보안 분야 필수인증 ISMS-PIMS 통합..'ISMS-P' 다음달 시행

[이데일리 이재운 기자] 정보 보안 분야의 주요 정부 인증인 정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS)가 하나로 통합된다. 중복되는 요소로 이중 부담을 준다던 지적을 반영해 ISMS 인증에 개인정보 분야를 더하는 방식으로 바뀐다.

9일 과학기술정보통신부, 행정안전부, 방송통신위원회는 두 인증의 통합을 위한 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’ 전부개정안을 마련하고 오는 10일부터 행정예고한다고 밝혔다. 다음달 1일까지 의견 수렴을 진행한 뒤 최종 시행한다.

세 기관은 지난해 6월부터 통합을 위한 협의를 진행해왔다. ISMS 인증은 정보보호 관리 과정이나 보안 대책 등을, PIMS 인증은 개인정보의 수집·이용·파기 등 개인정보보호 관리체계의 적정성을 각각 심사해 인증하는 제도로, 중복되는 사항이 적지 않아 통·폐합 논의가 이어져왔다. 이어 지난해 말 통합방안을 마련한 이후 실무협의를 거쳐 이번에 최종안을 마련했다.

통합 인증제도의 명칭은 ‘정보보호 및 개인정보보호 관리체계(ISMS-P) 인증’이다. 개정안은 기업들이 느끼는 중복 부담을 완화하기 위해 인증체계, 인증기준, 인증·심사기관 등 인증제도 전반의 실질적인 통합을 이루는데 중점을 뒀다.

구체적인 내용을 보면 우선 기존 ISMS 인증기준(104개)과 PIMS 인증기준(86개)의 유사·중복 항목을 통합하고, 최신 보안요구사항을 반영해 102개 기준 체계를 마련했다. 인증 신청자는 정보보호 관련 80개 인증항목으로 기본적인 ISMS 인증을 받을 수 있고, 여기에 개인정보 관련 22개 인증항목을 추가하면 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’ 인증을 받을 수 있다. ISMS에 개인정보 관련 규정을 추가로 인증하는 형태다.

또 인증 신청인이 고시 시행 후 6개월까지는 개정 이전의 인증기준에 따라 신청을 할 수 있게 하고, 기존 기준에 따라 인증을 취득한 경우에는 인증 유효기간까지 기존 인증기준으로 사후심사를 받을 수 있게 했다.

인증기관과 심사기관에 대해서는 기존 지정한 유효기간까지는 기존 인증기준으로 인증 및 심사를 수행할 수 있도록 하고, 심사원도 자격유효기간(3년)까지 기존 인증기준으로 심사할 수 있도록 했다.

새로운 인증 기준에 따른 심사원의 자격 요건을 통합하고, 기존 유효기간 이후에는 전환교육을 받은 뒤 계속 심사원으로 일할 수 있게 했다.

또 인증 심사과정에서 결함을 발견한 경우 기존에는 시정기간이 90일이었으나 이를 최대 100일로 연장해 보완 조치를 보다 내실있게 할 수 있도록 규정을 정비했다.

과기정통부와 행안부, 방통위는 ‘협의회’를 구성해 인증기관과 심사기관 선정을 비롯한 제도 전반에 대한 정책 결정·관리를 공동 처리한다.

세 기관은 “이번 인증제도 통합을 위한 고시 개정안은 기업부담 경감을 위한 부처간 협력을 통해 마련된 것”이라며 “기업들의 인증에 대한 비용과 시간 등이 절감됨과 동시에 정보보호 및 개인정보 관리의 전반적인 수준 향상에 기여할 것으로 기대된다”고 설명했다.