정부, 11월 7일 시행 ‘ISMS-P’ 통합인증 설명회 개최... 많은 참관객으로 뜨거운 열기
인증항목부터 수수료까지 많은 변화...보안강화 및 취득기업 편의에 초점 맞춰
[보안뉴스 원병철 기자] 11월 7일 시행된 정보보호 및 개인정보보호 관리체계 인증제도 설명회가 13일 서울 GS타워에서 개최됐다. 인증제도 통합에 따른 고시 개정사항에 대한 안내와 인증기준 주요 변경사항 및 인증심사 신청방법을 설명하기 위해 마련된 이날 행사에는 많은 사람들이 몰려 높은 관심을 반영했다.
▲정보보호 및 개인정보보호 관리체계 인증제도 설명회[사진=보안뉴스]
과기정통부와 행정안전부, 방통위 등 3개 기관이 각각 운영하던 정보보호 관리체계 인증(ISMS)과 개인정보보호 관리체계 인증(PIMS)을 통합하게 된 이유는 무엇일까? 이에 대해 과기정통부 김기홍 사무관은 융합화 및 고도화되고 있는 침해위협에 효과적으로 대응하기 위해서 정보보호와 개인정보보호의 연계가 필요하게 됐다고 설명했다. 아울러 이번 통합은 실질적으로 양쪽 모두를 만족시킬 수 있는 연계성에 초점을 맞췄기 때문에 현장에서 일부 미흡하다고 여길 수 있겠지만, 향후 제도 개선작업을 통해 보완해 나가겠다고 밝혔다.
정보보호 관련 인증에 대한 통합 논의가 나온 것은 2014년 8월부터였다. 관계부처들은 인증제도 개선을 추진했고, 2016년 먼저 PIMS와 PIPL(개인정보보호인증제, 행정안전부)이 통합해 통합 PIMS가 됐고, 이후 다시 PIMS와 ISMS 통합이 논의됐다. 2017년 ISMS와 PIMS 통합을 위한 관계부처 협의를 거처 2018년 5월 공동고시 개정안이 마련됐다. 그리고 2018년 11월 7일 정보보호 및 개인정보보호 관리체계 인증에 관한 고시가 시행됐다.
행사를 진행한 한국인터넷진흥원(KISA)은 인증제도 통합에 따른 개정사항을 안내하고 이어 주요 변경사항과 신청방법을 설명했다. 먼저 설명에 나선 KISA 김선미 팀장은 2016년 기업을 대상으로 두 개의 인증에 대한 설문조사를 한 결과 59.9%가 통합이 필요하다고 답변했고, 2018년 10월을 기준으로 ISMS와 PIMS 모두를 유지하는 기업이 72%에 달하는 등 통합 요구가 높아졌다고 설명했다.
비록 두 인증의 목적이나 방향은 조금 달랐지만 결국 두 가지 모두 연계해 보호해야 하는 상황에서 통합이 진행됐다는 것이다. 대신 정부는 기업의 부담을 줄이기 위해 통합 후에도 2개의 인증을 선택해 신청할 수 있도록 만들었다.
▲많은 참관객들이 통합인증에 대한 관심을 보여준다[사진=보안뉴스]
별도의 PIMS 인증없어... 개인정보보호 인증은 ISMS-P만 선택
이번 두 인증의 통합에서 사람들이 가장 궁금해 하는 사항은 바로 기존 인증과 통합인증의 달라진 점이다. 우선 인증항목이 통합 및 추가됐다. 실질적으로 인증항목의 수는 줄어들었지만, 이는 비슷한 항목이 합쳐졌을 뿐 실제로 삭제된 항목은 단 한 개도 없다. 오히려 각 인증별로 추가된 항목이 있다.
