정보보호·개인정보보호관리체계(ISMS-P) 본격 시행 1년 성과가 나왔다. 정부는 정보보호 인식 개선과 수준 강화 등 소기 성과를 거뒀다고 평가했다.
과학기술정보통신부와 행정안전부, 방송통신위원회는 지난해 5월 8일부터 본격 시행된 ISMS-P 제도가 관련 기관과 기업으로부터 긍정적인 평가를 받았다고 밝혔다. ISMS-P 제도는 2018년 11월 시행됐지만 경과조치에 따라 지난해부터 본격 시행됐다.
ISMS-P 제도는 정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS) 간 중복을 제거하고 통합 인증하는 제도다. 기관과 기업은 업무 성격에 따라 ISMS-P와 ISMS 인증 가운데 하나를 선택해 받을 수 있다.
ISMS-P 통합 전에는 ISMS 104개, PIMS 86개 인증 기준이 있었다. 통합 후에는 102개 인증 기준(관리체계 16개, 정보보호대책 64개, 개인정보처리 22개)으로 간소화됐다.
이를 통해 인증 비용과 시간이 절감됐다. ISMS-P 인증을 받은 59개 기업 수수료는 총 15억7700만원으로 각각 인증을 받을 때보다 6억1000만원이 줄었다. 기업당 평균 1000만원이 절감된 셈이다.
지난해 ISMS와 ISMS-P 신청 기업을 설문조사한 결과 직원 정보보호 인식 개선과 사내 정보보호 수준 강화에 효과가 있는 것으로 확인됐다. 관리체계 구축에 따른 효과로는 직원 정보보호 인식 개선(27%)과 경영진 이해도 향상(22%) 의견이 가장 많았다. 인증 취득 효과로는 사내 정보보호 수준강화(31%)와 의무 요건 충족(29%), 고객 신뢰도 확보(23%) 순으로 나타났다.
정부는 기업이 자율적으로 개인정보를 보호하는 사회를 구축하기 위해 ISMS-P 인증 제도를 확대해나갈 계획이다. 중소기업이나 소상공인도 ISMS-P 인증을 받을 수 있도록 간이인증제도 도입도 검토하기로 했다.
ISMS-P 인증을 받으려면 한국인터넷진흥원(KISA) 홈페이지에서 서식을 내려받아 제출해야 한다. 심사기관에서 서면과 현장을 확인하고 인증위원회 심의를 거쳐 인증마크를 부여한다. 심사 과정에서 관리체계가 기준에 미치지 못하면 KISA에서 인증을 받을 수 있도록 기술 지원을 한다. 정부는 인증 받은 기관을 KISA 홈페이지에 게시한다.
오다인기자 ohdain@etnews.com