정보보호 우수기업 '인증' 제도 내년부터 시행

[아시아경제 김영식 기자]기업의 정보보호 수준에 따라 등급을 부여하는 '정보보호 관리등급 제도'가 내년부터 시행에 들어간다.

미래창조과학부는 28일 '정보보호 관리등급 부여에 관한 고시'를 29일자로 제정하고 등급 심사기준 및 방법·절차 등 제도 시행에 필요한 구체적인 사항을 고시한다고 발표했다.

정보보호 관리등급 제도는 기업의 통합적 정보보호 관리 수준을 제고하고 이용자로부터 서비스에 대한 신뢰를 확보하기 위해, 기업의 정보보호 수준에 따라 '우수' 및 '최우수' 등급을 부여하는 제도다.

기업이 정보보호 관리등급을 받으려면 우선 별도의 정보보호 관리체계(ISMS)를 갖추고 독립적 의사결정이 가능한 사업조직 단위를 구축해야 하며, 정보통신망법 제47조에 따른 정보보호 관리체계 인증을 3년 연속으로 유지해야 한다.

정보보호 예산과 인력을 전체 정보기술(IT)부문 예산·인력 대비 일정기준 이상으로 확보하고, 정보보호 현황도 홈페이지에 공개해야 한다. 우수 등급 기준은 인력의 5%와 예산의 7%, 최우수 등급은 인력의 7%와 예산의 10%다.

이와 함께 정보보호에 대한 관심과 투자를 유도하기 위해 주요 의사결정 과정에 정보보호 최고책임자의 참여를 확대하고, 임직원에 대한 정보보호 교육을 의무적으로 시행하는 한편 인사평가에 정보보호 관련 사항을 반영해야 한다.

신규 시스템 도입이나 서비스를 개발하는 경우에도 초기 설계 단계부터 정보보호를 고려하고, 자사뿐만 아니라 위탁이나 용역 등 외주 업체에 대한 보안 관리도 철저해야 한다. 또 기업내 침해사고 대응 조직을 의무적으로 구성해 모의 훈련을 주기적으로 실시하고, 피해 발생시 신속한 복구가 가능하도록 체계적인 대응책을 마련해야 한다.

미래부는 새로운 제도 시행에 따른 기업 정보보호 관계자의 이해를 돕기 위해 오는 12월 정보보호 관리등급 제도 설명회를 개최하고, 심사원 양성 및 안내서 개발 등 적극 지원하기로 했다.

오승곤 미래부 정보보호정책과장은 “기업의 정보보호 수준을 측정·평가할 수 있는 객관적인 기준을 마련하게 됐다”면서 “내년부터 본격 시행되면 기업간 경쟁을 통해 자발적인 정보보호 투자를 유도하고 기업 정보보호 수준을 크게 끌어올릴 것”이라고 기대했다.

김영식 기자 grad@asiae.co.kr