경영진 책임·조직 구성 강화·최신기술·보안사고 반영 등 항목 추가
감사 영역 중심으로 유사항목 통합, 실효성 미흡 항목 등 삭제

[보안뉴스 김경애] 올해까지 서울특별시 및 모든 광역시에 정보통신망 서비스를 제공하는 사업자, 직접정보통신시설(IDC)사업자, 전년도 정보통신서비스부문 매출액 100억원 이상 또는 3개월 평균 일일 이용자 수 100만 명 이상인 사업자, IDC 시설을 임대해 사용하는 매출액 100억원 이상 또는 이용자 수 100만 명 이상사업자는 의무적으로 ISMS 인증을 취득해야 한다.

그러나 ISMS 인증에 대한 실효성 문제가 제기되면서 일부 항목이 신설 및 통합돼 내년부터는 137개에서 104개로 정리된다. 이에 따라 내년부터 ISMS 인증을 취득하고자 하는 기업은 조정된 항목에 맞춰 준비해야 한다. 단, 올해 ISMS 인증 취득을 목표로 준비해온 기업들은 기존 기준으로 준비할 수 있으며, 현재 심사를 받기 위해 준비중인 기업 대부분은 새롭게 적용되는 ISMS 인증 취득 기준으로 준비하고 있다.

이 가운데 내년부터 변경되는 ISMS 인증의 신규 항목은 총 14개로 △예산 및 인력 지원, 의사결정 참여 등 경영진의 책임강화 △정보보호책임자 의무지정 등 조직 구성 강화 △외주개발 보안, 스마트워크 보안 등 최신 기술 및 보안사고와 관련된 항목이 새롭게 추가됐다.

또한, 128개에서 90개로 항목이 통합 또는 삭제된 가운데 통합 항목은 △업무연속성관리  △물리적 보안 △전자거래 보안 △검토·모니터링 및 감사 영역 중심으로 중복 또는 유사항목이 통합됐다. 삭제 항목은 9개로 △적격심사 △물리적 위치 및 구조조건 △입력데이터·내부처리·출력데이터 검증 등의 항목이 실효성 미흡으로 삭제됐다.

이 밖에 인증심사원 자격요건도 변경됐다. 인증심사원 법적근거(영 제53조, 고시 9조)에 의해 심사원보, 심사원, 선임심사원으로 구분하고, 인증심사원 양성 교육은 5일 40시간으로 조정됐다. 학력 및 경력 요건은 대학졸업 및 IT 경력 6년 이상(2년 이상 정보보호 경력 포함)이어야 하며, 이전 KISA에서 내부규정에 따라 위촉한 심사원은 개정 고시(고시 부칙 제2조)에 의해 심사원 자격이 인정된다.

민간 인증기관에 대해서는 지정요건이 완화됐다. 인증심사원 보유 인원은 기존 10명에서 5명으로 줄었고, 인증기관은 ISMS와 관련해 컨설팅 수행이 제한되는 내용도 포함됐다. 또한, 방통위에서 민간 인증기관 지정이 필요한 경우에는 공모에 의한 방식으로 지정될 수 있다.

이러한 ISMS 인증 기준 변경과 관련해서는 ISMS&PIMS 포럼이 주최한 ‘정보보호관리체계인증 및 보안대책 마련을 위한 전략 세미나’에서 주로 논의됐다. 미래창조과학부가 지원하는 ‘전문 중소기업 SW 포럼’중 하나인 ‘ISMS&PIMS 포럼’은 140개 포럼 가운데 서류 및 PT심사를 거쳐 선발됐다. 

이렇게 선발된 ‘ISMS&PIMS 포럼’은 유와이즈원, 웨어밸리, 이스트소프트, 드림시큐리티, 시큐에이스, 에스지엔, 채울 등 7개 보안업체가 참여해 기업의 정보보안담당자들에게 ISMS 및 PIMS인증 취득과 관련 규정을 제대로 알리기 위해 발족됐다. 

특히, 이날 포럼에 참가한 기업의 보안담당자들은 변경된 ISMS기준에 대해 높은 관심을 보이며, 각 기업 특성에 맞춰 어떻게 대응해야 할지 문의가 이어졌다. 이에 따라 한 달에 한번씩 진행될 예정인 ‘ISMS&PIMS 포럼’의 향후 활동에 관심이 모아지고 있다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>