과학기술정보통신부와 개인정보보호위원회는 2025. 12. 6. 정보보호관리체계(ISMS) 인증, 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받은 기업에서 해킹, 대규모 개인정보 유출사고가 반복 발생함에 따라, 인증 실효성 강화를 위한 제도의 전면적 개편 방안을 추진한다고 발표하였습니다.
정부가 밝힌 주요 개편 방향은 크게 ① 기존 자율적으로 운영되던 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템(주요 공공시스템, 통신사, 온라인 플랫폼 등)에 대하여 의무화하고, ② 통신사, 대규모 플랫폼 등 국민 파급력이 큰 기업에 대해 강화된 인증기준을 적용하며, ③ 예비심사 단계에서 핵심항목을 선(先) 검증하고, 기술심사 및 현장실증 심사를 강화하는 등 심사방식을 전면 개선하고, ④ 사후관리를 대폭 강화하는 방향으로 구성되어 있습니다. 정부는 이를 위하여 개인정보 보호법 및 정보통신망법 개정을 조속히 추진할 예정입니다.
심사방식 강화방안 주요내용(안)[1]
|
구분 |
기존 |
개선 |
|
인증신청 |
관리체계 운영명세서 |
관리체계 운영명세서 + 인증범위 자산현황 추가 |
|
예비심사 |
심사팀장 1인 방문 (1일) |
① 핵심항목 先 검증, |
|
핵심항목 미충족 → 본심사 불가 → (최초인증) 신청 반려, (사후심사) 인증효력 취소 |
||
|
본심사 |
서면위주, 샘플링 점검 (5일) |
서면점검 + ③ 코어시스템 중심 현장실증형 심사 |
|
사후심사 |
심사팀장 1인 방문 (1일) |
사팀장 1인 + 결함발생 수준별 심사인력 추가 투입 |
정부는 ④ 사후관리 강화와 관련하여, 인증기업의 유출사고 발생 시 적시에 특별 사후심사를 실시하여 인증기준 충족 여부를 확인할 수 있도록 하고, 사후심사 과정에서 인증기준의 중대 결함이 발견되는 경우 인증위원회의 심의∙의결을 거쳐 인증을 취소할 예정입니다. 아울러 사고기업에 대해서는 사후심사 투입 인력·기간을 2배로 확대하고, 사고원인 및 재발방지 조치를 집중 점검한다는 입장입니다.
특히 개인정보보호위원회는 유출사고가 발생한 인증기업에 대해 이번 달부터 현장 점검을 실시할 예정이며, 현재 조사가 진행 중인 기업의 경우 과학기술정보통신부 민관합동조사단 및 개인정보보호위원회 조사와 연계하여 인증기관(KISA, 금융보안원) 주관으로 인증기준 적합성 등에 대하여 점검할 예정입니다.
한편, 과학기술정보통신부는 최근 통신, 온라인쇼핑몰 등 900여개 ISMS 인증기업들을 대상으로 모든 인터넷 접점에 대한 보안 취약점 점검 등 긴급 자체 점검을 실시하도록 요청한 바 있는데, 기업들의 점검 결과에 대하여 내년 초부터 현장 검증을 실시할 예정이라고 밝힌 바 있습니다.
정부의 정보보호 및 개인정보보호 관리체계 인증 제도 개편 방안에 맞추어 위 인증을 취득하려 계획하시거나 사후 심사를 앞둔 기업 혹은 과학기술정보통신부로부터 긴급 자체 점검 실시를 요청 받으신 기업의 경우 개인정보 안전관리체계를 법령에 맞게 잘 갖추고 있는지 등을 철저히 점검하시기 바랍니다.
