기업 정보보호 상태를 가늠하는 ‘정보보호 준비도 평가’가 본격 시행된다.
한국정보방송통신대연합은 29일 서울 역삼동 한국기술센터에서 정보보호 준비도 평가 출범식을 하고 인증을 시작한다고 밝혔다.
정보보호 준비도 평가는 기업이 자발적으로 시행하는 정보보호 검진이다. 개인이 건강검진을 하듯 기업 내 정보보호 수준을 진단하고 평가한다. 기존 정보보호 인증제도는 ICT업종과 대기업 중심으로 정작 정보보호 노력이 필요한 중소기업은 높은 비용 때문에 적절한 평가를 받지 못했다.
정보보호 준비도 평가는 기존 인증제도보다 간소한 기준과 심사로 기업 부담을 낮췄다. 기업 시스템 해킹이나 개인정보 유출 등 위협 요소를 제거하는 사전 컨설팅이다. 협력사를 대상으로 평가해 정보보호 수준을 파악하고 정보유출이나 해킹 위험에 대비할 수 있다. 평가 대상은 개인정보를 취급하는 통신, 포털, 의료, 금융 기업에서 정보보호 사각지대에 놓인 비ICT기업까지 모두 포함된다.
인증기관은 한국정보방송통신대연합이며 평가기관은 한국침해사고대응팀협의회(CONCERT), 한국정보통신진흥협회(KAIT), 한국정보통신기술협회(TTA)다.
평가기관은 정보보호 정책, 경영, 의사결정 구조와 보안 투자, 인력조직 등 필수적 보안 인프라를 평가한다. 관리적, 물리적, 기술적 정보보호 조치 현황과 체계적인 보안 활동 수행 여부도 포함된다. 개인정보보호법과 정보통신망법에서 규정하는 개인정보보호 필수 항목에 대한 준수 여부도 평가한다.
평가등급은 AAA(최적의 보안관리 활동 수행), AA(체계적인 보안관리 활동 수행), A(요구되는 보안관리 활동 수행), BB(적정한 보안관리 활동 수행), B(기본적인 보안관리 활동 수행) 등 5단계로 구분한다. 개인정보보호는 선택 지료로 선택한 기업만 평가하며 세부 평가 지표를 만족하면 인증마크에 ‘P’를 표기한다.
김민천 한국정보방송통신대연합 차장은 “올해 말까지 신청하는 중소기업에 한해 수수료를 일시적으로 할인할 예정”이라며 “기업이 자발적으로 정보보호 역량을 높이는 노력과 투자를 이끄는 제도”라고 설명했다.
정보보호 관련 인증제도 비교
김인순기자 insoon@etnews.com