2013년 2월부터 정보보호 안전진단제도가 폐지되고 정보보호 관리체계 인증제도가 의무화 되면서 한국인터넷진흥원에서 집계한 바에 따르면 2016년 9월까지 397건의 인증서가 발급되었다. 또한, 2016년 5월 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하, 정보통신망법) 시행령에 따라 매출액 1,500억원 이상의 상급종합병원과 재학생 수 1만명 이상인 학교가 의무 인증대상자의 범위로 추가되면서 정보보호 관리체계 인증을 취득하는 기업은 더욱 증가할 것으로 예상된다.
정보보호 관리체계는 법·제도 개선을 수행하는 미래창조과학부를 중심으로 인증기관인 한국인터넷진흥원, 인증심사결과를 심의·의결하는 인증위원회 그리고 실제 인증 심사를 수행하는 인증심사원으로 구성되어있다. 이러한 인증심사체계 안에서 정보보호 관리체계 인증심사는 효율적으로 수행되고 있으나, 실제 기업 내부에서 정보보호 관리체계를 운영하는 피 심사 기업은 비즈니스의 즉시성 및 과도한 업무 등으로 인하여 1년 마다 진행되는 사후 및 갱신, 최소심사를 인증심사 직전 2~3개월 동안 집중적으로 준비하여 정보보호 관리체계 인증을 유지하고 있는 문제점이 있다.
이러한 고질적인 문제가 발생하는 이유는 다양한 원인으로 분석될 수 있으나, 그 중 하나가 정보보호 관리체계 104개 통제항목을 내부에 적용하여 이행할 경우 개발 및 업무부서 등의 불편과 이로 인한 서비스 즉시성이 지연됨을 원인으로 볼 수 있다.
본 논문에서는 정보보호 관리체계 PDCA의 선순환 구조가 기업에 안착될 수 있도록 정보보호 관리체계 주요 결함내역을 분석하고 이런 분석결과를 바탕으로 정보보호 관리체계를 운영하는 기업에서 필요한 활동을 체크리스트로 관리할 수 있는 방안을 제시하고자 한다.