개인정보를 수집·이용(이를 “개인정보처리”라 함)하는 정보통신서비스 제공자 중 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 제47조(정보보호 관리체계의 인증)에서 규정한 조건에 해당되는 자는 의무적으로 받아야 하는 정보보안 관련 인증이 바로 ISMS 인증이다.
ISMS 인증 (정보보호 관리체계 인증) 이란?
ISMS 란 Information Security Management System 즉, “정보보호 관리체계”라고 할 수 있다. 그리고 정보보호 관리체계란 “정보처리 과정에서 발생할 수 있는 정보의 유출, 도난, 분실 등 보안사고를 예방하고 사고 발생 시 신속하고 명확하게 원인을 분석하고 대응하기 위하여 필요한 일련의 활동을 정의하고 운영하는 체계” 정도로 이해하면 된다.
ISMS 인증이란 이러한 정보보호 관리체계가 인증기준에 부합되게 수립되어 있으며 수립한 관리체계가 원활하게 운영되고 있는지를 심사하여 인증을 부여하는 제도다.
ISMS 인증은 ISMS 인증과 ISMS-P 인증 두 가지가 있다. 이를 모두 ISMS-P 인증이라고 부르기도 한다. “-P”가 붙은 ISMS-P 인증은 정보보호 관리체계를 평가함에 있어 안전한 개인정보(Privacy Information)의 수집과 이용 그리고 제공 및 파기 과정의 관리체계를 추가적으로 평가한다는 점이 다르다.
즉 정보보호 관리체계와 개인정보 관리체계를 모두 심사하는 것이 ISMS-P 인증이고 개인정보 관리체계의 심사를 받지 않는 것이 ISMS 인증이라고 보면 된다.
다만, ISMS 인증이라하여 개인정보 관점의 심사가 이루어지지 않는 것은 아니다. 다만 인증과정에서 개인정보 관점의 관리체계만 보지 않을 뿐 개인정보의 유출, 도난, 분실에 대한 위험 평가 관점의 심사는 동일하게 이루어진다.
정보통신망법 제47조에 의거하여 의무적으로 받아야하는 인증은 ISMS 인증이다.
ISMS 인증 의무 대상 기업의 선정 기준
ISMS 인증을 의무로 받아야 하는 기업은 정보통신망법 제47조에 다음과 같이 정의되어 있다.
제47조(정보보호 관리체계의 인증) ① 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계(이하 “정보보호 관리체계”라 한다)를 수립ㆍ운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다. <개정 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>
② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. <신설 2012. 2. 17., 2015. 12. 1., 2018. 12. 24., 2020. 6. 9., 2024. 1. 23.>
1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자(이하 “주요정보통신서비스 제공자”라 한다)
2. 집적정보통신시설 사업자
3. 전년도 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 전년도 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
③ 과학기술정보통신부장관은 제2항에 따라 인증을 받아야 하는 자가 과학기술정보통신부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 제1항에 따른 인증 심사의 일부를 생략할 수 있다. 이 경우 인증 심사의 세부 생략 범위에 대해서는 과학기술정보통신부장관이 정하여 고시한다. <신설 2015. 12. 1., 2017. 7. 26.>
④ 과학기술정보통신부장관은 제1항에 따른 정보보호 관리체계 인증을 위하여 관리적ㆍ기술적ㆍ물리적 보호대책을 포함한 인증기준 등 그 밖에 필요한 사항을 정하여 고시할 수 있다. <개정 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>제②항 1호에서 언급하는 전기통신사업법 제6조제1항에서 언급하는 주요정보통신서비스 제공자는 “서울 및 광역시에서 정보통신망 서비스를 제공”하는 기간통신사업자다.
그리고 제49조 (정보보호 관리체계 인증 대상자의 범위)에서 보다 구체적으로 ISMS 인증을 의무로 받아야하는 대상기업의 기준을 규정하고 있다.
제49조(정보보호 관리체계 인증 대상자의 범위) ① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다.
