개인정보 1000만명분 유출 또는 사고 반복 시 ISMS 인증 취소(종합) 작성일 12-29 49 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">개인정보위·과기정통부, ISMS·ISMS-P 인증 취소 기준·절차 구체화<br>사고 연관 핵심 항목의 중대 결함 시 인증 취소 엄격 적용<br>인증 취소 시 1년간 재신청 유예기간 부여 및 미이행 과태료 면제</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="byGb59qFG4"> <figure class="figure_frm origin_fig" contents-hash="67b028a3c281718e68df9f7a13443b1fcb892a1dc843768aae085af2ad5827a9" dmcf-pid="KWHK12B3tf" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/29/newsis/20251229143445394wseb.jpg" data-org-width="720" dmcf-mid="BGzeKJMVG8" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/29/newsis/20251229143445394wseb.jpg" width="658"></p> </figure> <p contents-hash="ef7556fcac982182c869be1ff961f0296f644e69b71d4a1314f409b2789ca4a9" dmcf-pid="9YX9tVb0tV" dmcf-ptype="general"><br> [서울=뉴시스]윤정민 기자 = 정보보호·개인정보보호 관리체계 'ISMS'와 'ISMS-P' 인증을 받은 기업·기관이 1000만명 이상의 개인정보 유출 피해를 발생시켰을 경우 인증이 취소된다. 반복적으로 개인정보 보호법을 위반하거나 고의·중과실 위반 행위로 사회적 영향이 큰 경우에도 원칙적으로 인증이 취소된다.</p> <p contents-hash="2058e064109c784d8580ecce814355a6f9a51621cbf25a742f73be7a5d98b796" dmcf-pid="2GZ2FfKpZ2" dmcf-ptype="general">개인정보보호위원회는 과학기술정보통신부와 함께 29일 오전 서울정부청사에서 ISMS·ISMS-P 인증 취소 관계기관 대책회의를 열고 사이버침해, 개인정보 유출사고 기업 인증 취소 기준·절차를 공개했다.</p> <p contents-hash="19aca126ecb1f3287c408d797f809cbebc301239636ca0ecb58ee5441c50f0b9" dmcf-pid="VH5V349UZ9" dmcf-ptype="general">ISMS-P는 2018년부터 정보보호 관리체계 인증(ISMS)과 개인정보보호 관리체계 인증(PIMS)을 통합해 시행 중인 인증제도다. ISMS 80개 기준(관리체계 16개, 보호대책 64개)에 개인정보 처리 단계별 요구사항 21개 항목을 추가해 평가한다.</p> <p contents-hash="608b0c8158e0cedf5fcf2703a0579800b5fd96f2b1d1a6438464d4f832e937a4" dmcf-pid="fX1f082u1K" dmcf-ptype="general">정부는 인증 기업이 개인정보 보호법 위반으로 과징금 등의 처분을 받은 경우 위반 행위 중대성을 따져 인증을 취소한다. 구체적으로 1000만명 이상의 피해 발생, 반복적 법 위반, 고의·중과실 위반행위로 사회적 영향이 큰 경우에는 원칙적으로 인증을 취소한다는 방침이다. </p> <p contents-hash="5e5bde4bb9638e6c019b4f234c0ea32be34a9fa1d2eec2c0836571ba818591e4" dmcf-pid="4YX9tVb05b" dmcf-ptype="general">정부는 정보통신망법에서도 망법 등을 위반하고 그 행위가 중대한 경우 인증 취소할 수 있도록 법을 개정하고 있다. 개정이 완료될 경우 관련 세부 기준을 수립할 계획이다.</p> <p contents-hash="324c1af9d7282fafdd2a05dd5f10e2d9d2d0302046d42a92e07a44ecab11f049" dmcf-pid="8GZ2FfKptB" dmcf-ptype="general">또 정부는 외부 인터넷 접점 자산 식별, 접근권한 관리, 패치관리 등 실제 사고와 밀접하게 연관된 핵심 항목을 연 1회 진행할 사후심사에서 집중 점검한다.</p> <p contents-hash="9c345c8a7eb007e6ae80e1122665f9e912b0951bf588b6e21ee2729620aab49f" dmcf-pid="6H5V349UYq" dmcf-ptype="general">사후관리를 미이행하는 등 거부하는 경우 자료를 미제출 또는 허위제출 시 인증을 취소한다. 점검 결과 중대 결함이 발견된 경우 인증위원회 심의를 거쳐 인증을 취소한다.</p> <p contents-hash="b6827949daef69b0ce28ddf8d46a60e93c52200f3ff6dc1ee11e352de4f3075a" dmcf-pid="PX1f082utz" dmcf-ptype="general">인증 취소 이후의 관리 방안도 마련한다. 인증 의무 대상 기업에 대해서는 취소 이후 1년간 재신청 유예 기간을 둬 실질적인 보안 개선이 이뤄지도록 유도한다.</p> <p contents-hash="4a1560eff17b9ec05417d3898f3572be913119d2cc8bb284bd0df388ee4afc3a" dmcf-pid="QZt4p6V7t7" dmcf-ptype="general">해당 기간에는 인증 의무 미이행 과태료를 면제해 기업의 불필요한 부담을 방지한다. 의무 대상이 아닌 기업에도 지속적 관리체계를 구축하기 위해 인증 재취득을 권고하기로 했다.</p> <p contents-hash="0d181bb58980999a3f53c1bf063c84bdeb21e1027937a35051a6e2e9dfa96ceb" dmcf-pid="x5F8UPfz5u" dmcf-ptype="general">개인정보위 관계자는 "앞으로도 지속적 협력을 통해 인증 기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리해 인증 제도 신뢰성을 회복해 나가겠다"고 밝혔다.</p> <p contents-hash="a9494ddd0d68db3bf0cf03756706e862ddb6102032b448a1dc21351e12351e2b" dmcf-pid="ynglAvCEGU" dmcf-ptype="general">과기정통부 관계자는 "인증 사후 심사 시 기준을 미달하는 등 인증 받은 기업이 정보보호관리체계의 수준을 지속 유지하지 않는 경우 인증취소를 적극 실시해 정부 인증제 실효성을 높이겠다"고 말했다.</p> <p contents-hash="ce41148bb273e4e71317d6d291ab0b593c9f7819e8b6e75d64fba7c68a612dbb" dmcf-pid="WLaScThD1p" dmcf-ptype="general"><span>☞공감언론 뉴시스</span> alpaca@newsis.com </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴시스. 무단전재 및 재배포 금지.</p> 관련자료 이전 과총, 10대 뉴스...누리호 발사·AI기본법+미래기술 연구성과 주목 12-29 다음 자체 IP 확장 성공한 넷마블…PC·콘솔서도 성과 낼까 12-29 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
