우선, ISMS인증을 받드시 받아야 하는지 여부는 내가 이전에 썼던 글을 확인해보면 될 것 같다. 그때도 말했지만, 2015년 12월 1일 개정된 정보통신망법의 구체적인 시행령이 나오지 않아서 시행령이 나올 때 까지 조금은 지켜봐야 할 것 같으나, 매출액 기준 등을 만족하면서 B2C 회사라면 거의 의무 인증 대상이라고 생각하면 될 것 같다.
(지난번 글 : http://kyuboki.blogspot.kr/2016/01/isms.html)
만약 의무인증 대상인데 ISMS인증을 받지 않는다면 어떻게 될까? 작년 까지만 해도 과태료가 1,000만원이었지만 법이 개정되면서 상향 조정되어 이제는 3,000만원 과태료를 물어야 한다.
정보통신망법을 보면,
① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다.
<중략>
6의3. 제47조제2항을 위반하여 정보보호 관리체계 인증을 받지 아니한 자
<후략>
위와 같이 개정이 되었음을 알 수 있다. 따라서, 인증을 의무적으로 받아야 하는 회사/기관임에도 받지 않았을 경우 3,000만원의 과태료를 물어야 한다.
가끔 농담이겠지만, 회사에 따라 준비하는데 필요한 컨설팅 비용보다 오히려 과태료가 저렴하기 때문에 그냥 과태료를 내고 말겠다고 말하는 회사들이 있는데 그런 회사들은 아래의 기사를 참고해보고 그런 결정을 내리길 바란다.
롯데마트ㆍ영풍문고 ISMS `위반`
170개 대상 기업 중 35개 의무인증 받지 않아
그렇다면 준비는 어떻게 해야 할까?
그건 나중에 따로 정리를 해보겠지만, 대부분의 내용은 KISA가 발간한 다양한 가이드 문서들에 자세히 나와 있기 때문에 참고하면 된다.
(KISA ISMS 사이트 자료실 : http://isms.kisa.or.kr/kor/notice/dataList.jsp?p_No=48&b_No=48)
결국, 자체적으로 준비를 하거나 외부 도움을 받아 컨설팅을 받거나 해야 하는데, 현재 기업의 사정이나 조건 등 환경에 따라 선택의 폭은 넓으니 다양한 방법을 고민해봐야 한다. 정말 법 준수를 위해 딱, ISMS 인증서를 받겠다는 목적이라면 최소한의 범위로 최소한의 노력을 들여 준비를 할 수 있고, 이번 기회를 통해 회사에 제대로 된 정보보호 관리체계를 수립하고 프로세스 개선을 통해 지속적인 관리를 위한 기반을 만들고 싶다면 현업 업무 분석부터 시작하는 제대로 된 작업을 시작해야 한다.
댓글 없음:
댓글 쓰기