기업의 정보보호관리 수준 향상을 위하여 소관 기관인 한국인터넷진흥원(이하 “KISA”)은 최근 4월부터 정보보호 관리체계 인증(이하 “ISMS 인증”) 의무대상자로 신규 지정된 사업자 및 갱신 또는 사후 인증 대상 사업자에게 순차적으로 통보하고 있어 참고하실 수 있도록 아래 내용을 전달 드립니다.

‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 “정보통신망법”)에 따른 ISMS 인증은 기업의 선택 사항이나, 일정한 정보통신서비스제공자의 경우에는 인증을 받도록 의무로 규정하고 있습니다.

구체적으로 살펴보면, (1) 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 기간통신사업자, (2) 데이터센터 서비스를 제공하는 직접정보통신시설 사업자, (3) 매출 또는 세입이 1,500억 원 이상인 종합병원과 학교, 그리고 (4) 그 외 부가통신사업자 등 정보통신서비스 사업자 중에서도 정보통신서비스 부문 전 사업연도 매출액이 100억 원 이상인지에 관한 기준(이하 “매출액 기준”)과 정보통신서비스의 전년도 말 기준 직전 3개월간의 일일 평균 이용자 수가 100만 명 이상인지에 관한 기준(이하 “이용자 기준”) 중 하나를 만족하는 정보통신서비스제공자의 경우 정보통신망법상 ISMS 인증 의무대상자가 됩니다(정보통신망법 제47조 제2항, 동법 시행령 제49조 제1항 및 2항). 

공문 형태의 KISA 통보를 통하여 ISMS 인증 의무대상자로 신규 지정되거나 갱신 또는 사후 인증 대상 사업자로 지정될 경우, 안내된 일정 기간 내에 ISMS 인증을 받아야 하는 의무가 부과 되면, 이를 준수하지 않을 경우 과태료 처분을 부과 받을 수 있습니다. 각 기업에서는 위 관련 기준(가령, 정보통신서비스제공자로 매출액 기준, 이용자 기준 등 요건을 충족하지 않는 경우 등)에 해당하지 않는다면, 이와 같은 특수한 사실관계 등을 소명하는 의무대상자 제외 의견서를 제출하여 ISMS 인증 의무 지정을 철회할 것을 요청하는 방안을 검토할 필요가 있습니다.