• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

ISMS와 PIMS 인증 통합, 몇 가지 쟁점 들여다보니 2018.01.02

의견 수렴 거쳐 상반기 중으로 고시 제정 이후 설명회 개최
인증 심사원, 통합 제도에 맞춰 별도 교육과 시험 진행될 듯

[보안뉴스 김경애 기자] 과학기술정보통신부, 방송통신위원회, 행정안전부가 정보보호 관리체계(ISMS) 인증과 개인정보보호 관리체계(PIMS) 인증 통합 방침을 밝히면서 ISMS와 PIMS 인증과 관련해 올해 달라지는 제도에 관심이 모아지고 있다.

[이미지 = iclickart]


통합 인증 제도는 각 부처별로 법과 고시가 달라 의견 수렴을 거쳐 단일 인증으로 하자는 의견이 모아졌고, 각계 전문가들의 의견 수렴을 통해 100개 항목이 만들어졌다.

이에 따라 통합 인증과 관련해 어떤 항목들이 유사항목이 됐는지, 어떤 항목이 고유항목인지, 그리고 2017년까지 취득한 심사원 자격 유지 여부 등에 대해 궁금증이 더해지고 있다.

먼저 유사항목 기준에 대해 정부 관계자는 “기술적·관리적·물리적 보호조치 기준 내에서 통합작업이 이루어졌다”며 “이를테면 PIMS에서는 개인정보보호최고책임자를 지정해야 한다고 명시하고 있고, ISMS도 정보보호최고책임자를 지정하도록 되어 있다. 통합된 기준에서는 최고책임자 지정으로 통칭해 심사대상 기업에 따라 CISO나 CPO가 해당될 수 있다”고 설명했다.

또 다른 정부 관계자는 “PIMS와 ISMS의 유사항목은 접근권한 등 기술적 보호조치가 주로 해당되는데, 유사항목에 대한 대략의 개수만 나왔을 뿐 실무 선에서 아직 작업 중이라 정확한 세부 항목은 아직 정해진 건 없다. 어느 항목이 중복되는지 계속 논의해 봐야 한다. 초안이 잡히면 의견수렴 과정에서 자연스레 공개될 것”이라고 밝혔다.

이어 PIMS의 경우 정보 주체의 권리보장 측면에서 열람요구권, 처리중지요구권 등이 고유항목에 해당되고, ISMS는 실무작업 단계로 좀더 논의 중인 것으로 본지 취재결과 알려졌다.

특히, 심사항목이 통합될 수 없는 부분에 대해서는 향후 고시로 제정될 때까지 의견수렴 과정이 진행될 계획이다. 큰 틀에서 유사항목은 80개로 묶고, 법적인 항목과 같이 통합될 수 없는 부분은 20개로 구분되도록 방향을 잡은 것으로 드러났다. 이에 대한 세부내용이 확정되면 정부는 고시 제정에 앞서 설명회 혹은 안내서 발행 등 별도 교육을 진행할 계획이다.

다음으로 기존 PIMS와 ISMS 인증을 취득한 기업의 인증 인정 여부와 관련해서는 인증을 취득한 이후부터 유효기간까지는 기존 인증이 인정되도록 할 방침이다. 이와 관련 정부 관계자는 “PIMS와 ISMS 인증을 취득한 기업은 각각의 인증 유효기간까지는 해당 인증이 모두 인정된다”며 “다만 갱신의 경우 ISMS 취득 기업은 PIMS 항목 20개가 추가된 ISMS-P를 취득해야 하고, PIMS 인증을 취득한 기업은 기존에 ISMS 인증 기준으로 심사를 원할 경우 받으면 된다”고 말했다.

ISMS 의무 대상자의 경우 기존에 심사 받았던 ISMS 인증 범위에 맞춰 신청하면 된다. 다만 의무 대상자 목적에 맞는 범위여야 하며, 이는 기존 ISMS 인증 때와 동일하다.

일각에서는 인증 통합으로 어렵게 취득한 심사원들의 심사 기회가 줄어들 것이라는 우려도 제기되고 있다. 이에 대해 정부 관계자는 “일반적으로 ISMS 인증 심사를 받을 때 PIMS 인증도 함께 받는다”며 “기존 PIMS와 ISMS 인증 심사를 모두 받은 기업 수도 45개로 사실상 심사원이 심사를 나가는 횟수가 줄지는 않는다”고 밝혔다.

향후 통합 인증 제도의 심사원 자격 여부에도 관심이 모아지고 있다. 기존에 심사원 자격을 취득한 경우 통합된 제도 변화에 따라 추가 교육과 시험을 치러할 것으로 보인다. 이는 기존 심사원 자격은 인정되지만 교육과 시험 결과에 따라 실질적인 심사권한은 달라질 수 있다는 얘기다. 심사원 교육의 경우 아직 확정되진 않았지만, ISMS 심사원 자격만 있는 경우 PIMS 심사원 자격 부문만 추가해 전환 교육과 추가 시험을 보는 등의 방식이 논의된 것으로 알려졌다. 이에 따라 내년부터 기존 방식의 신규 심사원 양성 계획은 백지화된 상태다.

통합 인증 시행 일정과 관련해 정부 관계자는 “상반기 중으로 의견 수렴 등을 통해 통합 항목을 확정하고, 고시 작업에 들어갈 계획”이라며 “의견수렴 과정은 대략 4~5월경 쯤으로 예상하고 있으며, 고시의 경우 상반기 중으로 나오도록 노력 중이다. 심사원 전환 교육 프로그램을 만들고, 세부 점검항목과 인증제도 안내서 설명회를 진행할 계획인데, 하반기 안에는 통합 인증 제도의 윤곽이 어느 정도 잡힐 것”이라고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>