[디지털데일리 최민지기자] 정부가 정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS) 인증을 통합키로 한 후 기업들의 부담 경감을 위해 인증 완료 기간을 유예한다.

11일 과학기술정보통신부(이하 과기정통부)에 따르면 통합된 정보보호관리체계인 ‘ISMS-P’를 신청할 경우, 의무대상 기업은 연내 신청만 하면 내년 8월까지 심사를 포함해 인증을 완료하면 된다.

원래, ISMS 의무대상 기업은 연내 인증 신청 및 심사 등을 모두 완료하지 않으면 과태료를 내야 한다. 하지만 10월 내 ‘ISMS-P’ 통합 인증이 실시될 예정이라, 기업들이 현실적으로 이에 준비할 수 있는 시간적 여유가 부족하다. 이러한 현실적 상황을 반영해 유예기간을 부여하겠다는 것이다.

앞서 과기정통부, 행정안전부, 방송통신위원회는 ISMS와 PIMS를 통합키로 하고 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’ 전부개정안을 마련하고 지난 10일 행정예고에 들어갔다. 내달 1일까지 의견 수렴 후 10월 내 시행할 계획이다.

과기정통부 관계자는 “10월에 통합인증을 시행하는 만큼 새로운 기준으로 당장 준비하기에 기업 부담이 발생할 수 있다”며 “기업 부담을 덜어주기 위해 이 제도를 준비한 만큼 기존 인증기준을 택한 기업은 그대로 심사를 완료할 수 있고, 새로운 제도의 도입 확산을 위해 새 기준을 선택한다면 내년 8월까지 인증 완료기간을 추가로 확보할 수 있다”고 말했다.

기업들은 기존 ISMS, 통합 ISMS-P에 속한 ISMS, 개인정보보호 항목까지 포함한 ISMS-P 중에서 선택해 인증을 받으면 된다.

기존 ISMS 인증기준은 104개며, PIMS 인증기준은 86개다. ISMS-P는 양 인증의 유사·중복 항목을 통합하고 최신 보안요구사항을 반영해 102개의 인증기준 체계로 구성됐다. 새로운 제도 내에서 ISMS 인증만 받으려면 정보보호 관련 80개 인증항목을 충족해야 한다. 여기서 개인정보 관련 22개 항목을 추가하면 ISMS-P 인증을 받을 수 있다.

인증 신청인이 고시 시행 후 6개월까지는 개정 이전의 인증기준에 따라 신청할 수 있다. 10월 시행 기준으로 봤을 때 기존 ISMS 인증도 내년 4월초까지 신청할 수 있다는 뜻이다. 기존 인증기준에 따라 인증을 취득한 경우에는 인증 유효기간까지 기존 인증기준으로 사후심사를 받을 수 있게 했다.

과기정통부 관계자는 “의무대상자는 올해 안에 일단 심사 신청이나 심사를 받아야 하지만, 자율적으로 인증을 받는 기업들은 6개월까지 개정 이전의 인증기준에 따라 신청 가능하다”고 설명했다.

이어 “올해 기존 방식의 ISMS를 준비하는 기업들이 많은 만큼, 자연스럽게 새로운 제도로 연결시킬 수 있는 방안을 강구했다”며 “이번 제도의 실효성을 제고하기 위해 신청자의 편의를 최대한 고려하겠다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr