29일 등급 심사기준 및 방법․절차 등 구체적 사항 고시


<미래창조과학부>가 
기업의 정보보호 수준에 따라 
등급을 부여하는 제도를 본격 시행한다.

현재까지 ISMS 인증을 받은 기업은 
약 250여개 정도 된다.

미래부는 내년부터
[정보보호 관리등급 제도]를 실시해
수준에 맞춰 [최우수], [우수] 등급을 부여한다고
28일 밝혔다. 

이는 자율적으로 진행되며 
등급을 부여받은 기업에는 
해당 기업에 대한 서비스 신뢰 확보 및 
이미지 제고에 도움이 될 것으로 
보인다.

기업이 해당 등급을 받기 위해서는
정보보호 관리체계를 전사로 구축하고
정보보호 관리체계(ISMS) 인증을 
3년 연속 유지해야 한다.

또한 정보보호 예산과 인력을 
정보기술(IT)부문 대비 
일정 기준 이상 확보하고, 
정보보호 현황을 
홈페이지에 공개해야 한다.

우수 등급은 인력 5%, 예산 7%을
최우수 등급은 인력 7%, 예산 10% 규모를 갖춰야 한다.

신규 시스템 도입이나 
서비스를 개발하는 경우 
초기 설계 단계부터
정보보호를 고려하고, 
위탁이나 용역 등 
외주 업체에 대한 보안 관리도 
철저히 해야한다. 

기업의 정보보호에 대한 
관심 및 투자 유도를 위해 
주요 의사결정 과정에 
정보보호 최고책임자의 참여를 확대하고, 
임직원에 대한 정보보호 교육 의무화 및 
인사 평가시 정보보호 관련 사항을 반영하도록 했다.

특히, 기업내 침해사고 대응 조직을 [의무적]으로 구성해
주기적인 모의 훈련을 실시하고, 
피해 발생시 신속한 복구가 이뤄질 수 있도록 
체계적인 대응책을 마련해야 한다.

이에 따라 미래부는
29일 등급 심사기준 및 방법․절차 등 
제도 시행에 필요한 구체적인 사항을 정해 고시할 계획이다.

한편, 미래부는 이번 [정보보호 관리등급 제도] 시행에 따른
혼란 방지와 기업 정보보호 관계자의 이해를 돕기 위해
12월에 설명회를 개최할 예정이다.

“이번 고시 제정을 통해
기업의 정보보호 수준을 측정․평가할 수 있는 
객관적인 기준을 마련했다.

내년부터 이번 제도가 본격 시행되면 
기업간 경쟁이 일어나
자발적인 정보보호 투자를 유도해 
기업 정보보호 수준이 
크게 향상 될 것으로 기대한다.”

  -오승곤 정보보호정책과장