우선 104개 인증항목의 ISMS는 80개로 통합됐다. 신규로 3개 항목(관리체계 수립 및 운영 1개, 보호대책 요구사항 2개)이 추가됐으며, 18개의 항목은 유사 인증기준으로 분류되어 통합됐다. 86개 항목의 PIMS는 102개로 통합됐다. 다만 PIMS는 ISMS 80개 항목에 22개 항목이 추가된 방향으로 진행됐기 때문에 실질적으로는 22개 항목으로 통합됐다고 할 수 있다.
최신 기술과 이슈도 반영됐다. 클라우드 서비스나 핀테크, 외부자 관리와 침해사고 탐지 강화 등을 반영한 신규기준이 개발된 것은 물론 기존 항목도 개선됐다. 여기에 개인정보보호법과 정보통신망법의 개정안에 따라 추가됐거나 강화된 보호조치도 반영됐다.
여기서 주목할 점은 기존 ISMS 인증 기업은 새로운 ISMS 인증이나 통합된 ISMS-P 인증을 딸 수 있지만, 기존 PIMS 인증 기업은 별도의 인증 없이 통합 ISMS-P 인증을 따야 한다는 사실이다. 기존 PIMS 인증 기업은 억울할 수도 있지만, 정부는 단호한 입장이다. 개인정보보호를 위해 정보보호 항목이 필요해졌기에 항목이 추가된 것 일뿐, 이번 통합과는 아무런 상관이 없다는 얘기다. 즉, 이번 인증통합이 아니었다고 해도 어차피 PIMS로서의 인증도 강화됐을 것이라고 김선미 팀장은 설명했다.
통합인증 취득시 최대 59%까지 수수료 인하 효과
인증비용면에서도 변화가 있다. 우선 ISMS만 놓고 봤을 때, 기존 ISMS 인증 수수료와 큰 차이가 없다고 김선미 팀장은 말했다. “ISMS는 현행 수준을 유지하지만, PIMS의 경우 35% 수수료가 인하됐습니다. 또한, 2개 인증을 함께 유지한 경우 59% 수수료를 인하한 효과가 있습니다. 다만 ISMS-P는 개인정보위탁사와 서비스 수에 따라 추가 금액이 적용되기 때문에 신청 기업별로 금액 차이가 있을 수 있습니다.”
예를 들면, 개편 전 ISMS 인증에 최소 1,000만원에서 최대 1,800만원이 들어서 평균 1,200만원이 나왔고, 개편 후에도 비슷한 수준이라는 설명이다. 그리고 PIMS 인증은 최소 1,000만원에서 최대 6,500만원이 들어 평균 2,900만원이 들었는데, ISMS-P 인증은 최소 1,100만원에서 최대 2,500만원으로 평균 1,800만원이 들어갈 것으로 전망했다. 이는 평균 35%가 인하된 가격이다. 또한, ISMS와 PIMS를 동시에 인증하면, 최소 2,000만원에서 최대 8,400만원으로 평균 4,300만원이었다면, ISMS와 ISMS-P를 함께 인증하면 최소 1,100만원에서 최대 2,500만원으로 평균 1,800만원, 59%의 인하효과가 있다고 김선미 팀장은 설명했다.
보완조치와 사후관리도 변화가 있다. 특히, 심사에서 나온 보완조치 기간이 기존 30일에서 40일로 늘었다. 이는 실제 심사기업들이 보완조치 기간이 짧아 확대해 달라는 요청을 받아들인 결과다. 다만 사후심사 1년 주기와 갱신심사 만료 3개월 전은 연장이 되지 않았다.
기존 인증심사원은 별도의 교육 혹은 시험 치러야 자격요건 유지
인증심사원도 변화가 있다. 먼저 자격요건은 기존과 같다. ①4년제 대학졸업 및 동등학력을 취득해야 하며 ②정보보호, 개인정보보호 또는 정보기술 경력을 합해 6년 이상을 보유해야 한다. ③그리고 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유해야 한다. 아울러 두 가지 이상 중복 업무경력은 중복해 합산하지 않으며, 신청일 기준 최근 10년 이내의 경력만 인정한다. 또한 신청일을 기준으로 취득 완료한 자격만 인정한다.
