서울특별시가 광역자치단체 중 정보보호·개인정보보호관리체계(ISMS-P) 인증 관문을 최초로 통과했다. 특히 올해 데이터 3법 통과로 개인정보 오남용 방지를 위한 책임이 더욱 강화됨에 따라 전국 시·도 단위 자치단체도 잇따라 ISMS-P 인증 취득에 적극 나설 것으로 예상된다.
정보보호인증 컨설팅 전문기업 이지시큐(대표 정경섭)는 6개월 동안 진행한 ISMS-P 컨설팅 결과를 토대로 서울특별시가 한국인터넷진흥원(KISA)으로부터 ISMS-P 인증을 획득하는 데 성공했다고 19일 밝혔다. 광역시·도 자치단체 중 최초로 ISMS-P 인증을 취득한 모범 사례를 만들었다.
ISMS-P 인증은 정보·개인정보를 처리하는 기관 또는 기업의 정보보호 관리과정, 보안수준 등 정보보호관리체계(ISMS)와 개인정보의 수집·이용·파기 등 개인정보관리체계(PIMS)의 중복 부분을 제거하고 하나로 묶어 심사·인증하는 제도이다. 2018년 11월부터 시행하기 시작했다.
서울특별시가 이번에 취득한 ISMS-P 인증범위는 '서울시 행정시스템·홈페이지 운영(생활복지, 법인시설관리)'이다. 기존엔 '서울사이버안전센터 운영'에 대해 ISMS 인증만을 취득·운영해왔으나 개인정보 처리를 위한 조직·인력 등을 포함해 시청 홈페이지와 주요 행정시스템을 ISMS-P 인증 범위로 추가 확대했다.
서울특별시는 이번 인증 성공을 시작으로 시민의 개인정보보호와 사이버 안전에 앞장서고 향후 인증 범위를 점차 확대해 개인정보 유출사고와 이를 이용한 2차 사이버 범죄 등을 사전 예방하는데 힘을 쏟을 계획이다.
정경섭 이지시큐 대표는 “ISMS-P가 국내에서 가장 권위 있는 정보보호 인증제도로 자리 잡으면서 인증 수요가 민간 기업을 넘어 공공기관, 광역시·도를 넘어 구·군 등 기초자치단체까지 확대될 것”으로 내다봤다.
정 대표는 “서울특별시 ISMS-P 컨설팅에서 2017년 출시한 정보보호인증 통합관리 솔루션 '아테나(ATHENA)'를 활용했다”면서 “특히 순환근무제가 적용되고 비전문 인력이 정보보호 담당 또는 운영을 맡게 될 가능성이 높은 공공기관에서 더욱 필요한 솔루션이고 그 효과는 배가된다”고 말했다.
그는 “그동안 100여개 고객사에 아테나를 적용·제공해 품질과 효용성을 시장에서 인정받았다”면서 “클라우드 등 다양한 고객 환경과 요구에 대응하기 위하여 웹 확장 버전인 아테나 2.0을 출시할 것”이라고 강조했다.
아테나는 ISMS·ISMS-P 인증 과정에서 필요한 주요 정보보호 활동 관련 모든 기능을 담고 있다. 인증범위 내 정보 자산 관리, 관리·법리적 현황 분석 및 시스템 기술 진단, 위험 분석 및 평가, 정보보호 계획 관리, 증적 관리, 인증 심사 대응 기능 등을 갖추고 있다. 핵심 업무 중심의 직관적인 UI에 정보보호 업무 순환 활동 플로우를 쉽게 이해할 수 있도록 한 것이 특징이다.
ISMS-P를 경험해보지 않은 정보보호 담당자도 ISMS-P 운영과 유지를 쉽게 할 수 있다. 정보보호 활동의 모든 이력 관리가 가능해서 순환근무제가 적용되는 공공기관에 더욱 적합한 정보보호 인증관리 솔루션이다.
안수민기자 smahn@etnews.com
