编者按:在数字化浪潮席卷全球的今天,个人信息安全已成为社会关注的焦点。近期,韩国知名电商平台Coupang等企业接连发生数据泄露事件,引发公众对信息安全认证体系的深刻反思。这些企业虽已获得权威认证,却未能有效防范风险,暴露出现行认证制度在后续监管上的薄弱环节。为此,韩国政府果断出手,宣布全面加强信息安全管理体系认证的审核与后续监管力度,推动认证制度从“重审核”向“重管理”转变。这一改革不仅关乎企业合规,更牵动着每一位用户的数据安全命脉。以下带来详细解读。政府决定大幅加强对信息安全管理体系(ISMS)及信息安全与个人信息保护管理体系(ISMS-P)认证后的管理与审核标准。此前,已获得此类认证的Coupang等公司多次发生个人信息泄露事件,直接促成了此次政策调整。根据新规,若已获认证的企业发生数据泄露,政府将启动专项认证后审查,一旦发现认证标准存在严重缺陷,将推动撤销其认证资格。个人信息保护委员会与科学和信息通信技术部于6日宣布,已召开跨部门工作组会议,专门讨论认证制度的改进方案。根据改革计划,原本基于自愿申请原则运作的ISMS-P认证,将对主要的公共及私营个人信息处理系统转为强制性要求,以确保持续的安全管理。重点实施对象包括关键公共系统、电信公司及大型平台。为此,政府将推动修订《个人信息保护法》和《信息通信网络法》。审核流程也将得到全面加强。在初步审核阶段将优先核验核心项目,同时强化技术审核与现场核查。政府计划按行业设立认证委员会,并扩大审核员在人工智能相关领域的培训,以提升专业能力。认证后管理将更为严格。若已获认证企业发生数据泄露,将立即启动专项认证后审查,以核实其是否符合认证标准。若发现严重缺陷,经认证委员会审议决议,可撤销其认证资格。截至目前,尚未有获证企业被撤销认证。对于发生泄露的企业,认证后审查的人员数量和持续时间将较以往标准增加一倍,以集中排查事件原因及复查防范措施。个人信息保护委员会将于本月开始对涉及泄露的获证企业进行现场检查。特别是对于如Coupang等目前正在接受调查的企业,将由科学和信息通信技术部的公私联合工作组、个人信息保护委员会、韩国互联网振兴院及金融安全院进行联合检查,以核实验证其是否符合认证标准。
