국외의 유사 인증제도 동향

영국의 경우 가장 먼저 BS 7799-1 이라는 정보보호관리에 관한 기준을 작성하여 보급하였고 이 내용은 국제 표준인 ISO/IEC 17799에 반영되었다. 또한 이에 기초하여 BS 7799-2 인증기준에 따른 인증 제도를 가장 먼저 수립하였다. 이 인증제도는 유럽 공통의 협동 인증 체계인 EA에서 받아들여져 현재는 유럽 공통의 인증체계에 따라 이루어지고 있다.

BS 7799 Part 1과 2는 호주/뉴질랜드, 브라질, 핀란드 공화국, 아이슬랜드, 아일랜드, 네덜란드, 노르웨이, 스웨덴 등에서 국가표준으로 선정되었다. 이 중 네덜란드에서는 SPE 20003 으로, 스웨덴에서는 SS 627799 의 명칭으로 제정되어 사용되고 있다. 또한 일본에서도 BS 7799 기반의 확장된 기준을 채택하여, 일본정보처리개발협회(JIPDEC)이 인정기관으로서 심사등록기관(인증기관)을 지정하여 인증을 제공하고 있다.

이러한 기준채택 및 인증제도를 기초로 하여 현재까지 전 세계적으로 600여개에 달하는 기업이 BS 7799 인증을 받고 있다.

한편 독일에서는 정보보호에 관한 국가기관인 BSI(Bundesamt für Sicherheit in der Informationstechnik)에서 정보기술 베이스라인 보호 매뉴얼(IT Baseline Protection Manual)을 발간하고 이에 기초하여 자체 정보보호관리체계 인증을 제공하고 있다. 현재까지 7개의 독일 기업이 인증을 받았다.

미국에는 국가 자체의 정보보호관리체계 인증을 제공하지는 않는다. 일반 기업들은 정보보호 수준에 대한 보증이 필요한 경우 BS 7799 인증이나 TruSecure와 같은 사설 업체의 컨설팅 및 인증을 통한 보증 서비스를 받는다. TruSecure의 서비스는 어떤 조직의 정보보호에 대한 컨설팅을 수행하고 자체 기준에 따라 보호서비스와 인증마크를 제공한다. 이 기간 중 인증된 분야에서 보안사고가 발생할 경우 해당 조직이 지불한 비용의 2배 범위 내에서 보상을 하기도 한다.

이와 같이 정보보호를 관리하기 위한 체계를 수립, 운영하고 그 운영 상태를 특정 기준에 따라 평가하여 보증하는 제도는 전 세계적으로 활성화되고 있다.