ISMS 이바구 04 - 하나의 기관, 2개의 법률

하나의 기관, 2개의 법률

하나의 기관인데 2개의 법률을 적용할 수 있을까?
예를 들면 개인정보보호법과 정보통신망법을 동시에 보안 정책에 적용해야 하는지?

 

-------------------------------------------------------------

 

관리체계를 담당하는 담당자라면 당연히 2개의 법률을 믹서로 갈아서 둘다 만족하도록 할 것이다.
그러나 인증 심사원 입장에서 이것을 결함이라고 할 수 있을까?

둘다 적용하는 경우 이중 규제가 될 수 있기 때문이다.

 

따라서 해당 인증 범위에 적용되는 적용되는 하나의 법령을 준수하면 만족하는 것으로 봐야 할 것같다.

예를 들어 망분리의 경우.. 개인정보보호법에 의하면 망분리 의무화 요건은 존재하지 않는다.
따라서 정보통신망법에 적용되지 않는 사업장의 경우 망분리 의무는 없다고 볼 수 있다.
물론 법령은 최소한의 기준이므로 망분리를 했다고 해서 문제될 것은 없다.

 

그러나 인증에서는 최상의 보안 수준을 요구하는 것이 아니라 최소한 법적 요구사항은 준수하고 있음을
확인하는 과정이므로 권고 수준이지 결함 수준은 아니라고 본다.

 

현실은 분명하지만은 않다.
정보통신망법 적용대상이지만 제외인 부분도 있기 때문이다.
예를 들어 전자금융의 경우 인터넷을 이용한 상거래 활동이 일어나기 때문에 망법에 적용받지만
코아뱅킹의 경우 금융관련 법령을 따르기 때문이다.

개인정보 관련 법이 통합되지 않는 한 당분간 이러한 혼란은 계속 일어날 것같다.

 

본 글은 KISA의 공식적인 입장이 아니라 심사원 개인의 의견이므로 틀릴 수도 있고 다를 수도 있습니다.