기존 인증심사원의 자격전환은 고시시행 6개월, 혹은 심사원 자격 유효기간 중 더 긴 시간을 선택해 KISA의 심사원 자격전환 과정을 신청하고 수료해야 한다. ISMS나 PIMS 자격을 모두 보유한 심사원은 1일의 신규 제도에 관한 교육만 받으면 되지만, 둘 중 하나만 보유한 심사원은 2일의 교육과 평가시험을 치러야 한다.
기존 심사원 등급도 재조정된다. 우선 기존 등급을 초기화하고 ISMS와 PIMS 심사경력을 합산한 신규등급으로 조정된다. 또한, 심사팀장만 가능했던 기존 선임심사원 등급을 초기화하고 ISMS-P 심사참여 일수로 요건을 완화한다. 책임심사원은 선임심사원이 1년간 ISMS-P 2회를 포함해 인증심사를 4회 이상해야 하며, 다음해 1년간 책임심사원으로 활동을 해야 인정이 된다.
심사원 자문료는 각 등급에 따라 차등화 됐다. 심사원보는 1일 자문료 20만원, 심사원은 30만원, 선임심사원은 35만원, 책임심사원은 45만원이 각각 책정됐다.
마지막으로 심사원 자격은 취소될 수도 있다. 고시 제16조에 따르면 거짓이나 부정한 방법으로 인증심사원 자격을 부여받거나 객관적이고 공정한 심사를 수행하지 않은 경우, 심사 시 취득한 정보와 서류를 누출 혹은 유출한 경우 자격이 취소된다. 실제로 인증심사원 자격이 정지되거나 취소된 일도 있었다고 덧붙였다.
한편, KISA는 이날 발표 자료와 함께 신규 인증기준과 개정 전 인증기준 비교표 등 자료를 KISA의 ISMS 홈페이지에 업로드 하겠다고 밝혔다.
[원병철 기자(boanone@boannews.com)]
인증항목부터 수수료까지 많은 변화...보안강화 및 취득기업 편의에 초점 맞춰
[보안뉴스 원병철 기자] 11월 7일 시행된 정보보호 및 개인정보보호 관리체계 인증제도 설명회가 13일 서울 GS타워에서 개최됐다. 인증제도 통합에 따른 고시 개정사항에 대한 안내와 인증기준 주요 변경사항 및 인증심사 신청방법을 설명하기 위해 마련된 이날 행사에는 많은 사람들이 몰려 높은 관심을 반영했다.
▲정보보호 및 개인정보보호 관리체계 인증제도 설명회[사진=보안뉴스]
과기정통부와 행정안전부, 방통위 등 3개 기관이 각각 운영하던 정보보호 관리체계 인증(ISMS)과 개인정보보호 관리체계 인증(PIMS)을 통합하게 된 이유는 무엇일까? 이에 대해 과기정통부 김기홍 사무관은 융합화 및 고도화되고 있는 침해위협에 효과적으로 대응하기 위해서 정보보호와 개인정보보호의 연계가 필요하게 됐다고 설명했다. 아울러 이번 통합은 실질적으로 양쪽 모두를 만족시킬 수 있는 연계성에 초점을 맞췄기 때문에 현장에서 일부 미흡하다고 여길 수 있겠지만, 향후 제도 개선작업을 통해 보완해 나가겠다고 밝혔다.
정보보호 관련 인증에 대한 통합 논의가 나온 것은 2014년 8월부터였다. 관계부처들은 인증제도 개선을 추진했고, 2016년 먼저 PIMS와 PIPL(개인정보보호인증제, 행정안전부)이 통합해 통합 PIMS가 됐고, 이후 다시 PIMS와 ISMS 통합이 논의됐다. 2017년 ISMS와 PIMS 통합을 위한 관계부처 협의를 거처 2018년 5월 공동고시 개정안이 마련됐다. 그리고 2018년 11월 7일 정보보호 및 개인정보보호 관리체계 인증에 관한 고시가 시행됐다.
