속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

오스템임플란트, ISMS 인증 3년 연속 유지…사업 다각화 속 정보보호 관리체계 안정성 입증

오스템임플란트가 ISMS 인증을 3년째 유지하며 사업 다각화와 함께 정보보호 관리체계의 지속성을 확보했다. 글로벌 사업 확장과 인테리어 등 신사업 진출 과정에서도 정보보호 수준을 일관되게 관리하고 있는 것으로 평가된다.

백남정 기자
입력 2026년 7월 14일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/f7c331

핵심 요약

- 오스템임플란트, ISMS(정보보호 관리체계) 인증 3년 연속 유지로 정보보호 관리체계의 지속성 확보 - 유럽 투어 세미나 개최 등 글로벌 사업 확장과 인테리어 사업(누적 2천호) 다각화 과정에서도 정보보호 수준 유지 - 사업 영역 확대 시 정보보호 관리체계의 범위 조정 및 통합 관리가 핵심 과제로 부상

주요 내용

오스템임플란트가 2026년 현재 ISMS 인증을 3년째 유지하고 있는 것으로 확인됐다. 2024년 최초 인증 취득 이후 매년 사후심사를 통과하며 정보보호 관리체계의 안정적 운영을 입증한 것이다. 특히 이 기간 동안 회사는 지난달 '오스템 유럽 투어 세미나 2026' 개최 등 글로벌 사업 확장과 함께 인테리어 사업 누적 수주 2천호 돌파 등 사업 다각화를 동시에 추진해왔다.

ISMS 인증은 정보보호 관리체계 인증기준(80개 통제항목)을 충족해야 취득할 수 있으며, 인증 후에도 매년 사후심사, 3년마다 갱신심사를 통과해야 한다. 오스템임플란트의 3년 연속 유지는 조직 변화와 사업 확장 과정에서도 정보보호 정책, 위험관리, 보안대책 등을 일관되게 운영하고 있음을 의미한다.

특히 헬스케어 기업의 경우 환자 정보, 의료 데이터 등 민감정보를 다루는 만큼 정보보호 관리가 더욱 중요하다. 오스템임플란트는 본업인 덴탈 임플란트 사업 외에 인테리어 등 B2C 영역으로 사업을 확장하면서 고객 개인정보의 유형과 처리 범위가 다양해졌을 것으로 추정된다. 이러한 상황에서 ISMS 인증을 지속 유지한다는 것은 확장된 사업 영역까지 정보보호 관리체계가 통합 적용되고 있다는 의미로 해석할 수 있다.

글로벌 세미나 개최 등 해외 사업 확대는 국경 간 데이터 이동, 현지법인 정보보호 관리 등 새로운 보안 이슈를 수반한다. 회사가 체코법인 등을 운영하며 유럽 시장을 공략하는 과정에서도 ISMS 인증 수준의 정보보호 체계를 유지하고 있다는 점은 주목할 만하다.

전문가 시각

사업 다각화와 글로벌 확장 과정에서 ISMS 인증을 연속 유지하는 것은 단순히 인증서를 보유하는 것 이상의 의미를 갖는다. 신규 사업 영역이 추가될 때마다 정보자산 식별, 위험 평가, 보호대책 수립이라는 ISMS의 기본 프로세스를 반복 적용해야 하며, 이는 상당한 조직 역량을 요구한다. 특히 인테리어 사업처럼 기존 B2B 중심에서 B2C로 확장할 경우 개인정보 처리 규모와 유형이 급격히 증가하므로, 개인정보 처리방침 개정, 제3자 제공 동의 체계 정비, 위탁 관리 강화 등 실무적 대응이 필수적이다.

