도입 첫해인 2019년 43곳, 2020년 54곳, 2021년 56곳, 2022년 64곳, 2023년 117곳 완만한 증가세
ISMS 인증 의무대상자인 ‘상급종합병원’의 93.6%가 ISMS 인증 획득 및 유지
[보안뉴스 이소미 기자] 데이터 자산 시대를 맞이하며 정보보호 및 개인정보보호에 대한 관심과 중요성은 해를 거듭할수록 더해지고 있다. 이러한 가운데 일정 요건이 되는 기관·기업들은 의무적으로 받아야 하는 보안인증 제도가 있다. 대표적인 게 한국인터넷진흥원(이하 KISA)에서 진행하는 정보보호 및 개인정보보호 관리체계 인증 제도인 ‘ISMS/ISMS-P 인증’이다. 이에 <보안뉴스>는 KISA에서 공개한 ‘ISMS-P 연도별 인증서 발급현황’을 분석해 봤다.
▲KISA의 ISMS-P 인증제[이미지=KISA]
ISMS 인증 의무 대상자는 정보통신망법 제47조 2항에 따라 △ISP, 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자(전기통신사업법 제6조제1항) △IDC 집적정보통신시설 사업자(정보통신망법 제46조) △연간 매출액·세입 1,500억원 이상인 상급종합병원(의료법 제3조의4) △직전연도 기준 재학생 수 1만명 이상인 학교(고등교육법 제2조)다. 이러한 의무대상자에 해당하는 경우, ‘ISMS’ 또는 ‘ISMS-P’ 인증 두 가지 중 하나를 기업의 업무 성격에 따라 선택해 인증받을 수 있다.
ISMS 인증은 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산을 포함하는 정보보호를 위한 기업의 조치 및 활동을 인증하는 제도다.
반면, ISMS-P 인증은 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합한지 KISA 또는 인증기관이 증명하는 제도다. 정보보호 뿐만 아니라 개인정보 처리를 위한 수집·보유·이용·제공·파기에 관여하는 개인정보처리 시스템 및 취급자를 포함한다. 이는 정보보호와 더불어 개인정보보호와 관련된 사항들까지 인증하는 더 넓은 범위의 인증이다.
지난해 ISMS/ISMS-P 제도로 인증을 취득 및 유지하고 있는 기관·기업은 총 278건으로 신규는 117건, 유지는 161건이다. 이 가운데 인증 유효기간이 임박한 경우도 포함돼 있어 해당 기관·기업은 유지를 위한 노력과 점검이 필요할 것으로 보인다.
이미 인증을 취득해 ‘갱신심사’를 통해 ‘유지’하고 있는 경우 161건을 제외한 신규 인증 취득 기관·기업은 각 그룹 계열사별로 SK는 △부산정관에너지 △원스토어 △에스케이디앤디 4곳이, 카카오 계열사는 △키즈노트 △룰루메딕 △카카오페이증권 △메타보라 4곳이, 한화 계열사는 △한화생명보험 △캐롯손해보험 2곳이 인증을 취득했다. 그 외 계열사들로 △롯데지주 △브랜드웍스코리아 △케이씨씨글라스 △이랜드월드 △농협손해보험 △아시아나IDT △나스미디어 △현대그린푸드 8곳이 취득했다.
공공기관으로는 △한국과학기술기획평가원 △한국고용정보원 2곳, 비영리법인은 △서울관광재단, 사립4년제대학교는 △부산디지털대학교, 그 외 정보통신업 47곳, 제조업 8곳, 도매 및 소매업(전자상거래) 18곳, 금융·보험업 8곳, 서비스업 10곳, 가상자산 관련업 6곳이 2023년도 처음으로 ISMS/ISMS-P 인증을 취득했다.
2023년 국내 기업 ISMS-P 인증 취득현황 가운데 본지가 주목한 인증 의무 대상자는 ‘상급종합병원’이다. 최근 국내외에서 병원 업종에서의 개인정보 유출·해킹 사례가 지속적으로 발생하고 있기 때문이다. 특히 병원은 환자 개인의 신상에 해당하는 기본 정보뿐만 아니라 병명, 진료기록, 처방약 등의 건강상태가 담긴 민감정보까지 다룬다. 정보보호뿐만 아니라 개인정보보호 역시 철저하게 관리해야 하는 기관이기도 하다.