② 법 제47조제2항제3호에서 “대통령령으로 정하는 기준에 해당하는 자”란 다음 각 호의 어느 하나에 해당하는 자를 말한다. <개정 2016. 5. 31., 2024. 7. 23.>
1. 전년도 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자
가. 「의료법」 제3조의4에 따른 상급종합병원
나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.
3. 전년도 일일평균 이용자 수가 100만명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다. [본조신설 2012. 8. 17.] [종전 제49조는 제53조의3으로 이동 <2012. 8. 17.>]ISMS 간편인증 이란?
ISMS 인증 의무화는 2013년에 시행되었다. 그 과정에서 “정보통신서비스 부문 매출액 100억” 기준은 변함없이 유지되고 있으나 물가는 상승하고 화폐의 가치는 떨어짐에 따라 시간이 지날 수록 ISMS 인증을 받기위해 정보보안 부문에 대한 투자 및 관리체계 유지에 대한 부담을 호소하는 중소기업이 증가했다.
하지만 내부자에 의한 중요정보 및 개인정보의 유출과 침해사고에 의한 정보보안 사고는 점점 증가하고 있어 ISMS 인증 의무 대상기업 축소는 어렵지만 비용 부담을 줄여주고자 많은 시도가 있었고 그 중 하나가 바로 간편인증 제도다.
ISMS 인증 심사 시 적용되는 인증 기준은 모두 101개다. ISMS 간편인증에서는 중소기업에게 부담이 되는 위험평가 등을 포함하는 일부 인증기준을 통폐합하여 규모가 작은 중소기업에게 비용 및 인력의 투자 관점에서 부담을 줄일 수 있도록 하였다. 따라서 ISMS 간편인증 심사 시 투입되는 심사원도 1~2명 줄어들게 되었으며 심사일수도 1~2일 줄어들게 되었다. 당연히 심사를 받을 때 부담하는 비용도 경감되었다.
ISMS 간편인증을 받을 수 있는 기업
ISMS 인증 의무 대상 기업 중 간편인증을 받을 수 있도록 규정한 특례는 정보통신망법 제47조의7(정보보호 관리체계 인증의 특례)에 있다.
제47조의7(정보보호 관리체계 인증의 특례) ① 과학기술정보통신부장관은 제47조제1항 및 제2항에 따른 인증을 받으려는 자 중 다음 각 호의 어느 하나에 해당하는 자에 대하여 제47조에 따른 인증기준 및 절차 등을 완화하여 적용할 수 있다.
1. 「중소기업기본법」 제2조제2항에 따른 소기업
2. 그 밖에 정보통신서비스의 규모 및 특성 등에 따라 대통령령으로 정하는 기준에 해당하는 자
② 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 제1항에 관련된 비용 및 기술 등 필요한 지원을 할 수 있다.
③ 과학기술정보통신부장관은 제1항에 따른 인증기준 및 절차 등 그 밖에 필요한 사항을 정하여 고시할 수 있다.
[본조신설 2024. 1. 23.]일단 소기업이 그 대상이다. 소기업은 중소기업기본법 하위 시행령의 [별표 3]에 다음과 같이 업종별 매출기준으로 꼼꼼하게 규정되어 있다.
정보통신업(33.)의 경우 소기업 기준은 평균 매출액 50억원 이하다. 즉 전년도 정보통신서비스 부문 매출액은 50억원에 미치지 않지만 전년도 일일평균 이용자수가 100만명 이상이어서 ISMS 인증 의무 대상 기업에 포함되는 소기업은 ISMS 간편인증을 받을 수 있다.
다음은 두 번째인 대통령령으로 정하는 정하는 기준에 해당하는 자가 어떤 기업인지는 대통령령에 다음과 같이 규정하고 있다.
제49조의2(정보보호 관리체계 인증의 특례 대상자의 범위) ① 법 제47조의7제1항제2호에 따른 정보보호 관리체계 인증의 특례 대상은 「중소기업기본법」 제2조제2항에 따른 중기업으로서 다음 각 호의 어느 하나에 해당하는 자로 한다.
1. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 300억원 미만인 자
2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 300억원 이상인 자 중 주요 정보통신설비를 직접 설치ㆍ운영하지 않는 자로서 다음 각 목의 어느 하나에 해당하는 서비스(법 제47조제1항에 따른 인증, 「개인정보 보호법」 제32조의2제1항에 따른 인증 또는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2제1항에 따른 인증을 받은 자가 제공하는 서비스로 한정한다)를 이용하는 자
가. 호스팅서비스(인터넷 홈페이지 구축 및 웹서버 관리 등을 해주는 서비스를 말한다)
나. 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령」 제3조제2호 및 제3호에 따른 클라우드컴퓨팅서비스먼저 중기업으로서 정보통신서비스 부문 전년도 매출액이 300억원 미만인 기업은 간편인증을 받을 수 있다.
그리고 매출액은 300억원을 초과하지만 주요 정보통신설비를 직접 설치ㆍ운영하지 않는 기업은 간편인증을 받을 수 있다. 하지만 이 경우에는 조건이 있다.
먼저 개인정보 보호법 제32조의2 제1항에서 규정하고 있는 정보보호인증 즉 ISMS 인증 또는 클라우트 컴퓨팅 발전 및 이용자 보호에 관한 법률 제23조의 제1항에서 규정하고 있는 CSAP 인증을 받은 호스팅 서비스 또는 동법 시행령 제3조 제2호 및 제3호에 따른 다음의 서비스를 사용하여 정보시스템을 구축하고 있어야 한다.
제3조(클라우드컴퓨팅서비스) 법 제2조제3호에서 “대통령령으로 정하는 것”이란 다음 각 호의 어느 하나에 해당하는 서비스를 말한다.
1. 서버, 저장장치, 네트워크 등을 제공하는 서비스
2. 응용프로그램 등 소프트웨어를 제공하는 서비스
3. 응용프로그램 등 소프트웨어의 개발ㆍ배포ㆍ운영ㆍ관리 등을 위한 환경을 제공하는 서비스
4. 그 밖에 제1호부터 제3호까지의 서비스를 둘 이상 복합하는 서비스즉 주요정보통신설비를 직접 설치ㆍ운영하지 않더라도 사용하고 있는 클라우드 서비스가 위의 조건에 해당하지 않는다면 간편인증을 받을 수 없다.
ISMS 간편인증 특례 대상에서 제외되는 기업
일부 기업은 앞의 ISMS 간편인증 대상 기업 조건에 해당되더라도 간편인증을 받을 수 없도록 인증의 특례 대상에서 제외하는 기업도 있다. 관련 규정은 정보통신망법 시행령 제49조의2(정보보호 관리체계 인증의 특례 대상자의 범위) 제2항에서 확인할 수 있다.
제49조의2(정보보호 관리체계 인증의 특례 대상자의 범위)
② 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 자는 법 제47조의7제1항제2호에 따른 정보보호 관리체계 인증의 특례 대상에서 제외한다.
1. 법 제47조제2항제1호 또는 제2호에 해당하는 자
2. 제49조제2항제1호 또는 제3호에 해당하는 자
3. 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」 제2조제1호하목에 따른 가상자산사업자
4. 「전자금융거래법」 제2조제3호에 따른 금융회사
[본조신설 2024. 7. 23.]정보통신방법 제47조 제2항 제1호와 제2호에 해당하는 자는 앞에서 언급한 기간통신사업자와 집적정보통신시설 사업자다. 이들은 간편인증을 받을 수 없다.
그리고 동법 제49조제2항제1호에 해당하는 상급종합병원 및 재학생 1만명 이상의 종합대학도 간편인증의 특례 대상자에서 제외된다.
또한 제3호에 해당하는 전년도 일일평균 이용자 수가 100만명 이상인 중기업도 간편인증의 특례 대상에서 제외되며 가상자산사업자와 금융회사도 간편인증을 받을 수 없도록 간편인증 특례 대상에서 제외하고 있다.
#ISMS간편인증
답글 남기기