ISMS 인증 의무 대상 완전 분석, 우리 회사는 해당될까?

‍

2025년 현재 상급종합병원의 93.6%가 ISMS 인증을 획득 및 유지하고 있습니다. 의무 대상 기업들이 실제로 인증을 취득하고 있다는 증거입니다. 2023년에만 117개 기업이 신규로 ISMS/ISMS-P 인증을 취득했고, 업종별로는 정보통신업 47곳, 도매 및 소매업(전자상거래) 18곳이 대부분을 차지했습니다.

‍

의무 대상에 해당하는 기업 수는 지속적으로 증가하고 있습니다. 정보통신서비스 부문 매출액 증가와 이용자 수 증가로 인해 ISMS 인증을 필수로 받아야 하는 기업들이 늘어나고 있는 것입니다.

‍

ISMS 인증 의무 대상, 정확한 기준은 무엇일까?

‍

ISMS 인증 의무 대상자는 전기통신사업법 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 기준에 하나라도 해당되는 경우입니다.

‍

핵심 의무 대상 기준 6가지

‍

1. 정보통신서비스 부문 매출액 100억 원 이상

• 직전년도 정보통신서비스 부문 매출액 기준
• 매출 제외 항목이 있어 정확한 확인 필요

2. 일일 평균 이용자 수 100만 명 이상

• 직전 3개월간 정보통신서비스 일일 평균 이용자 수 기준
• 페이지뷰가 아닌 순 이용자 수로 계산

3. 연간 매출액 또는 세입 1,500억 원 이상 상급종합병원

• 의료법에 따른 상급종합병원
• 개인정보 대량 보유로 인한 특별 관리 대상

4. 재학생 수 1만 명 이상 학교

• 대학, 산업대학, 교육대학, 전문대학 등 포함
• 방송통신대학, 사이버대학, 기술대학, 각종학교 포함

5. 정보통신망서비스 제공자(ISP)

• 서울특별시 및 모든 광역시에서 정보통신망서비스 제공
• 인터넷 접속 서비스, 인터넷 전화 서비스 등

6. 집적정보통신시설 사업자

• 서버 호스팅 서비스 등
• 타인의 정보통신 서비스 제공을 위한 집적된 정보통신 시설 관리

2024년부터 간편인증제 시행

지난 2024년 7월 24일부터 중소기업의 ISMS 인증 취득 부담을 완화하기 위한 간편인증제가 시행되었습니다. 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원이 공동으로 도입한 제도로, 인증기준과 인증비용을 대폭 간소화했습니다.

‍

▲ 간편인증제 적용 대상

• 정보통신서비스 부문 매출액 300억 원 미만 중소기업
• 매출액 300억 원 이상 중기업 중 회사 내 주요 정보통신설비 미보유 기업
• 웹호스팅서비스, 클라우드 서비스 이용 기업

전체 의무대상 중 85개 기업(약 16%)이 적용받을 수 있습니다.

‍

▲ 간편인증제 주요 혜택

• 인증기준 축소: ISMS 40개 또는 44개로, ISMS-P 62개 또는 65개로 36~40개 항목 감소
• 인증수수료 절감: ISMS 50% 감소, ISMS-P 40% 감소
• 핵심 항목 유지: 사용자 식별·인증, 비밀번호 관리, 암호정책 적용, 악성코드 통제, 취약점 점검 등

의무 대상인지 어떻게 확인할 수 있을까?

많은 기업들이 자신들이 의무 대상인지 판단하기 어려워합니다. 한국인터넷진흥원 자료실에서 제공하는 기준을 참고하거나 ISMS인증 문의 메일로 문의할 수 있습니다.

‍

▲ 자가 진단 체크리스트

1. 우리 회사 정보통신서비스 부문 매출액이 100억 원 이상인가?
2. 우리 서비스 일일 평균 이용자 수가 100만 명 이상인가?
3. 우리 회사가 상급종합병원이며 연간 매출액이 1,500억 원 이상인가?
4. 우리 학교 재학생 수가 1만 명 이상인가?
5. 전국적으로 정보통신망 서비스를 제공하고 있는가?
6. 서버 호스팅 등 집적정보통신시설을 운영하고 있는가?

‍

위 항목 중 하나라도 해당된다면 ISMS 인증 의무 대상입니다.

의무 대상 기업을 위한 단계별 준비 방법

‍

1단계: 현황 파악 및 계획 수립

• 현재 정보보호 관리체계 수준 진단
• ISMS 인증 취득 일정 계획 수립
• 담당 조직 및 인력 배정

‍

2단계: 관리체계 구축

• 정보보호 정책 및 절차 수립
• 위험평가 실시 및 보호대책 수립
• 직원 교육 및 인식 제고

‍

3단계: 인증 신청 및 심사 준비

• 신청서류 작성 및 제출
• 관리체계 운영 실적 축적
• 심사 대응 준비

‍

4단계: 심사 및 인증 취득

• 문서심사 및 현장심사 실시
• 결함 보완 및 개선조치
• 인증서 발급 및 사후관리 체계 운영

디지털 경제가 확산되고 개인정보보호에 대한 사회적 관심이 높아지면서 ISMS 인증 의무 대상은 지속적으로 확대될 가능성이 높습니다. 특히 AI, 클라우드, IoT 등 기술이 확산되면서 정보보호 관리체계의 중요성이 더욱 부각되고 있습니다.

‍

중소기업을 위한 간편인증제 도입은 의무 대상 확대에 따른 부담을 완화하려는 정부의 노력으로 볼 수 있습니다. 앞으로도 기업 규모와 특성에 맞는 차별화된 인증 체계가 더욱 세분화될 것으로 예상됩니다. ISMS 인증 의무 대상 여부를 정확히 파악하고 해당될 경우 체계적으로 준비하는 것이 기업의 지속가능한 성장을 위해 필요합니다.

‍