관련 정부부처 “ISMS·PIMS·PIPL 통합 인증제도 필요성 공감”
정부, 2017년까지 41개 인증 감축...PIMS·PIPL 통합 우선 추진
[보안뉴스 김태형] 오는 2017년까지 총 41개의 인증이 감축돼 기업들의 부담이 줄어들 전망이다. 정부는 최근 관계부처 합동으로 ‘제330차 규제개혁위원회’를 열어 이 같은 내용의 인증제도 개선방안을 확정해 발표했다.
이번 개선방안에 따르면, 현재 25개 부처에서 운영하고 있는 139개의 임의인증을 원점에서 검토해 유사한 인증은 통합하고 다른 제도로 대체 가능하거나 도입 취지가 퇴색된 인증은 폐지하는 방법으로 오는 2017년까지 41개를 감축키로 했다. 또 인증기준을 국가표준(KS)과 일치시키고 상호 인증을 추진하며 인증심사 절차를 간소화해 진입장벽을 최소화하기로 했다.
아울러 모든 인증 도입 시 기술규제영향평가를 의무적으로 실시하고 규제개혁위원회의 심사도 대폭 강화해 새로운 인증이 무분별하게 늘어나지 않도록 했다. 이 밖에 3년마다 각 인증의 실효성을 검토해 정비하고 인증 정보를 통합해서 관리하는 국가인증통합관리시스템도 구축해 운영한다.
이에 정보보호와 관련된 인증제도인 ‘ISMS·PIMS·PIPL’ 등도 유사 또는 중복되는 부분이 있어 정보보호 인증제도에 대한 통합 및 운영방안에 대해 관계부처 협의가 이루어졌다.
ISMS(정보보호관리체계: Information Security Management System) 인증은 기업의 정보보호관리체계를 평가하는 것으로, 정보통신망법에 따르면, 올해 △ISP(Internet Service Provider), 통신사·망서비스 업체 △IDC센터(Internet Data Center) 운영업체 △정보통신서비스 부문에서 전년도 매출 100억 이상 또는 전년도말 3개월 기준 일평균 이용자 수가 100만명 이상인 기업은 의무적으로 정보보호관리체계(ISMS: Information Security Management System) 인증을 취득해야 한다.
또한 PIMS(개인정보보호 관리체계:Personal Information Management System)는 기업이 각종 개인정보 유출 위험으로부터 개인정보를 보호하기 위해 보호대책을 수립해 체계적·지속적으로 관리·운영하는 종합적인 체계를 평가하는 것이다. PIMS는 지난 2011년 11월 방송통신위원회 의결로 시행돼 2013년 2월에는 정보통신망법에 의해 시행되고 있다.
그리고 PIPL(개인정보보호 인증제: Personal Information Protection Level)은 ‘개인정보 처리기관의 개인정보보호 조치와 활동이 인증심사기준에 부합하는지를 증명하는 과정’으로서, 개인정보처리자가 ‘개인정보보호법’의 도입 취지에 따라 개인정보보호 관리체계 구축 및 개인정보 보호조치 사항을 이행하고 일정한 보호수준을 갖춘 경우 인증해주는 제도이다.
하지만 기업의 정보보호 관리체계와 관련한 ISMS 인증과 개인정보보호와 관련한 PIMS·PIPL 인증은 법 규제 측면에서는 차이가 있지만, PIPL 인증은 심사기준 및 항목이 기존 ISMS·PIMS 인증과 겹치거나 비슷한 부분이 적지 않다.
이에 인증대상 기업들은 정보보호관련 인증제도의 중복문제와 함께 인증 획득에 소요되는 비용 부담도 적지 않아 법적으로 의무화된 ISMS 인증에만 몰리고 있는 상황이다.
이와 관련 방송통신위원회 개인정보보호윤리과 엄 열 과장은 “현재 중복되거나 유사한 정보보호 관련 인증제도로 인해 대상 기업들이 혼란과 불편을 겪고 있는 것은 사실이다. 이에 국민 및 기업의 편의를 위해서 정보보호관련 인증제도를 정비해야 할 필요성이 있다”면서 “현재 미래부와 안행부도 같은 견해를 갖고 있어 구체적인 사항은 협의를 통해 부처간 의견차를 좁혀나가야 한다”고 설명했다.
또한 그는 “정보보호관련 인증제도가 통합된다면 대상 기업의 규모와 보안체계 및 시스템에 따라서 단계별로 선택해서 인증을 획득할 수 있도록 세분화할 필요가 있다. ISMS·PIMS·PIPL 등의 내용을 포괄한 인증제도로 통합한다면 이처럼 인증기준을 세분화해야 효율적일 것”이라고 덧붙였다.
미래부 정보보호정책과 이강용 사무관도 “우선 정보보호 인증체계 통합 필요성에 대해서는 공감하고 있다. 지난 국무조정실 관계부처 회의에서는 기업의 정보보호 시스템·정책과 서비스 등에 대한 인증제도인 ISMS와 개인정보 라이프사이클 전반의 보호에 관한 인증제도인 PIMS·PIPL은 차이가 있어 우선 PIMS와 PIPL을 통합키로 했다”고 설명했다.
이어서 그는 “ISMS와 PIMS·PIPL 인증과정에서의 중복범위에 대해서는 상호인정을 통해 중복되는 부분은 예외시켜 수수료 감면 효과를 가져올 수 있으며 인증위원회도 연계해 효율적으로 운영하기로 합의했다. 이에 대한 구체적인 사항은 올해 안으로 마무리해 빠르면 내년부터 시행하게 될 것”이라고 덧붙였다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
