.gif)
미래부, ISMS 인증 의무대상 확대 및 최신 취약점 반영 등 추진
ISMS 의무대상자 인증 미취득시 과태료 1,000만원에서 3,000만원으로 상향
CISO들간 정보공유 위한 핫라인 활성화 방안 추진
[보안뉴스 김경애] 앞으로는 정보보호관리체계(ISMS) 인증 의무대상 기업이 의료, 교육, 에너지 분야로 확대되는 등 인증제도가 대폭 변화하고, CISO들의 정보공유를 위한 핫라인 활성화 방안이 추진될 전망이다.
▲ 점차 확산될 것으로 보이는 ISMS 인증 의무화
미래창조과학부(이하 미래부)에서는 기업의 정보보호 수준 향상과 CISO 역량 강화를 위해 ISMS 인증 의무화와 CISO 신고 제도를 운영하고 있다. 하지만 ISMS 인증제도 운영상의 문제점이 제기되고 있고, 기업의 CISO 제도 활성화도 아직 미흡하다는 지적이다.
현재 ISMS 인증제도 운영현황을 살펴보면 의료, 교육, 에너지 등 사회·경제적 파급효과가 큰 비 ICT 분야로 확장하는데 있어 한계가 있다는 점과 인증 미취득시 과태료가 취득비용보다 낮은 1,000만원에 불과해 인증취득을 회피하는 문제가 발생하고 있다.
또한, 유사한 정보보호관련 인증을 여러 개 취득해야 하고, 인증을 취득하기까지 소요되는 비용 등 기업의 과도한 부담, 심사원 전문성 결여, 일부 점검항목의 불명확성, 기업현실이 반영되지 않은 실효성 문제 등 다양한 개선방안들이 제기돼 왔던 게 사실이다.
이와 관련 미래부 사이버침해대응과 최병택 과장은 ‘2015 정보보호최고책임자 워크숍’ 강연에서 ISMS 인증제도 개선방안과 관련해 “인증제도의 실효성 확보를 위해 ISMS 인증 의무대상을 확대하고, 최신 취약점 반영과 인증 사후관리를 강화하겠다”며 “또한, 인증품질 제고를 위해 인증심사원 전문성 강화, 인증 심사기관 분리, 인증심사 지침서 발간 등을, 기업 부담 완화를 위해서는 유지·인증절차 간소화, 유사 인증제도 통합 추진, 인증 비용절감 등을 추진하겠다”고 설명했다.
무엇보다 인증 의무대상이 의료, 교육, 에너지, 가스 등 사회·경제적 파급효과가 큰 비 ICT 분야로 확대된다.
또한, 인증기준 개정 수요조사를 통해 인증기준의 최신성을 유지하는 방향으로 추진하고, 최신 보안취약점 등을 반영하기 위해 인증기준을 정기적으로 변경할 방침이다.
인증 사후 관리 강화 측면에서는 인증을 취득하지 않는 의무대상 사업자에게 기존 1,000만원의 과태료가 3,000만원으로 상향조정된다. 또한, 인증마크 표시 위반에 대해서도 정기적인 모니터링이 실시된다.
인증품질 제고를 위해서 심사원들의 필기·실기시험이 추가되며, 실습교육을 통해 심사원의 실무능력을 배양할 방침이다. 또한 의료, 교육 등 분야별 전문심사원제를 도입하고, 심사팀장과 수검업체가 심사원을 평가해 인증품질을 높일 계획이다. 뿐만 아니라 인증과 심사를 분리해 분야별 전문심사기관 체계를 구축하고, 심사원에게 공정한 심사를 위한 통일된 판단 기준을 제공할 방침이라는 게 미래부 측의 설명이다.
기업 부담 완화를 위해서는 정보보호관리체계(ISMS) 인증, 개인정보관리체계(PIMS) 인증, 개인정보보호(PIPL) 인증의 동일한 심사항목을 올해 1월부터 상호인정하고 있으며, 국제표준 인증(ISO 27001)을 받은 경우에는 ISMS 인증심사에서 일부 심사항목을 면제해줄 것이라고 밝혔다. 또한, 중장기적으로 유사 인증을 ISMS 인증으로 통합 추진할 것이라고 최 과장은 덧붙였다.
ISMS 구축비용 절감과 관련해서는 기업 스스로 ISMS 구축이 일부 가능하도록 안내서를 제작하고, 교육을 제공할 것이라고 밝혔다.
마지막으로 정보보호최고책임자 지정 신고제도의 경우 지난해 11월부터 시행됐으며, 현재 4100여명이 신고를 완료한 것으로 알려졌다. 하지만 민간 주도의 자발적인 정보보호 역량 향상을 위해서는 CISO 핫라인 구축을 통한 네트워킹 활성화가 필요하다는 게 미래부 측의 설명이다.
이러한 CISO 핫라인 활성화 방안과 관련해 최병택 과장은 “CISO들이 조직 내에서 수행할 역할을 안내하는 CISO 역할 매뉴얼을 제공하고, CISO 역할 강화를 위한 교육과 콘텐츠 개발 등을 추진할 방침”이라며, “분과별 그룹 커뮤니티 활성화와 정기적인 뉴스레터 발송은 물론 주요 정보를 공유할 수 있는 홈페이지를 구축하는 등 CISO간 정보공유와 협력을 활성화할 수 있는 정보교류의 장을 마련할 것”이라고 말했다.
