윤종인 개인정보보호위원회 위원장이 23일 오전 서울 종로구 정부서울청사에서 열린 제9회 개인정보보호위원회 전체회의에 참석해 발언하고 있다. 2020.12.23/뉴스1 © News1 송원영 기자

개인정보보호위원회는 지난 23일 제9회 전체회의에서 의결한 '정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시'(이하 'ISMS-P 인증 고시') 일부개정안을 공포했다고 28일 밝혔다.

이번 고시 개정으로 앞으로 ISMS-P 인증을 획득한 수탁회사는 위탁회사들이 ISMS-P 인증심사를 받을 때마다 반복되던 현장점검을 면제받을 수 있다.ISMS-P 인증이란 기업이 자체적으로 수립‧운영하는 정보보호·개인정보보호 관리체계가 적합한지 인증하는 국가인증 제도다. 정보보호·개인정보보호에 관련한 총 102개 항목을 심사하며, 한국인터넷진흥원과 금융보안원이 인증기관으로 참여한다.

기업체가 ISMS-P 인증을 받으면 정보보호·개인정보보호 수준을 공식적으로 인정받았다는 의미가 있어 인터넷 포털기업이나 온라인 쇼핑몰 운영기업이 주로 해당 인증을 받고 있다. 올해 11월 말 기준 830개 기업이 인증을 받았다.

이번 고시 개정을 통해  ISMS-P 인증 대상기업의 부담은 줄이고 개인정보 및 정보보안의 내실은 높였다. 우선 ISMS-P 인증을 취득한 수탁회사는 위탁회사가 인증심사를 받더라도 추가적인 현장점검을 받지 않아도 된다. 현행 인증을 받은 기업은 인증의 사후관리를 위해 유효기간 3년 중 연 1회 이상 인증심사를 받아야 한다.

이와 관련해 위탁회사들이 ISMS-P 인증 심사를 받을 때마다 인증심사 범위에 포함된 수탁회사(콜센터, 택배회사 등)도 반복적으로 현장점검을 받아야 했다. 앞으로는 3개의 위탁 고객사를 둔 택배업체의 경우 한 번의 인증심사를 받으면 각각의 고객사가 인증심사를 받을 때마다 추가적인 현장 심사를 받지 않아도 된다.

또 심사기관으로 지정받고자 하는 기관은 언제든지 신청할 수 있도록 해 심사기관 준비에 대한 부담을 낮춘다.

심사기관마다 제각각이던 심사품질 문제 등을 개선하기 위한 인증‧심사기관의 사후관리 강화 방안으로 인증‧심사기관이 지정기준에 적합한지 현장실사를 하고, 미흡 사항에 대해 시정조치 명령도 내릴 수 있게 된다.

아울러 인증‧심사기관이 지정 취소 또는 업무 정지 명령을 받은 경우, 이 사실을 관보 또는 홈페이지(개인정보위 또는 과기정통부)에 공고하도록 하는 근거를 신설한다.


jupy@news1.kr