유출 핵심 관리 부실·중대 결함 땐 ISMS·ISMS-P 취소 기준 마련
인증 대상 기업이 외부 인터넷 접점 자산 식별, 접근 권한, 보안 패치 등 실제 사고와 밀접하게 연관되는 핵심 항목을 제대로 관리하는지 연 1회 사후 심사를 통해 집중적으로 점검하기로 했다.
점검에서 지적된 사후 관리 사항을 이행하지 않거나 거부할 경우, 자료 미제출 또는 허위 제출 시 인증을 취소한다.
점검 결과 중대한 결함이 발견된 경우에도 인증위원회의 심의를 거쳐 인증을 취소하기로 했다.
인증 기업이 개인정보 보호법 위반으로 과징금 등의 처분을 받은 경우 위반 행위의 중대성을 따져 인증을 취소한다.
특히 1천만명 이상의 피해 발생, 반복적 법 위반, 고의·중과실 위반행위로 사회적 영향이 큰 경우에는 원칙적으로 인증을 취소한다는 방침이다.
정보통신망법을 위반하고 그 행위가 중대한 경우에도 인증을 취소할 수 있도록 법 개정이 추진 중이다.
다만, 인증 취소 이후 1년간 재신청 유예기간을 둬서 실질적인 보안 개선이 이루어지도록 유도하고 해당 기간에는 인증 의무 미이행에 따른 과태료를 면제한다.
아울러 인증 취득 의무 대상이 아닌 기업의 경우에도 지속적인 관리 체계 구축을 목표로 인증 재취득을 권고하기로 했다.
 |
IT 보안 구멍 (PG) |
csm@yna.co.kr
▶제보는 카카오톡 okjebo
▶연합뉴스 앱 지금 바로 다운받기~
▶네이버 연합뉴스 채널 구독하기
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
