유출 핵심 관리 부실·중대 결함 땐 ISMS·ISMS-P 취소 기준 마련
(서울=연합뉴스) 조성미 기자 = 과학기술정보통신부와 개인정보보호위원회는 29일 한국인터넷진흥원, 금융보안원 등 인증 관련 기관 및 민간 전문가와 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 취소 기준을 논의했다고 밝혔다.
인증 대상 기업이 외부 인터넷 접점 자산 식별, 접근 권한, 보안 패치 등 실제 사고와 밀접하게 연관되는 핵심 항목을 제대로 관리하는지 연 1회 사후 심사를 통해 집중적으로 점검하기로 했다.
점검에서 지적된 사후 관리 사항을 이행하지 않거나 거부할 경우, 자료 미제출 또는 허위 제출 시 인증을 취소한다.
점검 결과 중대한 결함이 발견된 경우에도 인증위원회의 심의를 거쳐 인증을 취소하기로 했다.
인증 기업이 개인정보 보호법 위반으로 과징금 등의 처분을 받은 경우 위반 행위의 중대성을 따져 인증을 취소한다.
특히 1천만명 이상의 피해 발생, 반복적 법 위반, 고의·중과실 위반행위로 사회적 영향이 큰 경우에는 원칙적으로 인증을 취소한다는 방침이다.
정보통신망법을 위반하고 그 행위가 중대한 경우에도 인증을 취소할 수 있도록 법 개정이 추진 중이다.
다만, 인증 취소 이후 1년간 재신청 유예기간을 둬서 실질적인 보안 개선이 이루어지도록 유도하고 해당 기간에는 인증 의무 미이행에 따른 과태료를 면제한다.
아울러 인증 취득 의무 대상이 아닌 기업의 경우에도 지속적인 관리 체계 구축을 목표로 인증 재취득을 권고하기로 했다.
csm@yna.co.kr
Copyright ⓒ 연합뉴스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
