정보보호 및 개인정보보호 관리체계 인증(ISMS-P)
정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원 또는 인증기관이 증명하는 제도
정보보안 관련 국제 기준인 ISO27000(ISMS) 시리즈의 국내 버전이라고 할 수 있을 만큼 유사하다.
ISO27001은 국제표준화기구인 ISO와 국제전기기술위원회인 IEC에서 제정한 정보보호관리를 위한 국제 표준으로 정보보호 분야에서 권위 있는 구제 인증제도이다. ISO/IEC27000 Family에는 용어, 요구사항, 지침 등을 규정하고 있고, 여기서 보통 ISO27001 취득을 목표로 하게 된다. 14개의 관리 영역, 114개의 세부항목에 대한 엄격한 심사를 거쳐 인증서를 부여한다.
ISMS-P의 경우 심사항목으로는 ISMS는 80개, ISMS-P는 102개로 구성되어 있다.
1. 법령 근거
정보통신망법과 개인정보보호법에 의거하여 ISMS-P를 운영하고 있으며,
과거 정보보호 인증제도인 ISMS와 개인정보 인증제도인 PIMS가 현재의 ISMS-P로 통합 되었다.
인증받고자 하는 보호 범위가 개인정보가 없다면, P를 제외하고 ISMS 인증을 선택하여 받을 수 있다.
- 정보통신망 이용촉진 및 정보보호에 관한 법률 제47조
- 정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제47조~제54조
- 정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제3조
- 개인정보보호법 제32조의2
- 개인정보보호법 시행령 제34조의2~제34조의8
- 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
2. 인증체계
크게 3가지 체계로 정책기관, 인증기관, 심사기관으로 구분이 되며, 각 역할은 다음과 같다.
- (정책기관) 법적근거 지원, 인증기관 및 심사기관 지정
- (인증기관)
- 한국인터넷진흥원(KISA) : ISMS-P 제도 운영, 인증서 발급, 인증심사원 자격관리
- 금융보안원(FSI) : 금융분야 인증서 발급, 금융분야 인증심사
- (심사기관) 정보통신진흥협회(KAIT), 정보통신기술협회(TTA), 개인정보보호협회(OPA)
3. 인증 기준
ISMS-P 인증 역시 요구사항에서 물리적 보안, 관리적 보안, 기술적 보안을 모두 포함한다.
그리고 개인정보 수집과 보호, 폐기에 이르는 개인정보 생애주기에 대한 대책을 요구하고 있다.
구분 | 통합 인증 | 분야(인증개수) | ||
ISMS-P | ISMS | 1.관리체계 수립 및 운영(16) | 1.1 관리체계 기반 마련(6) 1.3 관리체계 운영(3) |
1.2 위험관리(4) 1.4 관리체계 점검 및 개선(3) |
2.보호대책 요구사항(64) | 2.1 정책, 조직, 자산 관리(3) 2.3 외부자 보안(4) 2.5 인증 및 권한 관리(6) 2.7 암호화 적용(2) 2.9 시스템 및 서비스 운영관리(7) 2.11 사고 예방 및 대응(5) |
2.2 인적보안(6) 2.4 물리보안(7) 2.6 접근통제(7) 2.8 정보시스템 도입 및 개발 보안(6) 2.10 시스템 및 서비스 보안관리(9) 2.12 재해복구(2) |
||
- | 3.개인정보 처리단계별 요구사항(22) |
3.1 개인정보 수집 시 보호조치(7) 3.3 개인정보 제공 시 보호조치(3) 3.5 정보주체 권리보호(3) |
3.2 개인정보 보유 및 이용 시 보호조치(5) 3.4 개인정보 파기 시 보호조치(4) |
4. 신청대상
① 자율 신청자
의무 대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의 신청자로 분류되며, 임의 신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있다.
② ISMS 인증 의무 대상자(정보통신망법 제47조 2항)
인증 의무 대상자는 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 표에서 기술한 의무대상자 기준에 하나라도 해당되는 자이다.
구분 | 의무대상자 기준 |
ISP | 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 |
IDC | 정보통신망법 제46조에 따른 집적정보통신시설 사업자 |
다음의 조건 중 하나라도 해당하는 자 |
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 - 「의료법」 제3조의4에 따른 상급종합병원 - 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 |
정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 | |
전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자 |
KISA 정보보호 및 개인정보보호관리체계 인증
isms.kisa.or.kr
'IT > 정보관리기술사' 카테고리의 다른 글
[사용자인증] AAA 란? (정의, 기능, 구성, 전망, 프로토콜) (0) | 2022.08.01 |
---|---|
ISMS-P 인증심사원 소개 (응시요건, 출제범위, 문제유형) (0) | 2022.07.20 |
[네트워크 보안] 방화벽 구축 유형 (0) | 2022.07.15 |
[네트워크 보안] 방화벽의 이해 (0) | 2022.07.15 |
[인터넷] HTML5의 개념, 구성, 주요기능, 전망 (0) | 2022.06.20 |