연매출 1,500억원 이상 대형병원 40~50곳 해당...예산·인력·인증 기간 부족
미래부, 인증대상 및 유사인증 인정 범위 미정
[보안뉴스 김태형] 미래창조과학부는 ‘정보보호 관리체계 개정 고시’에 따라 의료기관도 ‘정보보호 관리체계(ISMS:Information Security Management System) 인증’ 대상에 포함된다고 발표했다.
이에 따라 오는 6월 2일부터 매출 1,500억원 이상 대형 의료기관은 ISMS 인증이 의무화된다. 국내 대학병원 등 대형 의료기관은 ISMS 인증 의무화로 인해 당장 발등에 불이 떨어진 셈이다. 개정 고시에 따르면, 전년도 매출 혹은 세입액이 1,500억원 이상인 의료기관 혹은 직전 3개월간의 일일평균 이용자 수가 1만명 이상인 의료기관은 인증을 받아야 한다.
해당 고시는 오는 6월 2일부터 시행되며 부칙에 따라 시행 후 6개월 이내에 인증을 받아야 한다. 만약 인증을 받지 않을 경우에는 3,000만원의 과태료가 부과된다. ISMS 인증 의무대상은 상급 종합병원과 대형 종합병원 등 40~50곳이 포함될 것으로 전망된다.
이번 고시 개정은 지난 2014년 당시 새누리당 권은희 의원이 기업의 정보보호 수준 강화를 위한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안’을 국회에 제출함에 따라 이루어졌다. 이에 따르면 의료기관·교육기관 등, 사회·경제적으로 파급력이 크고 많은 국민들이 이용하는 기업 및 기관들에게 ISMS 인증을 의무화해 정보관리를 강화하자는 취지였다. 이와 같은 내용의 정통망법 개정안이 지난해 국회를 통과했고 미래부는 올 2월 ‘정통망법’ 시행령 및 시행규칙 개정안을 입법예고하면서 추진됐다.
이에 대해 미래부 사이버침해대응과 김우철 사무관은 “개정안에 따라 연매출 1,500억원 이상의 의료기관이 ISMS 인증 의무화 대상이 된다. 현재 2015년 국내 대형 병원의 매출 규모를 보건복지부에 요청해 놓은 상태다. 지난 2014년 매출을 기준으로 보면, 약 40여개 의료기관이 ISMS인증 의무 대상이 된다”면서 “인증기간이 촉박하다는 의견에 대해서는 이 기간 중에 인증 획득 과정을 진행중이라면 문제되지 않을 것”이라고 말했다.
이어 그는 “관련 법이 개정되고 ISMS 인증 의무화가 확대됨에 따라, 해당 기업 및 병원, 교육분야 관계자들에게 이러한 사실을 알렸다. 특히, 지난 2월에는 병원협회의 요청으로 병원 관계자들을 대상으로 ISMS 인증 의무화에 대한 구체적인 내용을 설명했으며, 지난 3월에도 정보보호체계 인증 제도에 대한 공식 설명회를 통해 각 기업·금융·병원·교육 분야 정보보안 담당자들을 대상으로 강화된 정보보호 인증제도에 대해 설명했다”고 덧붙였다.
이와 관련 한 대학병원 정보보호팀 관계자는 “우리 병원도 ISMS 인증 의무 대상에 포함될 것으로 예상된다. 당장 관련 인증 획득 준비를 해야 한다. 하지만 가장 큰 문제는 외부 컨설팅 업체를 통해서 컨설팅을 해야 하는데, 예산이나 전문 인력이 부족하다는 점이다. 또한, 6개월 안에 인증을 받기에는 기간이 너무 짧은 것도 고민”이라고 말했다.
이어 그는 “최근 미래부 측은 인증 설명회에서 인증대상의 범위와 ISO27001 인증과 같은 유사 인증에 대한 인정 범위를 명확히 설명하지 않았다. 이와 관련해서 미래부는 5월 중 이와 관련한 정확한 가이드가 나온다고 말했다. 해당 가이드에 따라 우리 병원이 ISMS 인증을 받을지 ISO27001 인증을 받을지를 결정할 수 있을 것”이라고 말했다.
