KISA, 행정고시 나오는 대로 심사원 자격 검증 등 프로그램 시행
[보안뉴스 원병철 기자] 정부의 정보보호인증 통합이 속도를 내고 있다. 방통위는 7월 4일 열린 ‘2018년 제33차 위원회’ 보도자료를 통해 ‘개인정보보호 관리체계 인증 등에 관한 고시’를 전부 개정하고, 고시 발령일부터 즉시 시행하겠다고 밝혔다. 또한, 과기정통부는 조만간 개정내용을 행정고시하고 늦어도 하반기 내에는 시행할 계획이라고 설명했다.
[이미지=KISA]
과기정통부가 주관하던 정보보호 관리체계(ISMS)와 행안부·방통위가 주관하던 개인정보보호 관리체계(PIMS)를 통합한다는 계획은 2017년 12월 발표됐다. 당시 3개 부처는 정보보안과 개인정보보호가 밀접해지고 각각의 인증이 중복 운영되면서 기업부담이 커지는 것을 해소하기 위해 양대 인증을 합치기로 결정했다.
특히, ISMS와 PIMS가 정보보호 항목이 겹치는 만큼, 각각 104개(ISMS)와 86개(PIMS)였던 항목을 102개(ISMS-P)로 통합한다. 다만 취득하는 기관·기업이 ISMS(의무규정)만 취득하려 할 경우 개인정보보호 항목(20~22개)은 제외한 채 취득할 수 있다.
현재 과기정통부와 행정안전부, 방통위 등 관계기관은 법률에 기반한 인증제도를 합치기 위해 먼저 법적인 부분을 확인했으며, 현재는 국무조정실이 검토 중인 것으로 알려졌다. 이후 7월 말에서 8월 초 행정예고 등 입법단계를 거쳐 늦어도 올 하반기 안에는 시행한다는 입장이다.
과기정통부와 행안부, 방통위는 조만간 TF를 구성해 공동으로 ISMS-P에 대해 논의할 계획이다. 소관법과 소관부처가 다른 만큼 어느 한 곳에서 담당하는 것보다는 TF를 구성해 함께 논의하는 것이 더 낫다는 판단이다.
과기정통부 관계자는 “ISMS는 대상자에 한해 의무규정이고 PIMS는 자율규정이지만, 최근 개인정보보호의 중요성이 높아지고 있고, ISMS-P로 통합되면서 개인정보보호와 관련된 항목이 줄어든 만큼 인증을 취득하려는 기관과 기업들이 늘어날 것으로 예상한다”고 설명했다.
인증 실무를 담당하는 한국인터넷진흥원(KISA)도 국무조정실 검토를 거치면 세부내용이 바뀔 수 있다며 조심스러운 입장을 보이면서도, 두 개의 인증제도가 통합하고 바뀌는 만큼 철저한 준비를 통해 문제없이 시행할 수 있도록 하겠다고 밝혔다.
KISA는 ISMS-P가 공식 시행되면 바로 기존 ISMS와 PIMS 심사원들의 자격을 전환하기 위한 프로그램을 운영한다. 비록 ISMS-P의 근간이 ISMS와 PIMS라고는 하지만, 통합을 위해 세부 항목의 조정이 있었던 것만큼 이를 위한 교육과 시험을 시행하겠다는 얘기다.
예를 들면, 2017년 12월 처음 ISMS와 PIMS의 통합을 발표하면서 104개의 ISMS 항목이 80개로 줄고, 86개의 PIMS 항목이 20개로 줄면서 ISMS-P의 항목이 총 100개가 됐다. 하지만 세부 항목을 줄이고 합치는 과정에서 PIMS 항목이 2개가 늘어 22개가 됐고, ISMS-P 항목도 102개로 늘었다.
또한, ISMS와 PIMS, 정보보호등급제와 클라우드 보안인증제 등 KISA가 주관하는 인증제도의 상세 홈페이지도 새로운 제도를 소개할 수 있도록 수정할 계획이다.
무엇보다 인증기준의 세부항목을 소개할 수 있는 자료를 만들어 인증 고객과 인증심사원 등 관계자에게 적극 알리는 방안도 준비하고 있다. 그리고 새 인증을 대표할 인증마크도 곧 제작에 들어간다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>