져 인증 취소 여부를 결정하기로 했다.
특히 1000만명 이상의 피해가 발생했거나, 법 위반이 반복되거나, 고의·중과실로 사회적 파장이 큰 사고를 낸 경우 원칙적으로 인증을 취소한다는 방침이다.
현재 정보통신망법도 중대한 위반이 있을 경우 인증을 취소할 수 있도록 하는 개정 작업이 진행 중이다. 개정이 완료되면 이에 맞춘 세부 기준도 추가로 마련된다.
사후심사 제도도 손질한다. ISMS·ISMS-P 인증을 받은 기업은 매년 한 차례 받는 사후 심사에서 외부 인터넷 접점 자산 식별, 접근권한 관리, 패치 관리 등 실제 사고와 밀접하게 연관된 핵심 항목을 집중적으로 점검받게 된다.
이 과정에서 사후관리를 이행하지 않거나 점검 자체를 거부하는 경우, 자료를 제출하지 않거나 허위로 제출할 경우 인증이 취소된다. 점검 결과 중대한 결함이 드러나도 인증위원회 심의를 거쳐 취소 조치가 가능하다.
인증 취소 이후 관리 방안도 구체화됐다. 정보통신망서비스제공자(ISP), 집적정보통신시설사업자(IDC) 등 법에 따른 인증 의무대상 기업에 대해선 취소 후 1년간 재신청 유예기간을 두어 이 기간 실질적 보안 수준 개선이 이뤄지도록 유도한다.
유예 기간 동안엔 인증 의무 미이행에 따른 과태료는 면제, 제도 개선 부담은 줄이되 보안 투자는 강화하도록 유도하는 구조다. 의무대상이 아닌 기업에 대해서도 지속적 관리 체계를 위해 인증 재취득을 권고하기로 했다.
개인정보위 관계자는 “앞으로도 지속적 협력을 통해 인증기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리해 인증제도의 신뢰성을 회복하겠다”고 밝혔다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
