본문 바로가기
KO EN JP CN
지식재산권 사회공헌 인재채용
메뉴
지식재산권 인재채용 사회공헌위원회 재단법인 나은
사무소 위치 연락처
레이어 닫기
검색
뉴스레터

온라인 서비스 제공자의 정보보호 관리체계 인증(ISMS) 의무 관련

2024.08.22
Audio 프린트

본 뉴스레터는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 “정보통신망법”)에 따른 정보보호 관리체계(이하 “ISMS”) 인증의 의미, 인증 취득 대상 법인, 타임라인 등 관련 기업의 검토 및 결정에 필요한 주요사항에 관하여 설명 드리고자 합니다.
 

1.

ISMS 인증이란?

ISMS 인증이란 기업의 IT 관리체계가 정보통신망법에 따라 요구되는 수준의 안정성, 보안, 신뢰성을 갖추고 있음을 인증하는 제도입니다. 한국인터넷진흥원 등이 인증기관으로서 인증을 발급하며, 한국정보통신진흥협회 등 심사기관이 인증 신청 기업의 기술적, 행정적, 물리적 보안 조치에 대한 인증심사를 실시합니다.
 

2.

ISMS 인증 의무 대상자

정보통신망서비스 제공자, 집적정보통신시설 사업자, 병원 및 학교를 비롯하여 국내에서 정보통신서비스를 제공하는 국내외 기업이라면 누구든지 ISMS 인증을 취득할 수 있습니다. 다만, 다음의 조건 중 하나라도 해당하는 기업은 모두 ISMS 인증을 취득해야 합니다.
 

  • 직전 회계연도 기준 정보통신서비스 이용 매출액(예: 전자상거래업)이 100억 원(약 762만 달러) 이상인 기업, 혹은

  • 직전 회계연도 기준 자사 정보통신서비스의 일일 이용자수가 평균 100만 명 이상인 기업
     

정보통신서비스 이용 매출액에는 소매(B2C) 매출액뿐 아니라 법인 간 거래(B2B) 매출액도 포함됩니다.
 

3.

기한 및 기간

ISMS 인증 의무 대상자에 해당하는 기업은 인증 의무 부과 기준을 충족한 날의 다음 해 8월 31일까지 ISMS 인증을 취득해야 합니다. 예를 들어, 회계연도가 11월부터 10월인 기업이 2023년 11월부터 2024년 10월까지의 기간 동안 상기 매출액 기준을 충족하는 경우, 해당 기업은 2025년 8월 31일까지 ISMS 인증을 반드시 취득해야 합니다.

다국적 기업 대상 인증 절차는 일반적으로 인증 승인 준비를 시작한 때부터 최소 9개월에서 10개월이 소요됩니다. 인증 절차 상 번역이 필요할 뿐만 아니라, 국내 지사 및 해외 본사 인력 간 긴밀한 내부 조율이 필요하기 때문입니다. 또한 다국적 기업은 국내 법률 요건에 따라 IT 체계를 변경해야 하는 경우도 있어, ISMS 인증 준비 및 신청에 어려움을 겪고 인증 절차에 오랜 시간이 소요되는 경우가 많습니다.
 

4.

처벌 및 리스크

ISMS 인증 의무 대상자가 기한 내 ISMS 인증을 취득하지 않을 경우, 1차 위반자라도 시정명령 및(혹은) 3천만 원(약 2만 3천달러) 이하의 과태료가 부과될 수 있습니다. 또한 이러한 과태료는 일회성에 그치지 않고, 인증을 취득할 때까지 매년 같은 금액으로 부과될 수 있습니다. 또한 기업의 평판을 위태롭게 하고 브랜드 가치를 실추시킬 수도 있습니다.

더욱 중요한 것은 개인정보 침해나 유출이 발생할 경우, 이러한 위반사항으로 인해 개인정보 침해 및 유출에 관한 조사가 더욱 까다로워질 수 있으며, 손해배상에 관한 소송이 진행될 경우 과실이 보다 쉽게 인정될 소지가 큽니다.
 

5.

ISMS-P 인증이란?

ISMS-P 인증은 ISMS와 개인정보 관리체계 인증을 단일 심사 절차로 통합한 인증입니다. 기업에서는 본 인증을 취득함으로써 정보통신망법 및 개인정보 보호법에서 요구하는 정보보호 및 개인정보 보호 기준을 준수하고 있음을 증명할 수 있습니다.

ISMS 인증 의무 대상자는 자율적으로 ISMS 인증 대신 ISMS-P 인증을 취득할 수 있습니다. 즉, 기업들은 필요에 따라 인증 범위를 조정할 수 있으며, 심사 및 인증 역시 각 기업이 지정한 범위로 한정됩니다.

한국인터넷진흥원이 발표한 통계에 따르면, ISMS 인증 신청자 가운데 25%가 자발적으로 ISMS-P 인증도 함께 신청한 것으로 확인되며, 특히 최근에는 ISMS-P에 대한 관심 및 취득 비율이 더욱 높아지고 있는 것으로 보입니다.
 

6.

예상되는 혜택

각 기업은 ISMS 혹은 ISMS-P 인증을 취득함으로써 기업의 정보 보호 및 개인정보 보호 조치에 대한 신뢰도를 제고하고, 잠재적인 법률, 규제, 준법 리스크를 경감할 수 있을 것으로 사료됩니다.

특히 ISMS-P 인증은 인증 취득 기업이 관련 법령을 준수하고 있다는 신뢰도 높은 증거가 되므로, ISMS-P 인증 기업은 개인정보 침해나 유출 발생 시 최대 40%까지 과태료를 감경 받을 수 있고, 과징금에 대해서도 50% 감경을 받을 수 있습니다. 최근 개인정보보호위원회가 부과하는 과징금이 현격하게 증가하고 있는 추세를 고려하면(예를 들어, 올해 5월 개인정보보호위원회는 한 인터넷 서비스 사업자에게 151억 4,196만 원(약 1,160만 1천달러)의 과징금을 부과한 바 있음), ISMS-P 인증을 취득함으로써 재정적 및 사업적 리스크를 최소화할 수 있을 것으로 판단됩니다.

또한 본 인증 신청을 통해 각 기업은 현행 개인정보의 수집 및 처리 체계를 철저하게 검토하고, 변화하는 국내 개인정보 관련 법령을 준수하기 위한 토대를 마련할 수 있을 것입니다.

 

[영문] Information Security-Related Certification Requirement for Companies Doing On-Line Business in Korea

관련 이슈

#ISMS #정보보호 관리체계 인증 #ISMS-P

목록

공유하기

레이어 닫기

관련 구성원

레이어 닫기

관련 구성원

레이어 닫기