정보보호 관련 인증 취득자 중복 심사항목 생략으로 기업 부담완화

▲ 사진 = 미래창조과학부

앞으로 의료 및 교육기관도 정보보호 인증을 의무화해야 한다.

1일 미래창조과학부는 지난해 12월 1일 공포된 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)'아 2일부터 시행된다고 밝혔다.

이번 개정 정보통신망법에 따르면 정보보호 관리체계 인증 신규 의무대상으로 세입이 1,500억 이상인 의료법상 상급종합병원 및 고등교육법상 재학생수 1만명 이상인 학교를 추가했다.

또한 의무대상을 기존 영리목적의 정보통신서비스 제공자에 한정하지 않고, 의료·교육 등 민감정보를 다루는 비영리기관으로 확대했다.

한편, 전자금융거래법에 따른 금융회사는 규제개혁위원회에서 중복규제 등의 우려를 이유로 인증 의무대상에서 제외하도록 개선권고함에 따라 인증 의무대상에서 제외된다.

정보보호 경영시스템 인증(ISO/IEC 27001), 개인정보보호 관리체계 인증 및 주요정보통신기반시설 취약점의 점검 분석·평가 등을 받은 경우, 정보보호 관리체계 인증 취득시, ISMS 심사항목 일부를 생략할 수 있도록 해 기업 부담을 완화했다.

이에 따라 인증 의무대상자가 고의적으로 인증을 회피하는 것을 방지할 수 있을 것으로 기대된다. 

송정수 미래부 정보보호정책관은 “이번 개정 정보통신망법 시행을 통해 인증 의무대상이 의료·교육 등 비영리기관으로 확대됨에 따라 정보보호 사각지대 해소와 인증 의무 위반자에 대한 행정처분 강화로 제도의 실효성이 확보되고, ISMS 심사항목 생략으로 기업의 부담을 줄일 수 있을 것”이라고 밝혔다. 


 

김미지 기자
저작권자 © 데일리그리드 무단전재 및 재배포 금지