관련 통계자료 다운로드 ISMS 인증서 발급 현황 금융보안원이 금융 분야 특성을 반영한 정보보호관리체계(ISMS) 인증기준 점검항목을 제시했다. 정보통신(IT) 분야에 초점이 맞춰진 기존 ISMS 점검항목에서 1개 항목을 삭제하고 72개 항목을 추가, 총 324개 점검항목으로 구성됐다. 금융기관 자율보안체계 구축과 정보보호 역량 강화에 기여할 것으로 기대된다.
금융보안원(원장 허창언)은 금융보안 관련 규정과 표준을 참고해 금융 분야 ISMS 인증기준 점검항목을 개발했다고 9일 밝혔다. 올해부터 금융회사 사정에 따라 자율 선택이 가능하고 내년 전면 적용한다.
ISMS는 기업·기관이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 체계 적합성에 인증을 부여하는 제도다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 제시한 기준에 따라 정보통신서비스 제공자와 대학, 병원 등이 의무 대상이다. 금융권도 지난해 ISMS 의무대상 확대에 포함될 것으로 예상됐으나 중복규제 등 우려로 제외됐다.
의무대상은 아니지만 상당수 금융사가 자율보안체계 확립차원에서 ISMS 인증을 획득한다. 2월 기준 금융보안원에서 ISMS 인증서를 발급한 곳은 시중은행 8개를 비롯해 42개사다. 인터넷 뱅킹 서비스나 트레이딩 시스템, 대고객 서비스, IT 서비스 등에 대해 인증 받았다.
정보보안 강화 필요성이 커지면서 금융권 ISMS 인증 자율 획득 수요도 커졌지만 인증 심사 과정에 일부 점검항목이 걸림돌로 작용했다. KISA가 미래부 고시 104개 통제사항을 바탕으로 제시한 253개 세부 점검항목이 주로 IT 분야에 중점을 뒀기 때문이다.
금융보안원이 개발한 ISMS 인증기준 점검항목은 전자금융감독규정, 신용정보업감독규정, 주요정보통신기반시설 취약점 분석 평가 기준 등을 주로 참고해 금융 분야에 맞도록 변화를 줬다. 정보보호 정책과 접근통제, 운용보안, 시스템 개발보안, 물리적 보안 등을 강화하고 정보보호 관련 국제 표준인 ISO27001, PCI-DSS 등도 일부 준용했다.
김영태 금융보안원 보안인증팀장은 “금융 분야 특성으로 인해 기존 점검항목을 그대로 적용하면 인증심사원과 신청기관 간 관점 차이가 발생하곤 했다”면서 “금융 분야 ISMS 점검항목이 일관성 있는 제도 운영에 도움을 줄 것으로 기대한다”고 말했다.
박정은기자 jepark@etnews.com
