보안 심사

ISMS-P는 기업이나 기관이 수립·운영하는 정보보호 및 개인정보보호 관리체계가 적합한지 인증하는 제도다. 인증 기준은 크게 세 가지 분야로 구성된다.

• 관리체계 수립 및 운영 (16개 항목): 관리체계 기반 마련, 위험 관리, 운영, 점검 및 개선
• 보호대책 요구사항 (64개 항목): 정책, 조직, 자산 관리, 인적 보안, 물리 보안, 접근 통제, 암호화 적용, 사고 예방 및 대응 등
• 개인정보 처리단계별 요구사항 (21개 항목): 수집, 보유 및 이용, 제공, 파기 시 보호조치 및 정보주체 권리보호

심사 과정에서는 서버, 네트워크, 데이터베이스 등 자산 리스트와 서비스 흐름도를 파악하여 취약점을 분석하고 평가한다. 인증을 취득한 조직은 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 관리체계를 점검하고 그 결과를 경영진에게 보고해야 한다.

보안적합성 검증은 국가 및 공공기관이 도입하는 IT 제품의 안전성을 검증하는 제도다. 국가정보원법과 전자정부법에 근거하여 국가정보원이 주관한다.

• 검증 대상: 정보보호시스템, 네트워크 장비, 양자암호통신장비 등 보안 기능이 탑재된 IT 제품 및 저장자료 완전삭제 제품
• 검증 주체: 중앙행정기관, 주요정보통신기반시설 관리기관, 광역지자체 및 교육청 등
• 절차: 제품 도입 후 국가정보원에 검증을 신청하며, 검증 과정에서 발견된 취약점을 모두 제거한 후에만 운용이 가능하다.

정보보호 사전점검은 정보통신망법 제45조의2에 따라 과학기술정보통신부 장관이 인허가 사업자에게 권고하는 점검이다. 정보통신서비스의 구축 및 개발 단계별로 정보보호 조치를 수행하는 것이 특징이다. 소프트웨어 개발 생명주기(SDLC) 각 단계별 개발 보안을 포함하며, 법적 강제 요건은 없으나 인허가 조건과 연계되어 권고될 수 있다.

정부는 인증 기업에서 보안 사고가 반복됨에 따라 ISMS-P 인증제도의 실효성을 강화하는 방안을 추진하고 있다. 주요 개편 내용은 다음과 같다.

3단계 차등화 체계

기업 규모와 위험도에 따라 인증 체계를 세분화한다.

1. 강화인증(Advanced): 매출액 1조 원 이상의 기간통신사업자(ISP) 및 데이터센터(IDC), 대규모 개인정보처리자 등 국민 생활 파급력이 큰 대상
2. 표준인증(Standard): 기존 인증 대상자
3. 간편인증(Lite): 중소기업 등 소규모 사업자

심사 방식의 전환

기존의 서면 및 증적 서류 확인 중심인 '스냅샷' 심사에서 벗어나, 취약점 스캐너와 소스코드 진단 도구, 모의침투 테스트를 활용한 현장 실증형 심사로 전환한다. 본심사 전 예비심사 단계를 두어 핵심 보안 항목을 사전에 점검하고 부실한 관리체계의 진입을 차단한다.