[김태형 기자(boan@boannews.com)]
미래부, 인증대상 및 유사인증 인정 범위 미정
[보안뉴스 김태형] 미래창조과학부는 ‘정보보호 관리체계 개정 고시’에 따라 의료기관도 ‘정보보호 관리체계(ISMS:Information Security Management System) 인증’ 대상에 포함된다고 발표했다.
이에 따라 오는 6월 2일부터 매출 1,500억원 이상 대형 의료기관은 ISMS 인증이 의무화된다. 국내 대학병원 등 대형 의료기관은 ISMS 인증 의무화로 인해 당장 발등에 불이 떨어진 셈이다. 개정 고시에 따르면, 전년도 매출 혹은 세입액이 1,500억원 이상인 의료기관 혹은 직전 3개월간의 일일평균 이용자 수가 1만명 이상인 의료기관은 인증을 받아야 한다.
해당 고시는 오는 6월 2일부터 시행되며 부칙에 따라 시행 후 6개월 이내에 인증을 받아야 한다. 만약 인증을 받지 않을 경우에는 3,000만원의 과태료가 부과된다. ISMS 인증 의무대상은 상급 종합병원과 대형 종합병원 등 40~50곳이 포함될 것으로 전망된다.
이번 고시 개정은 지난 2014년 당시 새누리당 권은희 의원이 기업의 정보보호 수준 강화를 위한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안’을 국회에 제출함에 따라 이루어졌다. 이에 따르면 의료기관·교육기관 등, 사회·경제적으로 파급력이 크고 많은 국민들이 이용하는 기업 및 기관들에게 ISMS 인증을 의무화해 정보관리를 강화하자는 취지였다. 이와 같은 내용의 정통망법 개정안이 지난해 국회를 통과했고 미래부는 올 2월 ‘정통망법’ 시행령 및 시행규칙 개정안을 입법예고하면서 추진됐다.
이에 대해 미래부 사이버침해대응과 김우철 사무관은 “개정안에 따라 연매출 1,500억원 이상의 의료기관이 ISMS 인증 의무화 대상이 된다. 현재 2015년 국내 대형 병원의 매출 규모를 보건복지부에 요청해 놓은 상태다. 지난 2014년 매출을 기준으로 보면, 약 40여개 의료기관이 ISMS인증 의무 대상이 된다”면서 “인증기간이 촉박하다는 의견에 대해서는 이 기간 중에 인증 획득 과정을 진행중이라면 문제되지 않을 것”이라고 말했다.
이어 그는 “관련 법이 개정되고 ISMS 인증 의무화가 확대됨에 따라, 해당 기업 및 병원, 교육분야 관계자들에게 이러한 사실을 알렸다. 특히, 지난 2월에는 병원협회의 요청으로 병원 관계자들을 대상으로 ISMS 인증 의무화에 대한 구체적인 내용을 설명했으며, 지난 3월에도 정보보호체계 인증 제도에 대한 공식 설명회를 통해 각 기업·금융·병원·교육 분야 정보보안 담당자들을 대상으로 강화된 정보보호 인증제도에 대해 설명했다”고 덧붙였다.
이와 관련 한 대학병원 정보보호팀 관계자는 “우리 병원도 ISMS 인증 의무 대상에 포함될 것으로 예상된다. 당장 관련 인증 획득 준비를 해야 한다. 하지만 가장 큰 문제는 외부 컨설팅 업체를 통해서 컨설팅을 해야 하는데, 예산이나 전문 인력이 부족하다는 점이다. 또한, 6개월 안에 인증을 받기에는 기간이 너무 짧은 것도 고민”이라고 말했다.
이어 그는 “최근 미래부 측은 인증 설명회에서 인증대상의 범위와 ISO27001 인증과 같은 유사 인증에 대한 인정 범위를 명확히 설명하지 않았다. 이와 관련해서 미래부는 5월 중 이와 관련한 정확한 가이드가 나온다고 말했다. 해당 가이드에 따라 우리 병원이 ISMS 인증을 받을지 ISO27001 인증을 받을지를 결정할 수 있을 것”이라고 말했다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
