IT/정보관리기술사

ISMS-P 인증 소개 (대상, 절차, 기준)

피치 크러쉬 2022. 7. 20. 11:07
300x250

정보보호 및 개인정보보호 관리체계 인증(ISMS-P)

정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원 또는 인증기관이 증명하는 제도

정보보안 관련 국제 기준인 ISO27000(ISMS) 시리즈의 국내 버전이라고 할 수 있을 만큼 유사하다.

ISO27001은 국제표준화기구인 ISO와 국제전기기술위원회인 IEC에서 제정한 정보보호관리를 위한 국제 표준으로 정보보호 분야에서 권위 있는 구제 인증제도이다. ISO/IEC27000 Family에는 용어, 요구사항, 지침 등을 규정하고 있고, 여기서 보통 ISO27001 취득을 목표로 하게 된다. 14개의 관리 영역, 114개의 세부항목에 대한 엄격한 심사를 거쳐 인증서를 부여한다. 

ISMS-P의 경우 심사항목으로는 ISMS는 80개, ISMS-P는 102개로 구성되어 있다. 

ISMS-P 인증 마크

 

 

 

1. 법령 근거

정보통신망법과 개인정보보호법에 의거하여 ISMS-P를 운영하고 있으며,

과거 정보보호 인증제도인 ISMS와 개인정보 인증제도인 PIMS가 현재의 ISMS-P로 통합 되었다.

인증받고자 하는 보호 범위가 개인정보가 없다면, P를 제외하고 ISMS 인증을 선택하여 받을 수 있다.

법령근거

더보기
  • 정보통신망 이용촉진 및 정보보호에 관한 법률 제47조
  • 정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제47조~제54조
  • 정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제3조
  • 개인정보보호법 제32조의2
  • 개인정보보호법 시행령 제34조의2~제34조의8
  • 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시

 

2. 인증체계

크게 3가지 체계로 정책기관, 인증기관, 심사기관으로 구분이 되며, 각 역할은 다음과 같다.

더보기
  • (정책기관) 법적근거 지원, 인증기관 및 심사기관 지정
  • (인증기관)
    • 한국인터넷진흥원(KISA) : ISMS-P 제도 운영, 인증서 발급, 인증심사원 자격관리
    • 금융보안원(FSI) : 금융분야 인증서 발급, 금융분야 인증심사
  • (심사기관) 정보통신진흥협회(KAIT), 정보통신기술협회(TTA), 개인정보보호협회(OPA)

ISMS-P 인증체계도

 

3. 인증 기준

ISMS-P 인증기준

 

ISMS-P 인증 역시 요구사항에서 물리적 보안, 관리적 보안, 기술적 보안을 모두 포함한다.

그리고 개인정보 수집과 보호, 폐기에 이르는 개인정보 생애주기에 대한 대책을 요구하고 있다.

구분 통합 인증 분야(인증개수)
ISMS-P ISMS 1.관리체계 수립 및 운영(16) 1.1 관리체계 기반 마련(6)
1.3 관리체계 운영(3)		 1.2 위험관리(4)
1.4 관리체계 점검 및 개선(3)
2.보호대책 요구사항(64) 2.1 정책, 조직, 자산 관리(3)
2.3 외부자 보안(4)
2.5 인증 및 권한 관리(6)
2.7 암호화 적용(2)
2.9 시스템 및 서비스 운영관리(7)
2.11 사고 예방 및 대응(5)		 2.2 인적보안(6)
2.4 물리보안(7)
2.6 접근통제(7)
2.8 정보시스템 도입 및 개발 보안(6)
2.10 시스템 및 서비스 보안관리(9)
2.12 재해복구(2)
- 3.개인정보 처리단계별
  요구사항(22)		 3.1 개인정보 수집 시 보호조치(7)
3.3 개인정보 제공 시 보호조치(3)
3.5 정보주체 권리보호(3)		 3.2 개인정보 보유 및 이용 시 보호조치(5)
3.4 개인정보 파기 시 보호조치(4)

 

4. 신청대상

① 자율 신청자

의무 대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의 신청자로 분류되며, 임의 신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있다.

② ISMS 인증 의무 대상자(정보통신망법 제47조 2항)

인증 의무 대상자는 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 표에서 기술한 의무대상자 기준에 하나라도 해당되는 자이다.

구분 의무대상자 기준
ISP 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
IDC 정보통신망법 제46조에 따른 집적정보통신시설 사업자
다음의 조건 중
하나라도 해당하는 자		 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
- 「의료법」 제3조의4에 따른 상급종합병원
- 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자

 

 

 

KISA 정보보호 및 개인정보보호관리체계 인증

 

isms.kisa.or.kr

 

반응형
저작자표시 비영리 변경금지