[김국배기자] 정부가 '정보보호 등급제' 법제화를 추진한다.
행정자치부는 소관 전자정부법에 정보시스템 정보보호 등급제 운영 근거를 신설하는 안을 토대로 정부 입법안을 만들 계획이다.
행정자치부 전자정부국 이용석 정보기반보호정책과장은 13일 서울 서초구 양재동 더케이호텔에서 미래창조과학부 주최로 열린 국제 정보보호 콘퍼런스에서 "전자정부법에 ‘정보시스템 정보보호 등급제’ 운영 근거 신설을 검토중"이라고 말했다.
이어 "등급제 도입과 관련 관계부처와 협의, 제도화 방안을 수립 중"이라며 "정부 입법 방식으로 연내 법제화를 추진할 계획"이라고 말했다.
정보보호 등급제는 정보시스템의 중요도와 보안성에 따라 등급을 분류, 차별적인 보안관리를 적용함으로써 관리의 효율성을 높이고 정보보호를 강화하기 위한 제도다. 국가 행정기관, 지방자치단체, 공공기관 등이 그 대상이다.
이를 통해 예산 절감 효과 등 낭비 요소를 제거하고, 적재적소에 정보보호 투자가 가능해질 것으로 행자부는 기대하고 있다.
이용석 과장은 "한정된 예산으로 모든 정보시스템에 동일한 보안관리 기준을 적용하는 것이 어렵고, 중요도가 낮은 시스템에 대한 동일한 기준 적용으로 과도한 관리비용이 발생하고 있다"며 등급제의 필요성을 설명했다.
실제로 행자부에 따르면 현행 정보시스템은 약 2만여 개로 행정기관 3천771개, 공공기관 6천395개, 지자체 9천909개에 달한다.
행자부는 지난해 8월부터 전자정부지원사업으로 ‘범정부 정보보호 등급제 도입’ 사업을 추진해왔다. 정보시스템 정보보호 등급 분류 기준, 등급별 보안관리 기준을 마련하는 것이 골자다.
정보시스템 정보보호 등급은 정보의 국가·사회적 중요도, 사고 중단 시 파급 영향, 기관 신뢰도를 평가해 5등급으로(VH, H, M, L, VL)분류해 산정한다.
등급별 보안관리 기준은 ISO27001, 기반시설 진단항목, 국가정보 보안지침 등 국제 표준 및 국내 정보보호 유사 제도 등을 분석해 도출한다. 또 8개 통제영역, 47개 통제항목, 232개 세부 항목으로 구성된다.
그는 "우선 행자부와 경기도를 대상으로 정보보호 등급제를 시범 적용할 계획"이라며 "행정, 공공기관을 대상으로 설명회를 개최하는 등 의견을 수렴해 법적 근거와 운영지침을 마련할 것"이라고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기