[发言台]衣食住行与IT时代，为什么需要ISMS-P认证

Published 21 Nov.2023 12:09(KST)

Updated 18 Jun.2025 15:35(KST)

open/close

自人类诞生以来，距网络空间开始活跃不过三十余年。在这短暂的时间里，通过网络连接的信息通信环境已成为我们生活中不可或缺的存在，经由互联网进行的活动正在改变人类生活本身。如今，甚至在传统意义上构成生活三大要素的衣、食、住之外，再加上信息技术也毫不违和。为了在人类从未经历过的新环境中开创新时代，就必须建立与之相适应的新秩序，网络空间也不例外。

我们通过安装在智能手机或个人电脑上的各类网站和应用程序，经由社交媒体进行交流、购物，打印各类公文等这些看似“琐碎”的日常活动中，其实都可能潜藏着“并不琐碎”的威胁。近来，从国家安全的角度看，通过黑客攻击与防御的对抗几乎常态化发生，并在外交、经济、通商等各个层面持续引发各种议题。

信息安全及个人信息保护管理体系认证（ISMS-P）制度，是应对此类网络空间威胁最基础、同时也是最有效的手段之一。在国家不可能替代企业和机构解决网络空间全部信息安全问题的环境下，从“授人以渔”的角度出发，将改进方法植入组织内部，营造其自我完善的环境，是目前最优的方案。

该认证体系承袭了国际标准化组织（ISO）国际标准的形式，被设计为能够确保独立性、客观性和专业性的结构，并且几乎涵盖了信息安全所需的各项要素。认证基准包括管理体系的建立与运作、保护措施要求事项、个人信息处理各阶段的要求事项，涵盖管理、技术、物理层面以及个人信息保护的对策要求。

目前，对信息通信网络依赖度较高并处理包括个人信息在内的大量敏感信息的机构，以及年销售额或岁入等在1500亿韩元以上且符合一定条件的主体，信息通信网络服务提供者（Internet Service Provider，互联网服务提供商）、集成信息通信设施（Internet Data Center，互联网数据中心）运营者、以及在销售额、用户数量等方面达到一定标准的信息通信服务提供企业，均被强制要求取得信息安全管理体系（Information Security Management System）认证。对此，由国内顶尖信息安全专家组成的认证审查团队会直接前往目标组织，确认其是否真正落实相关要求，并在达到适当管理水平的情况下颁发认证证书。

不过，获得认证并不意味着可以保证不会发生黑客事件或个人信息泄露事故。因为在认证时点虽然运行得当，但此后若随着服务或组织环境的变化未能采取相应措施，或者由于审查时间有限、审查人员数量有限，无法将所有细节一一核查到位，这些都构成现实限制。即便如此，通过建立一定水平的安全体系，组织可以具备自我防御的准备，并在问题发生时，借此机会提升恢复弹性（resilience），从而打造可持续发展的组织或服务。

从用户角度看，相比使用尚未认证、令人不安的服务，选择相对更可信赖的认证企业服务显然更有利。从国家层面看，在复杂互联的网络与互联网环境中，该制度有助于维护国民的网络安全，并在国家间的网络主权竞争中确保适当的安全水平，可谓最为有效的制度之一。尤其是对于管理比民间领域更为重要信息的国家及公共机构，有必要将ISMS-P认证义务化，并制定和实施多种措施，以提升认证审查质量和制度的可持续性。