每年一次事后审查聚焦核心项目
拒绝事后管理或发现缺陷将被取消认证
故意或重大过失违规也将被取消认证
今后即使是已取得 ISMS-P 认证的企业,如发生 1000 万人以上个人信息泄露等严重违法行为,认证也将被取消。
科学技术信息通信部和个人信息保护委员会表示,将于 29 日与认证委员会共同召开信息安全及个人信息保护管理体系(ISMS·ISMS-P)认证取消相关机构对策会议。
相关机构针对 SK电信、Coupang 等 ISMS-P 认证企业频繁发生网络侵害和信息泄露事故、亟须强化事后管理的呼声,已构建起协作体系。
通过本次对策会议,将对迄今为止讨论的认证取消标准细化方案进行最终审议和确定,并计划立即实施。
主要讨论事项如下。首先,在对认证企业每年进行一次的事后审查中,将重点检查与实际事故密切相关的核心项目,如外部互联网接入资产识别、访问权限管理、补丁管理等。
如拒不履行事后管理等,或未提交资料、虚假提交资料的,将取消认证。此外,如在检查结果中发现重大缺陷,将经认证委员会审议后取消认证。
认证企业如因违反《个人信息保护法》而受到罚款等处分,将根据违法行为的严重程度决定是否取消认证。特别是当造成 1000 万人以上受害、存在重复违法、故意或重大过失违法行为并对社会产生较大影响时,原则上将取消认证。
还将制定认证取消之后的管理方案。对于负有法定认证义务的企业,在认证被取消后设定 1 年的重新申请缓冲期,引导其切实改善安全水平。
在该期间内,将免除未履行认证义务的罚款,以防止企业承担不必要的负担。同时,即便是并非法定认证义务对象的企业,也将为构建持续性管理体系而被建议重新取得认证。
![“月薪150万不如去美国年入5亿” 首尔大·KAIST人才纷纷收拾行囊 [科学家正在消失]①](https://cwcontent.asiae.co.kr/asiaresize/93/2026051914165468840_1779167814.png)
个人信息保护委员会相关负责人表示:“今后也将通过持续合作,严格管理不符合认证标准或存在重大违规行为的企业,使其无法维持认证,从而逐步恢复认证制度的公信力。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