행사를 진행한 한국인터넷진흥원(KISA)은 인증제도 통합에 따른 개정사항을 안내하고 이어 주요 변경사항과 신청방법을 설명했다. 먼저 설명에 나선 KISA 김선미 팀장은 2016년 기업을 대상으로 두 개의 인증에 대한 설문조사를 한 결과 59.9%가 통합이 필요하다고 답변했고, 2018년 10월을 기준으로 ISMS와 PIMS 모두를 유지하는 기업이 72%에 달하는 등 통합 요구가 높아졌다고 설명했다.
비록 두 인증의 목적이나 방향은 조금 달랐지만 결국 두 가지 모두 연계해 보호해야 하는 상황에서 통합이 진행됐다는 것이다. 대신 정부는 기업의 부담을 줄이기 위해 통합 후에도 2개의 인증을 선택해 신청할 수 있도록 만들었다.
▲많은 참관객들이 통합인증에 대한 관심을 보여준다[사진=보안뉴스]
별도의 PIMS 인증없어... 개인정보보호 인증은 ISMS-P만 선택
이번 두 인증의 통합에서 사람들이 가장 궁금해 하는 사항은 바로 기존 인증과 통합인증의 달라진 점이다. 우선 인증항목이 통합 및 추가됐다. 실질적으로 인증항목의 수는 줄어들었지만, 이는 비슷한 항목이 합쳐졌을 뿐 실제로 삭제된 항목은 단 한 개도 없다. 오히려 각 인증별로 추가된 항목이 있다.
우선 104개 인증항목의 ISMS는 80개로 통합됐다. 신규로 3개 항목(관리체계 수립 및 운영 1개, 보호대책 요구사항 2개)이 추가됐으며, 18개의 항목은 유사 인증기준으로 분류되어 통합됐다. 86개 항목의 PIMS는 102개로 통합됐다. 다만 PIMS는 ISMS 80개 항목에 22개 항목이 추가된 방향으로 진행됐기 때문에 실질적으로는 22개 항목으로 통합됐다고 할 수 있다.
최신 기술과 이슈도 반영됐다. 클라우드 서비스나 핀테크, 외부자 관리와 침해사고 탐지 강화 등을 반영한 신규기준이 개발된 것은 물론 기존 항목도 개선됐다. 여기에 개인정보보호법과 정보통신망법의 개정안에 따라 추가됐거나 강화된 보호조치도 반영됐다.
여기서 주목할 점은 기존 ISMS 인증 기업은 새로운 ISMS 인증이나 통합된 ISMS-P 인증을 딸 수 있지만, 기존 PIMS 인증 기업은 별도의 인증 없이 통합 ISMS-P 인증을 따야 한다는 사실이다. 기존 PIMS 인증 기업은 억울할 수도 있지만, 정부는 단호한 입장이다. 개인정보보호를 위해 정보보호 항목이 필요해졌기에 항목이 추가된 것 일뿐, 이번 통합과는 아무런 상관이 없다는 얘기다. 즉, 이번 인증통합이 아니었다고 해도 어차피 PIMS로서의 인증도 강화됐을 것이라고 김선미 팀장은 설명했다.
통합인증 취득시 최대 59%까지 수수료 인하 효과
인증비용면에서도 변화가 있다. 우선 ISMS만 놓고 봤을 때, 기존 ISMS 인증 수수료와 큰 차이가 없다고 김선미 팀장은 말했다. “ISMS는 현행 수준을 유지하지만, PIMS의 경우 35% 수수료가 인하됐습니다. 또한, 2개 인증을 함께 유지한 경우 59% 수수료를 인하한 효과가 있습니다. 다만 ISMS-P는 개인정보위탁사와 서비스 수에 따라 추가 금액이 적용되기 때문에 신청 기업별로 금액 차이가 있을 수 있습니다.”