상급종합병원은 중증질환에 대해 난이도가 높은 의료행위를 전문적으로 하는 종합병원으로, 복지부는 인력·시설·장비, 진료, 교육 등의 항목을 종합적으로 평가해 우수한 병원을 3년마다 지정한다.
▲ISMS 인증 의무대상 상급종합병원(2024~2026)[표=보안뉴스]
지난해 보건복지부는 제5기(2024~2026년) 상급종합병원으로 47곳 의료기관을 지정했다. 가톨릭대학교성빈센트병원, 건양대학교병원, 고신대학교 복음병원이 5기 상급종합병원에 추가로 지정됐다. 이와 관련해 ISMS/ISMS-P 의무대상 상급종합병원 총 47곳 가운데 올해 신규로 지정된 2곳을 제외한 45곳이 모두 ISMS 인증을 받았다고 KISA의 ISMS팀 관계자는 전했다.
다만, 대부분의 상급종합병원들이 개인정보보호 적합성까지 인증 받는 ISMS-P가 아닌 ISMS만 받은 이유에 대해 KISA 관계자는 “KISA는 인증을 취득하는 기관의 취득목적 및 용도 등을 일일이 파악할 수는 없다”면서, “상급종합병원의 경우 정보통신망법 제47조 및 동법 시행령 제49조에 따라 ISMS 인증이행 의무가 있으며 개인정보보호 부문을 추가로 인증받는 ISMS-P 인증은 자율인증이므로 ISMS만 취득한 것으로 보인다”고 설명했다.
이어 “KISA는 ISMS-P 제도를 운영하는 인증기관으로서 주무부처인 과학기술정보통신부, 개인정보보호위원회와 함께 인증의 사후관리 강화 등 정보보호 및 개인정보보호의 실효성 제고를 위해 노력할 예정”이라고 말했다.
[이소미 기자(boan4@boannews.com)]
ISMS 인증 의무대상자인 ‘상급종합병원’의 93.6%가 ISMS 인증 획득 및 유지
[보안뉴스 이소미 기자] 데이터 자산 시대를 맞이하며 정보보호 및 개인정보보호에 대한 관심과 중요성은 해를 거듭할수록 더해지고 있다. 이러한 가운데 일정 요건이 되는 기관·기업들은 의무적으로 받아야 하는 보안인증 제도가 있다. 대표적인 게 한국인터넷진흥원(이하 KISA)에서 진행하는 정보보호 및 개인정보보호 관리체계 인증 제도인 ‘ISMS/ISMS-P 인증’이다. 이에 <보안뉴스>는 KISA에서 공개한 ‘ISMS-P 연도별 인증서 발급현황’을 분석해 봤다.
▲KISA의 ISMS-P 인증제[이미지=KISA]
ISMS 인증 의무 대상자는 정보통신망법 제47조 2항에 따라 △ISP, 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자(전기통신사업법 제6조제1항) △IDC 집적정보통신시설 사업자(정보통신망법 제46조) △연간 매출액·세입 1,500억원 이상인 상급종합병원(의료법 제3조의4) △직전연도 기준 재학생 수 1만명 이상인 학교(고등교육법 제2조)다. 이러한 의무대상자에 해당하는 경우, ‘ISMS’ 또는 ‘ISMS-P’ 인증 두 가지 중 하나를 기업의 업무 성격에 따라 선택해 인증받을 수 있다.
ISMS 인증은 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산을 포함하는 정보보호를 위한 기업의 조치 및 활동을 인증하는 제도다.
반면, ISMS-P 인증은 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합한지 KISA 또는 인증기관이 증명하는 제도다. 정보보호 뿐만 아니라 개인정보 처리를 위한 수집·보유·이용·제공·파기에 관여하는 개인정보처리 시스템 및 취급자를 포함한다. 이는 정보보호와 더불어 개인정보보호와 관련된 사항들까지 인증하는 더 넓은 범위의 인증이다.
