반응형
개요
'정보보호 및 개인정보보호 관리체계 인증'(ISMS-P : Personal information & Information Security Management System)은 '개인정보보호 관리체계 인증(PIMS)'과 '정보보호 관리체계 인증(ISMS)'으로 개별 운영되던 인증체계를 하나로 통합한 '통합인증제도'로 2018년 11월 7일부터 시행되었습니다.
기업과 기관은 '정보보호 및 개인정보보호 관리체계 인증'을 통해 자사의 개인정보보호 및 정보보안에 대한 대외 신뢰도 향상 및 내·외부의 개인 정보 침해 위험 저감을 기대할 수 있습니다.
| 구분 | 내용 | |
| ISMS | 정보보호 관리체계 인증 | - 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산을 포함 |
| ISMS-P | 정보보호 및 개인정보보호 관리체계 인증 |
- 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산 - 개인정보 처리를 위한 수집, 보유, 이용, 제공, 파기에 관여하는 개인정보처리 시스템, 취급자를 포함 |
법적 근거
- 「개인정보 보호법」 제32조의2(개인정보 보호 인증)
- 「정보통신망 이용촉진 및 정보보호에 관한 법률」 제47조
「정보통신망 이용촉진 및 정보보호에 관한 법률 시행령」 제47조~제54조
「정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙」 제3조
「개인정보보호법 시행령」 제34조의2~제34조의8
「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」
처리 절차, 인증체계 및 기준
처리절차
| 인증심사신청 → 인증심사 → 보완조치 → 인증위원회 개최 → 인증서 발급 → 사후관리 |
인증절차 기본 흐름
- 신청기관이 인증기관에 심사신청
- 인증기관이 신청기관에 예비점검 및 계약
- 인증기관이 인증심사팀에 심사팀 구성
- 인증심사팀이 신청기관에 인증심사
- 신청기관이 인증심사팀에 보완조치 결과제출
- 인증심사팀이 인증기관에 심사결과 보고서 제출
- 인증기관이 인증위원회에 인증심사결과 심의·의결요청(최초/갱신)
- 인증위원회가 인증기관에 의결결과 통보
- 인증기관이 신청기관에 인증서 발급
심사종류
최초심사 ←(1년)→ 사후심사 ←(1년)→ 사후심사 ←(1년)→ 갱신심사
| 구분 | 설명 |
| 최초심사 | 인증을 처음으로 취득할 때 진행하는 심사 인증의 범위에 중요한 변경이 있어 다시 인증을 신청할 때에도 실시 최초심사를 통해 인증을 취득하면 3년의 유효기간이 부여 |
| 사후심사 | 인증을 취득한 이후 정보보호 관리체계가 지속적으로 유지되고 있는지 확인하는 것을 목적 인증 유효기간 중 매년 1회 이상 시행 |
| 갱신심사 | 정보보호 관리체계 인증 유효기간 연장이 목적 |
인증홍보
- 인증 표시를 사용하는 경우, 범위와 유효기간을 함께 표시
- 고시에 지정된 색상 등 사용방법을 준수
- 거짓으로 표시하거나 홍보한자는 과태료 부과
- 정보통신망법 : 1천만원, 개인정보보호법 : 3천만원
인증체계
| 정책기관 | 과학기술정보통신부 | 법,제도 개선 및 정책결정 인증기관 및 심사기관 지정 |
|
| 개인정보보호위원회 | |||
| 인증기관 | 한국인터넷진흥원(KISA) | isms-p@kisa.or.kr | 제도 운영 및 인증품질관리 신규 특수 분야 인증검사 인증서 발급 인증심사원 양성 및 자격관리 |
| 금융보안원(FSEC) | isms@fsec.or.kr | 금융분야 인증심사 금융분야 인증서 발급 |
|
| 심사기관 | 정보통신진흥협회(KATI) | isms@kait.or.kr | 인증심사 수행 |
| 정보통신기술협회(TTA) | isms@tta.or.kr | ||
| 개인정보보호협회(OPA) | isms-p@opa.or.kr | ||
| 차세대정보보안인증원(NISC) | isms@nisc.kr |
인증심사 기준
| ISMS-P | ISMS | 1. 관리체계 수립 및 운영(16) | 1.1 관리체계 기반 마련(6) 1.2 위험관리(4) 1.3 관리체계 운영(3) 1.4 관리체계 점검 및 개선(3) |
| 2. 보호대책 요구사항(64) | 2.1 정책, 조직, 자산 관리(3) 2.2 인적보안(6) 2.3 외부자 보안(4) 2.4 물리보안(7) 2.5 인증 및 권한 관리(6) 2.6 접근통제(7) 2.7 암호화 적용(2) 2.8 정보시스템 도입 및 개발 보안(6) 2.9 시스템 및 서비스 운영관리(7) 2.10 시스템 및 서비스 보안관리(9) 2.11 사고 예방 및 대응(5) 2.12 재해복구(2) |
||
| - | 3. 개인정보 처리단계별 요구사항(22) | 3.1 개인정보 수집 시 보호조치(7) 3.2 개인정보 보유 및 이용 시 보호조치(5) 3.3 개인정보 제공 시 보호조치(3) 3.4 개인정보 파기 시 보호조치(4) 3.5 정보주체 권리보호(3) |
인증대상
자율신청자
- 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의 신청자로 분류
- 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청
ISMS인증 의무대상자(정보통신망법 제47조 2항)
- 「전기통신사업법」 제2조 제8호에 따른 전기통신사업자
- 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 아래 표에서 기술한 의무대상자 기준에 하나라도 해당되는 자
| 구분 | 의무대상자 기준 |
| ISP | 「전기통신사업법」 제6조 제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 |
| IDC | 「정보통신망법」 제46조에 따른 집적정보통신시설 사업자 |
| 다음의 조건 중 하나라도 해당하는 자 |
연간 매출액 또는 세입이 1,500억원 이상인자 중에서 다음에 해당되는 경우 - 「의료법」 제3조의4에 따른 상급종합병원 - 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 |
| 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말함) 매출액이 100억원 이상인 자 | |
| 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인자 |
의무대상자 신청
- ISMS, ISMS-P 인증 중 선택 가능
- 인증을 최초로 신청하는 경우 다음 해 8월 31일까지 인증 취득
- 이미 인증을 취득한 기업의 경우 해당없음
반응형
'IT 강좌(IT Lectures) > ISMS-P' 카테고리의 다른 글
| 1.2 위험 관리 (0) | 2023.06.15 |
|---|---|
| 1.1 관리체계 기반 마련 (0) | 2023.06.14 |
| ISMS-P 인증기준 개요 (1) | 2023.06.13 |
