.svg)
AI 솔루션 문의하기
2023년 국내에서 117개 기업이 새롭게 ISMS/ISMS-P 인증을 취득하며 완만한 증가세를 보이고 있습니다. 하지만 많은 기업들이 인증 취득에만 집중할 뿐, 정작 중요한 사후관리는 소홀히 하는 경우가 많습니다.
2025년 7월 KISA에서 발표한 AI 서비스 기업의 정보보호·개인정보보호 관리체계 고려사항에서도 지속적인 관리체계 운영의 중요성이 강조되고 있습니다. 정보보호관리체계(Information Security Management System, ISMS)는 인증을 받는 것만이 목적이 아니라 기업의 정보자산을 체계적으로 보호하는 지속적인 과정입니다.
ISMS 유지관리는 관리체계 수립 및 운영(16개), 보호대책 요구사항(64개), 개인정보 처리단계별 요구사항(21개)로 구성된 총 101개의 기준을 지속적으로 점검하고 개선하는 것입니다.
관리체계가 내부 정책 및 시행문서에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검해야 합니다. 이때 가장 중요한 것은 점검의 독립성과 객관성을 확보하는 것입니다.
관리체계 점검을 통하여 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하는 과정이 필수적입니다.
금년도 관리체계 점검을 실시하였으나 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우가 대표적인 결함 사례입니다.
관리체계 점검 시 흔한 실수
개선 조치 방안
서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 (최소 연 1회 이상) 검토하여 흐름도 등 관련 문서의 최신성을 유지해야 합니다. 많은 기업이 초기 구축 이후 문서 업데이트를 소홀히 하여 인증 갱신 시 어려움을 겪습니다.
경영진은 개선 결과의 정확성과 효과성 여부를 확인해야 하는 의무가 있습니다. 정보보호는 더 이상 IT 부서만의 업무가 아니라 전사적 경영 과제로 인식되어야 합니다.
2019년 43곳에서 시작된 ISMS-P 인증이 2023년 117곳까지 증가하는 등 지속적인 성장세를 보이고 있습니다. 이는 디지털 전환 가속화와 개인정보보호에 대한 사회적 요구가 높아진 결과입니다.
상급종합병원의 93.6%가 ISMS 인증을 획득 및 유지하고 있는 등 업계별로 특화된 관리 방안이 요구되고 있습니다. 각 업계의 특성에 맞는 위험 평가와 보호조치가 더욱 중요해질 것입니다.
ISMS 유지관리는 일회성 작업이 아닌 지속적인 프로세스입니다. 체계적인 점검과 개선, 그리고 경영진의 적극적인 지원이 결합될 때 비로소 진정한 정보보호 관리체계가 완성됩니다. 변화하는 위협 환경에 능동적으로 대응하며 기업의 디지털 자산을 안전하게 보호하는 것이 바로 ISMS 관리의 궁극적 목표입니다.
.svg)
.svg)