지난해 ISMS/ISMS-P 제도로 인증을 취득 및 유지하고 있는 기관·기업은 총 278건으로 신규는 117건, 유지는 161건이다. 이 가운데 인증 유효기간이 임박한 경우도 포함돼 있어 해당 기관·기업은 유지를 위한 노력과 점검이 필요할 것으로 보인다.
이미 인증을 취득해 ‘갱신심사’를 통해 ‘유지’하고 있는 경우 161건을 제외한 신규 인증 취득 기관·기업은 각 그룹 계열사별로 SK는 △부산정관에너지 △원스토어 △에스케이디앤디 4곳이, 카카오 계열사는 △키즈노트 △룰루메딕 △카카오페이증권 △메타보라 4곳이, 한화 계열사는 △한화생명보험 △캐롯손해보험 2곳이 인증을 취득했다. 그 외 계열사들로 △롯데지주 △브랜드웍스코리아 △케이씨씨글라스 △이랜드월드 △농협손해보험 △아시아나IDT △나스미디어 △현대그린푸드 8곳이 취득했다.
공공기관으로는 △한국과학기술기획평가원 △한국고용정보원 2곳, 비영리법인은 △서울관광재단, 사립4년제대학교는 △부산디지털대학교, 그 외 정보통신업 47곳, 제조업 8곳, 도매 및 소매업(전자상거래) 18곳, 금융·보험업 8곳, 서비스업 10곳, 가상자산 관련업 6곳이 2023년도 처음으로 ISMS/ISMS-P 인증을 취득했다.
2023년 국내 기업 ISMS-P 인증 취득현황 가운데 본지가 주목한 인증 의무 대상자는 ‘상급종합병원’이다. 최근 국내외에서 병원 업종에서의 개인정보 유출·해킹 사례가 지속적으로 발생하고 있기 때문이다. 특히 병원은 환자 개인의 신상에 해당하는 기본 정보뿐만 아니라 병명, 진료기록, 처방약 등의 건강상태가 담긴 민감정보까지 다룬다. 정보보호뿐만 아니라 개인정보보호 역시 철저하게 관리해야 하는 기관이기도 하다.
상급종합병원은 중증질환에 대해 난이도가 높은 의료행위를 전문적으로 하는 종합병원으로, 복지부는 인력·시설·장비, 진료, 교육 등의 항목을 종합적으로 평가해 우수한 병원을 3년마다 지정한다.
▲ISMS 인증 의무대상 상급종합병원(2024~2026)[표=보안뉴스]
지난해 보건복지부는 제5기(2024~2026년) 상급종합병원으로 47곳 의료기관을 지정했다. 가톨릭대학교성빈센트병원, 건양대학교병원, 고신대학교 복음병원이 5기 상급종합병원에 추가로 지정됐다. 이와 관련해 ISMS/ISMS-P 의무대상 상급종합병원 총 47곳 가운데 올해 신규로 지정된 2곳을 제외한 45곳이 모두 ISMS 인증을 받았다고 KISA의 ISMS팀 관계자는 전했다.
다만, 대부분의 상급종합병원들이 개인정보보호 적합성까지 인증 받는 ISMS-P가 아닌 ISMS만 받은 이유에 대해 KISA 관계자는 “KISA는 인증을 취득하는 기관의 취득목적 및 용도 등을 일일이 파악할 수는 없다”면서, “상급종합병원의 경우 정보통신망법 제47조 및 동법 시행령 제49조에 따라 ISMS 인증이행 의무가 있으며 개인정보보호 부문을 추가로 인증받는 ISMS-P 인증은 자율인증이므로 ISMS만 취득한 것으로 보인다”고 설명했다.
이어 “KISA는 ISMS-P 제도를 운영하는 인증기관으로서 주무부처인 과학기술정보통신부, 개인정보보호위원회와 함께 인증의 사후관리 강화 등 정보보호 및 개인정보보호의 실효성 제고를 위해 노력할 예정”이라고 말했다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
