ISMS 인증 의무 대상 강화

올해 초부터 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 개정 예정이 되면서 관련하여 혼선이 많이 발생했었다. 

초기에 나온 정보보호 관리체계 인증 대상자의 범위는 아래와 같다. 

다른 항목이야 기존과 차이가 없으므로, 1번 항목에 대해서만 보면 된다.

 

기존 의무 대상 외 매출액 또는 세입 등이 1,500억원 이상으로서

(1) 「의료법」 제3조 제2항에 따른 의료기관

(2) 「전자금융거래법」 제2조의3에 따른 금융회사

(3) 전년도 말 기준 직전 3개월간의 하루 평균 이용자 수가 1만 명 이상의 세 조건 중 하나에 해당하는 

    사업자로 제한

여기서 주의 깊게 봐야할 것이 전년도 말 기준 직전 3개월간의 일일 평균 이용자 수가 1만명 이상인 자이다. 여기서 이용자 수라는 부분이 논란이 많은데, 정보통신망법에서는 이용자 수란 방문자수가 아닌 페이지뷰를 이야기 한다. 즉 한 사람이 홈페이지에 들어와서 10개의 페이지를 봤다면 이용자 수는 10개가 된다. 이런 기준으로 한다면 왠만한 대기업뿐만이 아니라 중견기업도 다 ISMS 대상에 포함되게 된다. 

.

그런데 ISMS라는게 그리 쉬운 것도 아니고, 컨설팅 부터 해서, 시스템을 맞추기 위해 시설 투자, 시스템 보완등을 하기 위해서는 한 두푼이 들어가는게 아니다. 또한 시스템을 개선하기 위해 수 많은 공수가 투입될 수 밖에 없다. 

개인적인 생각으로는 ISMS를 준비하는 것보다 사업을 접는 것이 이해타산이 맞는 기업도 적지는 않을 것이라 생각한다. 

이런 내용으로 인해 대상에 포함 예정인 회사들의 반발이 심했고, 대상이 변경이 되었다. 

ISMS 인증 의무 대상

.

변경된 내용에서는 아래와 같은 조건만 가지고 있다. 

 

1. 연간 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자

가. 「의료법」 제3조의4에 따른 상급종합병원

나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교

초기에 있었던 전년도 말 기준 직전 3개월간의 하루 평균 이용자 수가 1만 명 이상인 경우가 ISMS 대상에서 빠지게 되었다. 

대부분의 기업들이 ISMS 대상에서 제외되었지만, 병원과 학교에서는 갑자기 ISMS를 준비하게 되면서 갑자기 시설 투자를 하여야 하는데, 예산에 잡혀 있지 않기 때문에 어려움을 호소하고 있는 상태이다.