韩国政府拟调整信息安全与个人信息保护管理体系（ISMS、ISMS-P）认证制度，重点将重要个人信息处理系统纳入ISMS-P强制认证范围，并同步提升认证审查强度。

韩国科学技术信息通信部与个人信息保护委员会10日在经济相关部长会议上公布《信息安全与个人信息保护管理体系认证制度实效性强化方案》。方案主要包括四方面内容：扩大强制认证适用对象并提高标准、升级审查方式、加强认证后监管，以及提升审查质量。

ISMS-P强制认证范围扩大，审查重心转向现场核验

根据方案，韩国政府将围绕公私领域的重要个人信息处理系统，推进ISMS-P强制认证。适用对象包括：依据《个人信息保护法》运营主要公共系统的机构，以及移动通信运营商、身份验证机构、结合营收规模和个人信息处理量认定的大型个人信息处理者等。

监管部门还计划建立基于风险的差异化管理体系，新增“强化认证”，将现有认证体系重构为强化认证、标准认证和简化认证三类。对于影响公众日常生活范围较大的强化认证对象，将适用比现行制度更严格的标准和审查方式。

与此同时，认证范围也将分阶段扩大，与认证对象所提供服务相关的设备、设施等将被逐步纳入认证范围。其中，连接外部互联网的数字资产将被要求必须纳入认证范围。

在审查方式上，韩国政府拟在正式审查前增设预审环节，提前核查需要重点确认的认证项目，并据此决定是否进入正式审查。同时，方案还将引入漏洞诊断和渗透测试等技术性审查手段。

也就是说，相关机构将先通过预审核对关键项目，未达到要求的对象将在正式审查前被筛除。正式审查阶段则将进一步强化实时演示等现场核验方式，审查重心也将由以书面材料核对为主，转向以现场实证为主。

此外，审查人力和审查周期也将相应增加。针对强化认证对象，监管部门将单独投入漏洞检查人员，对重要信息资产开展更细致的检查，并进一步扩大检查范围。

加强认证后监管，提升审查机构与审查员专业能力

在事后监管方面，韩国政府拟明显提高监管强度。按照方案，认证后的安全水平是否持续维持，将不再主要依赖一次性、阶段性的检查，而是转向常态化核查。监管部门还将把定期检查表单标准化，并在事后审查中进行重点核验。

如果发生重大安全事件，相关认证审查将被暂时中止；待政府调查结束后，再通过增加审查人力、延长审查周期等方式进行复核。若确认存在重大缺陷，监管部门还将细化处置标准，必要时可取消认证资格。

方案同时提出，要进一步压实审查机构责任，并提升审查员专业能力。监管部门将对审查机构开展可信度调查，并把结果作为下一年度审查分配的重要参考；同时，对其是否遵守指定标准开展年度事后检查。

在审查员管理方面，韩国政府将强化实务培训，并把AI、云等领域的专业能力纳入能力管理体系，同时推进待遇改善。

为推动方案落地，韩国科学技术信息通信部与个人信息保护委员会还将修订相关实施令、告示和指南，并同步推进预算等配套措施。按照计划，今年下半年将优先实施强化常态化检查、完善认证取消机制等认证后监管措施；扩大强制认证对象和建立差异化认证体系则预计自2027年起实施。

个人信息保护委员会委员长 Song Kyung-hee表示，将把认证制度进一步完善为个人信息保护的核心事前预防手段，营造让公众安心的数字环境。

韩国科学技术信息通信部第二次官 Ryu Je-myeong表示，信息安全管理体系认证制度是保障公众安心使用数字服务的重要安全装置，后续将继续提升认证制度实效性，推动其发展为更受公众信赖的认证体系。