ISMS 인증 대상자
포스팅 뷰70
ISMS 인증 대상자란?
ISMS(Information Security Management System) 인증은 정보보호 관리체계를 효과적으로 운영하는 기업과 기관에 부여되는 인증입니다.
하지만 모든 기업이 의무적으로 인증을 받아야 하는 것은 아니에요. 법적으로 인증이 요구되는 '의무 대상자'와 보안 강화를 위한 '기타 대상자'로 구분됩니다. ISMS 인증을 받지 않아야 할 기업이 실수로 이를 신청하는 것을 방지하고, 반대로 의무 인증 대상자가 이를 놓치지 않도록 명확한 기준을 이해하는 것이 중요합니다.
ISMS 인증 의무 대상자
정부에서는 특정 기업 및 기관에 대해 ISMS 인증을 필수적으로 요구하고 있으며,
ISMS 인증 의무 대상자는 의무 대상자로 해당된 연도의 다음 해 8월 31일까지 인증을 취득해야 합니다.
이를 준수하지 않을 경우 최대 3,000만 원의 과태료가 부과될 수 있습니다.
1. 정보통신망서비스 제공자(ISP)
-
「전기통신사업법」 제6조제1항에 따라 등록된 사업자로서, 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 기업
2. 집적정보통신시설 사업자(IDC)
-
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(정보통신망법) 제46조에 따른 데이터 센터(IDC) 운영 기업
3. 매출 또는 이용자 수 기준 충족 기업
아래 기준 중 하나라도 해당하는 기업은 ISMS 인증이 의무적입니다.
-
전년도 정보통신서비스 매출액 100억 원 이상
-
전년도 일일 평균 이용자 수 100만 명 이상
-
전년도 매출액 또는 세입이 1,500억 원 이상이며, 아래 조건에 해당하는 기업
-
「의료법」에 따른 상급종합병원
-
「고등교육법」 제2조에 따른 재학생 수 1만 명 이상인 대학교
-
ISMS 인증 기타 대상자
ISMS 인증을 반드시 받아야 하는 법적 의무는 없지만, 정보보호 강화를 위해 인증을 취득하는 것이 권장되는 기업도 있습니다.
이는 특히 정보보호 및 개인정보보호가 중요한 산업군에서 더욱 필요합니다.
1. 가상자산사업자
-
「특정 금융거래정보의 보고 및 이용 등에 관한 법률」(특정금융정보법) 제7조에 따라 가상자산사업자는 정보보호 관리체계(ISMS) 인증을 받아야 하며, 이를 금융정보분석원(FIU)에 신고해야 합니다.
-
다만, ISMS 인증을 받지 못한 경우 FIU에서 신고 수리가 거부될 수 있어, 사업을 운영하기 위해 사실상 필수적인 요소가 됩니다.
-
신규 가상자산사업자의 경우, 본 인증을 받기 어려운 경우 예비 인증을 먼저 취득할 수 있습니다.
2. 중소기업
-
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(정보통신망법) 제47조의7에 따라 중소기업 중 일부는 ISMS 인증의 특례를 받을 수 있습니다.
-
의무대상자는 아니지만, 보안 강화를 위해 자율적으로 ISMS 인증을 취득하는 경우가 많습니다.
3. 소기업
-
「중소기업기본법」 제2조제2항에 따른 소기업으로, 정보보호 수준을 강화하기 위해 ISMS 인증을 취득할 수 있습니다.
4. 중기업
-
정보통신서비스 부문 매출액이 300억 원 미만인 중기업은 ISMS 인증의 특례를 받을 수 있습니다.
-
자체 서비스 제공을 위한 주요 정보통신설비를 보유하지 않은 경우, 간편 인증을 신청할 수도 있습니다.
ISMS 인증 미취득 시 발생하는 문제
ISMS 인증 의무 대상자가 인증을 취득하지 않을 경우 다음과 같은 문제가 발생할 수 있습니다.
-
법적 제재: 정보통신망법 및 특정금융정보법 위반으로 인해 최대 3,000만 원의 과태료 부과 가능
-
신뢰도 하락: 공공기관 및 대기업과의 거래에서 불이익 발생 가능
-
보안 사고 발생 시 리스크 증가: ISMS 인증이 없는 경우 보안 사고 발생 시 책임이 더욱 커질 수 있음
ISMS 인증은 단순한 법적 요구사항을 넘어 기업의 정보보호 수준을 높이고, 고객 신뢰도를 향상시키는 중요한 요소입니다.
특히 의무 대상자는 인증을 반드시 취득해야 하며, 기타 대상자라도 보안 강화를 위해 ISMS 인증을 고려하는 것이 바람직합니다.
여러분들의 회사가 ISMS 인증 대상에 해당하는지 확인한 후 인증 취득을 준비해보세요!😉