[김경애 기자(boan3@boannews.com)]
ISMS 의무대상자 인증 미취득시 과태료 1,000만원에서 3,000만원으로 상향
CISO들간 정보공유 위한 핫라인 활성화 방안 추진
[보안뉴스 김경애] 앞으로는 정보보호관리체계(ISMS) 인증 의무대상 기업이 의료, 교육, 에너지 분야로 확대되는 등 인증제도가 대폭 변화하고, CISO들의 정보공유를 위한 핫라인 활성화 방안이 추진될 전망이다.
▲ 점차 확산될 것으로 보이는 ISMS 인증 의무화
미래창조과학부(이하 미래부)에서는 기업의 정보보호 수준 향상과 CISO 역량 강화를 위해 ISMS 인증 의무화와 CISO 신고 제도를 운영하고 있다. 하지만 ISMS 인증제도 운영상의 문제점이 제기되고 있고, 기업의 CISO 제도 활성화도 아직 미흡하다는 지적이다.
현재 ISMS 인증제도 운영현황을 살펴보면 의료, 교육, 에너지 등 사회·경제적 파급효과가 큰 비 ICT 분야로 확장하는데 있어 한계가 있다는 점과 인증 미취득시 과태료가 취득비용보다 낮은 1,000만원에 불과해 인증취득을 회피하는 문제가 발생하고 있다.
또한, 유사한 정보보호관련 인증을 여러 개 취득해야 하고, 인증을 취득하기까지 소요되는 비용 등 기업의 과도한 부담, 심사원 전문성 결여, 일부 점검항목의 불명확성, 기업현실이 반영되지 않은 실효성 문제 등 다양한 개선방안들이 제기돼 왔던 게 사실이다.
이와 관련 미래부 사이버침해대응과 최병택 과장은 ‘2015 정보보호최고책임자 워크숍’ 강연에서 ISMS 인증제도 개선방안과 관련해 “인증제도의 실효성 확보를 위해 ISMS 인증 의무대상을 확대하고, 최신 취약점 반영과 인증 사후관리를 강화하겠다”며 “또한, 인증품질 제고를 위해 인증심사원 전문성 강화, 인증 심사기관 분리, 인증심사 지침서 발간 등을, 기업 부담 완화를 위해서는 유지·인증절차 간소화, 유사 인증제도 통합 추진, 인증 비용절감 등을 추진하겠다”고 설명했다.
무엇보다 인증 의무대상이 의료, 교육, 에너지, 가스 등 사회·경제적 파급효과가 큰 비 ICT 분야로 확대된다.
또한, 인증기준 개정 수요조사를 통해 인증기준의 최신성을 유지하는 방향으로 추진하고, 최신 보안취약점 등을 반영하기 위해 인증기준을 정기적으로 변경할 방침이다.
인증 사후 관리 강화 측면에서는 인증을 취득하지 않는 의무대상 사업자에게 기존 1,000만원의 과태료가 3,000만원으로 상향조정된다. 또한, 인증마크 표시 위반에 대해서도 정기적인 모니터링이 실시된다.
인증품질 제고를 위해서 심사원들의 필기·실기시험이 추가되며, 실습교육을 통해 심사원의 실무능력을 배양할 방침이다. 또한 의료, 교육 등 분야별 전문심사원제를 도입하고, 심사팀장과 수검업체가 심사원을 평가해 인증품질을 높일 계획이다. 뿐만 아니라 인증과 심사를 분리해 분야별 전문심사기관 체계를 구축하고, 심사원에게 공정한 심사를 위한 통일된 판단 기준을 제공할 방침이라는 게 미래부 측의 설명이다.
기업 부담 완화를 위해서는 정보보호관리체계(ISMS) 인증, 개인정보관리체계(PIMS) 인증, 개인정보보호(PIPL) 인증의 동일한 심사항목을 올해 1월부터 상호인정하고 있으며, 국제표준 인증(ISO 27001)을 받은 경우에는 ISMS 인증심사에서 일부 심사항목을 면제해줄 것이라고 밝혔다. 또한, 중장기적으로 유사 인증을 ISMS 인증으로 통합 추진할 것이라고 최 과장은 덧붙였다.
ISMS 구축비용 절감과 관련해서는 기업 스스로 ISMS 구축이 일부 가능하도록 안내서를 제작하고, 교육을 제공할 것이라고 밝혔다.
마지막으로 정보보호최고책임자 지정 신고제도의 경우 지난해 11월부터 시행됐으며, 현재 4100여명이 신고를 완료한 것으로 알려졌다. 하지만 민간 주도의 자발적인 정보보호 역량 향상을 위해서는 CISO 핫라인 구축을 통한 네트워킹 활성화가 필요하다는 게 미래부 측의 설명이다.
이러한 CISO 핫라인 활성화 방안과 관련해 최병택 과장은 “CISO들이 조직 내에서 수행할 역할을 안내하는 CISO 역할 매뉴얼을 제공하고, CISO 역할 강화를 위한 교육과 콘텐츠 개발 등을 추진할 방침”이라며, “분과별 그룹 커뮤니티 활성화와 정기적인 뉴스레터 발송은 물론 주요 정보를 공유할 수 있는 홈페이지를 구축하는 등 CISO간 정보공유와 협력을 활성화할 수 있는 정보교류의 장을 마련할 것”이라고 말했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.JPG)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
