개인정보보호위원회는 23일 중소기업에 대한 ISMS와 ISMS-P 인증 특례를 이달 24일부터 시행한다고 23일 밝혔다. 인증기준은 기업이 실질적인 정보보호 활동을 할 수 있도록 하는 필수항목은 유지하되, 중소기업의 수준에서 불필요한 항목을 삭제 또는 완화해 설계했다.
이에 따라 기존 80~101개 항목에 달하는 인증 기준이 36~40개가량 축소됐다. 인증심사 수수료도 인증기준 간소화에 따라 종전 대비 약 40~ 50% 수준으로 절감된다. 아울러 보안시스템 구축이나 정보보호 조직 구성, 컨설팅기업 등 인증 준비에 필요한 제반 비용도 감소할 것으로 기대된다.
이번 특례는 정보통신서비스 부문 매출액이 300억 원 미만인 중소기업에 적용된다. 관련 매출액이 300억 원 이상인 중기업이라도 회사 내 주요 정보통신설비를 보유하지 않았다면 신청할 수 있다. 이는 전체 의무대상 기업 가운데 85개 기업(약 16%)이 해당한다.
다만 국민 생활에 밀접한 영향을 미치는 주요 정보통신서비스 제공자, 집적 정보통신시설 사업자, 일부 상급종합병원·대학교,금융회사, 가상자산사업자는 특례 적용 대상에서 제외한다.
양청삼 개인정보위 개인정보정책국장은 “간편인증 도입을 통해 소규모 기업의 인증 취득 부담을 완화함으로써 개인정보보호 관리체계의 수준을 향상하고자 하는 기업의 자율적인 개인정보 보호 노력이 강화될 수 있는 계기가 되길 바란다”고 말했다.
