김두현25년 대형 개인 정보 유출 사고가 여러건 발생한 이후 정부에서는 기존 ISMS 인증제도의 실효성 강화 방안을 4월중에 발표 하였습니다.
올해 스마일서브도 갱신심사를 앞두고 있는데, 주요 변경사항을 알아보겠습니다.
※참고
정보, 유출사고 예방 위해 인증제도 전면 개편
- 인증 의무대상 확대 및 기준 강화
- ISMS-P 의무화: 그간 자율 취득이었던 ISMS-P를 주요 공공시스템 운영기관, 이동통신사업자, 대규모 개인정보처리자 등을 대상으로 의무화
- 인증 3단계 등급제 신설: 기업 규모와 보안 위험도에 따라 인증 기준을 차등 적용
- 인증기준서 개선, 인증범위 확대, 위험평가 재정비
- 인증심사 방식 강화 (현장실증 및 기술심사)
- 심사팀 개편 – 표준인증군은 인증심사원을 추가 투입해 현장실증을 강화하고, 강화인증군은 취약점점검원 을 투입해 기술심사를 정밀하게 실시
- 인증심사 절차 강화 – 보안사고와 직결하는 중요 핵심항목‧기술심사 ( 선 검증 후 심사)
- 인증 사후관리 강화 (엄격한 인증 취소)
- 상시 점검체계 확립 – 일시적인 인증 유지를 방지하기 위해 핵심항목(로그 접속 기록, 취약점 점검 등)에 대한 주기별 점검 양식을 표준화하여 사후심사 시 집중 점검
- 중대사고 심사중단 – 중대한 침해사고가 발생한 기업은 정부의 조사·처분이 끝날 때까지 인증 심사 및 심의를 잠정 중단
- 사고기업 관리 강화 – 침해사고 발생 기업은 사후심사 시 심사인력과 기간을 2배(10명, 10일)로 확대하고 재발방지 대책을 집중 심사
- 인증취소 – 지원종료(EoS) 장비 방치, 보안패치 미적용, 로그 미보관 등 중대결함 발견 시 100일 이내에 보완하지 않으면 인증위원회 심의를 거쳐 인증을 취소
- 심사기관 및 심사원 전문성 강화
- 심사전문성 강화 – AI·클라우드 등 전문분야별 특화 심사가 가능하도록 소속심사원을 확충 또는 전문심사원 모집을 통해 전문성 확보
- 심사기관 감독강화 – 부실심사 등 심사품질 하락 방지 위한 심사기관 재지정 요건, 지정 사후점검(매1년) 강화
위 내용들은 바로 시행되는건 아니고 26년 하반기부터 일부 사항( 인증 사후관리 강화 항목) 부분 에서 시행될 예정이다. 세부적인 사항은 글 처음에 링크를 참고 하시면 됩니다.