개인정보보호위원회와 과학기술정보통신부는 2025. 12. 29. 한국인터넷진흥원, 금융보안원 등 인증기관 및 민간 전문가들로 구성된 인증위원회와 함께 ‘정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의’를 개최하였습니다.
이번 대책회의는 지난 12월 6일 개최된 ‘ISMS·ISMS-P 인증제 개선 관계기관 대책회의’의 후속 조치로서, 최근 ISMS-P 인증기업의 사이버침해 및 개인정보 유출사고 빈발에 따라 사후관리의 엄격성을 높여야 한다는 목소리를 반영한 것입니다. 주요 논의 사항은 다음과 같습니다.
|
1. |
사후심사 시 핵심항목 집중 점검 |
|
2. |
개인정보 보호법 위반 시 인증 취소 기준 |
-
1천만명 이상의 피해 발생
-
반복적 법 위반
-
고의·중과실 위반행위로 사회적 영향이 큰 경우
한편, 정보통신망법에서도 망법 등을 위반하고 그 행위가 중대한 경우 인증 취소할 수 있도록 법 개정이 진행 중이며, 개정 완료 시 관련 세부기준이 수립될 예정입니다.
|
3. |
인증 취소 이후 관리 방안 |
|
구분 |
내용 |
|
의무대상 기업 |
취소 이후 1년간 재신청 유예기간 부여, 해당 기간 인증의무 미이행 과태료 면제 |
|
비의무대상 기업 |
지속적 관리체계 구축을 위해 인증 재취득 권고 |
|
4. |
ISMS-P 의무화 관련 동향 |
시사점
이번 대책회의를 통해 ISMS·ISMS-P 인증의 사후관리가 대폭 강화될 것으로 예상됩니다. 특히 사이버침해 또는 개인정보 유출사고 발생 시 핵심항목의 중대 결함 여부에 따라 인증이 취소될 수 있고, 개인정보 보호법 위반으로 과징금 등 처분을 받은 경우에도 인증 취소 대상이 될 수 있으므로, ISMS·ISMS-P 인증을 보유한 기업은 인증기준 준수 여부를 면밀히 점검하고 보안 관리체계를 강화할 필요가 있겠습니다.
[영문] PIPC and MSIT Clarify Standards for ISMS/ISMS-P Certification Revocation
관련 이슈