예를 들면, 개편 전 ISMS 인증에 최소 1,000만원에서 최대 1,800만원이 들어서 평균 1,200만원이 나왔고, 개편 후에도 비슷한 수준이라는 설명이다. 그리고 PIMS 인증은 최소 1,000만원에서 최대 6,500만원이 들어 평균 2,900만원이 들었는데, ISMS-P 인증은 최소 1,100만원에서 최대 2,500만원으로 평균 1,800만원이 들어갈 것으로 전망했다. 이는 평균 35%가 인하된 가격이다. 또한, ISMS와 PIMS를 동시에 인증하면, 최소 2,000만원에서 최대 8,400만원으로 평균 4,300만원이었다면, ISMS와 ISMS-P를 함께 인증하면 최소 1,100만원에서 최대 2,500만원으로 평균 1,800만원, 59%의 인하효과가 있다고 김선미 팀장은 설명했다.
보완조치와 사후관리도 변화가 있다. 특히, 심사에서 나온 보완조치 기간이 기존 30일에서 40일로 늘었다. 이는 실제 심사기업들이 보완조치 기간이 짧아 확대해 달라는 요청을 받아들인 결과다. 다만 사후심사 1년 주기와 갱신심사 만료 3개월 전은 연장이 되지 않았다.
기존 인증심사원은 별도의 교육 혹은 시험 치러야 자격요건 유지
인증심사원도 변화가 있다. 먼저 자격요건은 기존과 같다. ①4년제 대학졸업 및 동등학력을 취득해야 하며 ②정보보호, 개인정보보호 또는 정보기술 경력을 합해 6년 이상을 보유해야 한다. ③그리고 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유해야 한다. 아울러 두 가지 이상 중복 업무경력은 중복해 합산하지 않으며, 신청일 기준 최근 10년 이내의 경력만 인정한다. 또한 신청일을 기준으로 취득 완료한 자격만 인정한다.
기존 인증심사원의 자격전환은 고시시행 6개월, 혹은 심사원 자격 유효기간 중 더 긴 시간을 선택해 KISA의 심사원 자격전환 과정을 신청하고 수료해야 한다. ISMS나 PIMS 자격을 모두 보유한 심사원은 1일의 신규 제도에 관한 교육만 받으면 되지만, 둘 중 하나만 보유한 심사원은 2일의 교육과 평가시험을 치러야 한다.
기존 심사원 등급도 재조정된다. 우선 기존 등급을 초기화하고 ISMS와 PIMS 심사경력을 합산한 신규등급으로 조정된다. 또한, 심사팀장만 가능했던 기존 선임심사원 등급을 초기화하고 ISMS-P 심사참여 일수로 요건을 완화한다. 책임심사원은 선임심사원이 1년간 ISMS-P 2회를 포함해 인증심사를 4회 이상해야 하며, 다음해 1년간 책임심사원으로 활동을 해야 인정이 된다.
심사원 자문료는 각 등급에 따라 차등화 됐다. 심사원보는 1일 자문료 20만원, 심사원은 30만원, 선임심사원은 35만원, 책임심사원은 45만원이 각각 책정됐다.
마지막으로 심사원 자격은 취소될 수도 있다. 고시 제16조에 따르면 거짓이나 부정한 방법으로 인증심사원 자격을 부여받거나 객관적이고 공정한 심사를 수행하지 않은 경우, 심사 시 취득한 정보와 서류를 누출 혹은 유출한 경우 자격이 취소된다. 실제로 인증심사원 자격이 정지되거나 취소된 일도 있었다고 덧붙였다.
한편, KISA는 이날 발표 자료와 함께 신규 인증기준과 개정 전 인증기준 비교표 등 자료를 KISA의 ISMS 홈페이지에 업로드 하겠다고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
