Under Armour、Coupang、Lotte Card等接连遭遇黑客攻击
ISMS·ISMS-P认证制度实效性引发争议
政府拟通过强化审查标准等措施加以补强
由于在信息保护及个人信息保护管理体系(ISMS·ISMS-P)认证企业中接连发生个人信息泄露事故,引发对该制度实效性的争议不断扩大,政府开始着手制定改进方案。政府表示,将制定包括扩大认证义务对象、引入以技术为中心的审查方式、强化认证事后管理等内容在内的制度强化方案。
据业界13日消息,美国体育用品企业Under Armour近日向客户公告了个人信息泄露事实。
Under Armour表示:“我们注意到,外部未经授权入侵者于2025年11月前后访问了Under Armour的信息技术系统,并获取了部分客户的个人信息”,“在察觉后立即与外部网络安全专家一道展开调查,着手查明侵害的性质和范围,以及受影响的个人信息类型”。接着称:“今年2月12日前后确认,客户电子邮件地址以及部分客户的姓名、性别相关信息等个人信息受到影响”,“并非所有客户的信息都被泄露”。
Under Armour是一家持有有效期截至2029年3月7日之ISMS认证的企业。然而,有意见指出,获得ISMS·ISMS-P认证的企业中频繁发生大规模个人信息泄露事故,认证制度是否未能反映企业的实际安全能力值得质疑。此前,个人信息保护委员会曾表示,截至去年12月,在获得ISMS-P认证的263家企业中,有27家在最近5年间共发生33起个人信息泄露事故。
尤其是Coupang在2021年和2024年两次取得ISMS-P认证,但在去年11月发生包括约3370万条个人信息泄露在内的4起事故。Lotte Card也是在去年从金融保安院获得ISMS-P认证仅两天后,其线上快捷支付系统即遭遇黑客攻击,导致297万人的个人信用信息被泄露。Netmarble同样在2023年获得ISMS-P认证,但去年因个人电脑游戏平台门户网站被黑客入侵,发生约611万人的个人信息泄露事故。
对此,政府决定反映一线意见,制定并发布《信息保护及个人信息保护认证制实效性强化方案》。个人信息保护委员会委员长Song Gyeonghui在前一日举行的制度改进座谈会上强调:“不能满足于在审查时点取得认证书,而是要构建能够持续维持一定水平以上保护措施的结构”,“为恢复认证制度的公信力,必须克服仅凭某一时点的一次性审查来判断状态的‘快照式’方式的局限”。
政府今后计划根据风险水平将认证分为三个阶段(简便型、标准型、强化型)。其中,对电信运营商、大型平台等高风险群体适用更为严格的认证标准。同时,将作为安全事故主要原因之一的外部互联网连接资产纳入认证范围,旨在防止企业擅自将服务器或云资产排除在外而获取认证的变通做法。在正式审查前还将设置预先检查密码加密、最新补丁等核心项目的阶段,从源头上阻断准备不足企业获得“空心认证”。
此外,还将扩大专业技术人力和审查周期,并强化对审查主体的管理。政府计划建立法律依据,对审查质量不达标的审查机构,实施业务停业或指定取消等强有力的行政处分。在事后管理层面,还将制定标准,对于在取得认证后发生重大安全事故或未履行整改建议的情形,可予以取消认证。
科学技术信息通信部第二次官Ryu Jemyeong表示:“大小安全事故频繁发生,引发了对认证制度实效性的根本性质疑,(若以健康作比喻)我们想通过健康体检,回顾认证制度是否切实发挥了守护健康的作用”,“希望以此次为契机,我国信息保护水平能够更上一层楼”。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