심사원 관점에서 볼 때, 사업 다각화 기업의 사후심사에서는 '관리체계 범위의 적절성'과 '변경관리 프로세스의 실효성'이 핵심 심사 포인트가 된다. 신규 사업부서나 해외 법인이 정보보호 정책의 사각지대가 되지 않도록 통제 범위를 명확히 설정하고, 최고경영진의 지속적인 관심과 자원 배분이 이루어지는지를 확인해야 한다. 오스템임플란트 사례는 사업 확장 시에도 정보보호 거버넌스를 일관되게 유지하는 것이 가능함을 보여주는 모범 케이스로 평가할 수 있다.

ISMS-P 심사원 체크포인트

1. 관리체계 범위 및 적용 대상 명확화 (ISMS-P 1.1.1)

사업 다각화 및 해외 진출 시 정보보호 관리체계의 적용 범위가 명확히 정의되어야 한다. 인증기준 1.1.1(정책의 수립 및 공표)에 따라 새로운 사업 영역(인테리어 사업), 해외 법인(체코법인 등)이 관리체계 범위에 포함되는지, 정보보호 정책이 전사적으로 적용되는지 확인이 필요하다. 심사 시에는 조직도, 사업 현황 자료, 정보보호 정책서의 적용 범위 기술 내용을 교차 검증하며, 범위 변경 이력과 최고경영자 승인 문서를 확인한다.

2. 변경관리 및 사후심사 대응 (ISMS-P 1.3.2)

ISMS 인증 3년 유지는 매년 사후심사를 통과했음을 의미한다. 인증기준 1.3.2(정보보호 관리체계 점검 및 개선)에 따라 사업 확장, 조직 개편, 신규 서비스 도입 등 중요 변경사항이 발생할 때마다 위험 재평가와 보호대책 조정이 이루어져야 한다. 심사원은 연간 내부심사 보고서, 경영검토 회의록, 시정조치 이력을 통해 변경관리 프로세스가 실제로 작동하는지 확인한다. 특히 신규 사업의 개인정보 흐름도(Data Flow Diagram), 위험평가 결과, 신규 시스템의 보안성 검토 결과를 중점 점검한다.

3. 국외 이전 및 위탁 관리 (ISMS-P 3.1.7, 개인정보보호법 제28조의8)

유럽 세미나 개최 및 현지 법인 운영은 개인정보의 국외 이전 이슈와 직결된다. 인증기준 3.1.7(개인정보 국외 이전) 및 개인정보보호법 제28조의8(개인정보의 국외 이전)에 따라 고객·임직원 개인정보를 해외로 이전할 경우 법적 근거(동의, 계약 이행 등) 확보, 이전 국가의 정보보호 수준 검토, 정보주체 고지 등의 의무를 준수해야 한다. 심사 시 개인정보 처리방침의 국외 이전 고지 내용, 해외 법인과의 데이터 이전 계약서(SCC 등), 이전 현황 관리 대장을 확인한다.

CPPG·ISMS-P 연계 포인트

1. 관리체계 지속성과 사후심사 제도 ISMS/ISMS-P 인증은 최초 인증 후 매년 사후심사(Surveillance Audit), 3년마다 갱신심사(Recertification Audit)를 거쳐야 유지된다. 이는 정보보호가 일회성이 아닌 지속적 개선 활동(PDCA Cycle)임을 강조하는 제도적 장치다. 기업은 연간 내부심사, 경영검토를 통해 관리체계의 적정성을 자체 점검하고, 심사원은 이러한 자체 점검 체계의 실효성을 평가한다.

2. 사업 확장 시 위험관리 프로세스 적용 신규 사업 진출, 조직 개편, M&A 등 중요 변경사항 발생 시 정보자산 재식별→위험 재평가→보호대책 재설계의 위험관리 프로세스를 반복 적용해야 한다. 특히 B2C 사업 확장 시 개인정보 처리량 증가, 새로운 정보 유형(위치정보, 결제정보 등) 추가에 따른 법적 요구사항(동의 체계, 안전조치 기준 등) 변화를 정확히 파악하고 관리체계에 반영하는 것이 핵심이다.

#ISMS인증#오스템임플란트#정보보호관리체계#사업다각화#인증유지관리
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사