'중복 인증' 기업부담 줄인다…ISMS-P 인증제도 고시 개정

[아시아경제 조슬기나 기자] 개인정보보호위원회는 28일 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(ISMS-P 인증고시) 일부개정안을 공포했다. 인증 대상기업의 부담은 줄이면서, 개인정보 및 정보보안의 내실은 높이는 방향으로 제도를 개선한 것이 골자다.

‘ISMS-P 인증’이란 기업이 자체적으로 수립·운영하는 정보보호 및 개인정보보호 관리체계가 적합한 지 여부를 인증하는 국가인증 제도다. 11월 말을 기준으로 830개 기업이 인증을 받았다.

개정안은 현장에서 지속적으로 개선을 요구한 유사?중복점검 해소, 심사기관 지정공고 절차 개선, 인증·심사기관에 대한 사후관리 강화, 신기술변화에 대응하기 위한 분야별 세부점검 항목 마련 등에 중점을 뒀다. 이번 고시 개정으로 앞으로 ISMS-P 인증을 획득한 수탁회사는 위탁회사들이 ISMS-P 인증심사를 받을 때마다 반복되던 현장점검을 면제받을 수 있게 됐다.

먼저 ISMS-P 인증을 취득한 수탁회사는 위탁회사가 인증심사를 받더라도 추가적인 현장점검을 받지 않아도 된다. 그간 기업들은 유효기간 3년 중 연 1회 이상 인증심사를 받아야해 수탁회사들까지 반복적으로 현장점검을 받는 부담이 컸다. 앞으로는 3개의 위탁 고객사를 둔 택배업체의 경우 1번의 인증심사를 받으면 각각의 고객사들이 인증심사를 받을 때마다 추가적인 현장 심사를 받지 않아도 된다.

또한 별도의 공고를 통한 기간에만 실시하던 심사기관 지정 공고 절차를 개선해, 심사기관으로 지정받고자 하는 기관은 언제든지 신청할 수 있도록 했다. 이를 통해 전문성과 역량을 갖춘 심사기관 확대와 함께 인증수요 증가에 적극적으로 대처할 수 있을 것으로 기대된다.

아울러 인증·심사기관의 사후관리 강화 방안으로 인증·심사기관이 지정기준에 적합한 지에 대한 현장실사를 하고, 미흡 사항에 대해 시정조치 명령을 내릴 수 있게 된다. 인증·심사기관이 지정 취소 또는 업무 정지 명령을 받은 경우, 이 사실을 관보 또는 홈페이지(개인정보위 또는 과기정통부)에 공고하도록 하는 근거도 신설한다. 이는 심사기관에 대한 관리감독 체계를 강화함으로써, 심사기관별로 제각각인 심사품질을 상향 평준화시킬 것으로 기대된다.

신종철 개인정보위 자율보호정책과장은 “ISMS-P 인증제도 개선으로 기업 부담은 줄이면서, 인증제도의 내실을 다질 수 있게 됐다”며, “많은 기업들이 개인정보보호에 관심을 갖고 자율적으로 ISMS-P 인증을 획득해 기업 활동에 도움이 되고, 국민 체감도 높일 수 있도록 해당 제도를 과학기술정보통신부와 함께 지속적으로 개선 발전시킬 것”이라고 말했다.