비슷한 보안 인증들, 상호 인정 허용된다

정부가 기업 및 기관들이 받고 있는 보안 인증 심사들 중 겹치는 항목에 대해서는 상호인정하기로 했다.

이에 따라 정보통신사업자들이 의무적으로 받아야 하는 보안인증인 정보보호관리체계(ISMS)와 방송통신위원회가 주관하는 개인정보보호관리체계(PIMS) 인증내 비슷한 심사 항목에 대해 상호인정이 허용된다.

정부의 이같은 행보는 기업들이 인증 관련 불필요한 이중부담을 떠안아왔다는 지적을 반영한 조치다. 미래창조과학부 정보보호정책과 관계자는 관련 행정 규칙은 오는 상반기 중 구체적인 협의를 거쳐 마련될 예정이다고 말했다.

업계에 따르면 ISMS와 PIMS 인증에 적용되는 심사 항목은 70% 가량 중복된다는 지적이다. 인증 2개를 모두 받아야 하는 기업과 기관들에는 적지 않은 부담이다.물론 ISMS와 PIMS는 인증을 받는 목적에선 차이가 있다. ISMS는 정보보보호를 위해 정책 및 조직 수립, 위험관리, 대책 구현, 사후관리 등 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계를 갖추고 있는지를 심사해 인증을 부여하는 것이다. 쉽게 말해 정보보호를 위한 기본적인 제반 여건을 갖추고 있는지를 확인하는 것이다.

현재 정보통신사업자, 집적정보통신시설 사업자, 정보통신서비스 부문에서 매출 100억원 이상 또는 이용자수 100만명 이상인 서비스 제공자 등에게 의무적용된다.

PIMS는 정보보호 전반 보다는 개인정보보호에 집중됐다. 개인정보를 관리하기 위한 구체적인 체계를 갖추고 있는지를 심사하는 것으로 개인정보관리과정, 개인정보보호대책, 개인정보생명주기 등에 대한 점검항목이 포함된다. ISMS와 달리 PIMS는 의무인증은 아니다. 대신 PIMS 인증을 받은 기업들이 개인정보 사고가 발생했을 경우 과징금, 과태료가 경감된다.

인증의 목표가 아니라 심사 항목으로 넘어가면 얘기가 달라진다. 현재 ISMS는 104개, PIMS는 325개 심사항목이 있다. ISMS에는 모두 정보보호대책으로 기술적, 물리적 보안조치를 취하도록 규정하고 있으며, 외부자에 대한 보안, 시스템개발 보안 등이 포함돼 있다. 해당 내용은 PIMS에 있는 기술적, 물리적 보호조치, 인적보안 등과 유사하다.