Q. 보안관련 국내외 다양한 인증이 존재하고 있습니다. 유사인증 획득 후, 다른 인증 추진 시 가점 혹은 부분면제가 가능할까요?

A-1. 국내 보안관련 인증제도 간 통합 또는 부분면제 방안을 이미 마련 중에 있습니다. 다만 ISO-27001 등 국제 정보보호 인증과의 상호 인정은 몇 가지 측면에서 어려운 점이 있습니다.

우선 ISMS, PIMS, PIPL 등 국내 보안관련 인증제도는 모두 법정제도로서 IT 및 정보보호 관련 국내 법, 제도, 환경 등을 반영하고 있어 일반적인 기준을 적용하고 있는 국제 인증과 상호 인정은 내용적인 측면에서 적절치 않습니다. 또한, ISO 인증은 이미 글로벌 비즈니스화된 영역으로, 국내 인증제도와의 상호인정 추진은 민간 부문의 사업권을 침해할 우려가 있습니다.

(지상호 한국인터넷진흥원 팀장/jsh@kisa.or.kr)

A-2. 국내·외 정보보호 및 개인정보보호관리 인증제도는 대표적으로 정보보호 관리체계(ISMS) 인증, 개인정보보호 관리체계(PIMS) 인증, 개인정보보호(PIPL) 인증, ISO27001 인증이 있습니다. 현재까지는 이들 제도 간 공통 심사영역을 면제해주는 상호인정 제도를 시행하고 있지 않습니다.

다만 동일한 인증기관(KISA)이 운영하고 있는 정보보호 관리체계(ISMS) 인증, 개인정보보호 관리체계(PIMS) 인증의 경우 인증을 받으려고 하는 기업이 같은 범위로 2개의 인증을 동시 신청하게 되면 통합심사 수행을 통해 일정부분 수수료 감면 및 심사기간을 단축하여 2개의 인증을 발급해 주고 있습니다. 정보보호 관리체계(ISMS) 인증, 개인정보보호관리체계(PIMS) 인증, 개인정보보호(PIPL) 인증 간에는 각 소관부처에서 상호인정방안 마련을 위한협의를 진행하고는 있으나 그 적용 시점은 미정입니다.

또한 최근 국무총리 주재 제330차 규제개혁위원회(2014.8.5)에서 ‘범부처 인증제도 개선방안’을 확정하고 2017년까지 방송통신위원회의 개인정보보호 관리체계(PIMS) 인증과 안전행정부의 개인정정보보호(PIPL) 인증을 ‘개인정보보호관리 인증’으로 통합하겠다고 발표한 바 있어 통합추진 과정을 지켜볼 필요가 있을 것 같습니다.

국내 로컬 인증(ISMS, PIMS, PIPL)과 ISO27001 인증 간 상호인정은 서로 간의 인증체계(인정기관, 인증기관, 인증심사원)가 매우 상이하고 상호인정 주체가 국가별로 다양하여 현실적으로 상호인정 추진이 어려우며 그 전망 또한 그다지 밝지 않다고 할 수 있습니다.

(고규만 금융보안연구원 책임연구원 /kmko@fsa.or.kr)

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>