信息保护认证制度全面改编：扩大强制对象、细分为三阶段认证

by Roh Kyungjo

Published 10 Apr.2026 10:49(KST)

Updated 10 Apr.2026 10:54(KST)

open/close

《加强ISMS·ISMS-P认证制度实效性方案》
对通信公司等影响力大的领域实施认证强制化
实行常态化检查·未弥补缺陷时可取消认证

政府将对被批评为名存实亡的信息保护及个人信息保护管理体系（ISMS·ISMS-P）认证制度进行全面改编。核心内容是把以往以书面为主的审查方式转为以现场为中心，并建立常态化检查机制。同时还将扩大认证义务适用对象。

左为科学技术信息通信部第二次官 Ryu Jemyeong，右为个人信息保护委员会委员长 Song Gyeonghui，12日在首尔光化门 HJ商务中心举行的“信息保护及个人信息保护管理体系（ISMS·ISMS-P）制度改善座谈会”上发言。记者卢敬祚提供

个人信息保护委员会与科学技术信息通信部于10日在政府首尔办公大楼举行的经济关系长官会议上，发布了包含上述内容的《信息保护及个人信息保护管理体系认证制实效性强化方案》。

ISMS·ISMS-P认证，是对企业、机构所构建并运营的信息保护及个人信息保护体系是否适当进行认证的制度。企业、机构通过ISMS·ISMS-P认证，可识别所持有的信息资产，系统化个人信息处理流程，并管理潜在安全风险。但近期获得该认证的电信公司、大型平台等接连发生个人信息泄露事故，引发了关于该制度实效性的争议。

对此，政府决定推进认证义务化及标准强化、审查方式改编、事后管理强化、审查质量提升等四大课题。首先，将以对国民生活影响较大的经营者为中心，扩大认证义务对象。针对主要公共系统运营机构、移动通信运营商、本人的身份确认机构，以及综合考虑销售额和个人信息处理规模等因素认定的大规模个人信息处理者，强制实施ISMS-P认证，并分阶段扩大适用范围。

认证体系将根据风险程度实行差异化管理。将摆脱既有单一标准，导入“强化认证·标准认证·简化认证”三阶段体系，并对对国民生活具有较大波及力的强化认证组适用更加严格的标准和审查方式。同时，分阶段扩大认证范围，确保与认证对象服务相关的设备、设施等全部纳入其中。特别是必须将与外部互联网连接、存在被利用为攻击路径可能性的主要数字资产纳入认证范围。

审查方式将转为以现场为中心。在正式审查前通过预审查事先检查核心认证标准，并扩大漏洞诊断和模拟渗透等技术审查。还将引入现场实证方式，如实时演示确认等，检查实际安全管理水平。通过增加审查人力和审查期限，加强对标准认证组的现场检查，并为强化认证组专门配备漏洞检查人员，对重要性较高的信息资产进行精细检查。

同时，将摆脱只在特定时间点进行检查的“快照式”审查方式，建立常态化检查体系，确保认证之后安全水平也能得到维持。政府将构建与认证机构共享事故履历的体系，重大事故发生时，在政府调查和处分等结束后，对事故原因、处置现状及防止再次发生对策等进行彻底审查。若未能在期限内完成对重大缺陷的补救措施，将启动认证取消程序。

还将同步强化审查机构的管理责任，并提升审查员的专业能力。每次认证审查结束后，将对审查机构开展可信度调查，并在下一年度认证审查任务分配时反映调查结果，以促使审查机构自主管理质量。与审查质量相关的项目将反映在指定和重新指定评估中，防止审查流于形式，并通过每年开展事后检查，严格确认审查机构是否遵守指定标准。

两部门计划推进修订实施令和公告等后续措施。以今年下半年开始实施常态化检查和强化认证取消标准等事后管理制度，以明年开始实施ISMS-P义务化和差异化认证体系为目标。