ISMS-P 인증기준 개요

 정보보호 및 개인정보보호 관리체계 인증기준은 크게

ʻ1. 관리체계 수립 및 운영ʼ, ʻ2. 보호대책 요구사항ʼ, ʻ3. 개인정보 처리 단계별 요구사항ʼ 으로 구성되어 있습니다. 

 

 정보보호 관리체계(ISMS) 인증을 받고자 하는 신청기관은

ʻ1. 관리체계 수립 및 운영ʼ, ʻ2. 보호대책 요구사항ʼ 2개 영역에서 80개의 인증기준을 적용받게 되며,

정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받고자 하는 신청기관은

ʻ3. 개인정보 처리 단계별 요구사항ʼ을 포함하여 102개의 인증기준을 적용받게 됩니다.

 

인증기준(출처:개인정보보호위원회)

 

정보보호 및 개인정보보호 관리체계 인증기준 구성

 

영          역	분          야	항목	적용여부
			ISMS	ISMS-P
1. 관리체계 수립 및 운영 (16개)	1.1  관리체계 기반 마련	1.1.1 경영진의 참여	ㅇ	ㅇ
		1.1.2 최고책임자의 지정	ㅇ	ㅇ
		1.1.3 조직 구성	ㅇ	ㅇ
		1.1.4 범위 설정	ㅇ	ㅇ
		1.1.5 정책 수립	ㅇ	ㅇ
		1.1.6 자원 할당	ㅇ	ㅇ
	1.2  위험관리	1.2.1 정보자산 식별	ㅇ	ㅇ
		1.2.2 현황 및 흐름분석	ㅇ	ㅇ
		1.2.3 위험 평가	ㅇ	ㅇ
		1.2.4 보호대책 선정	ㅇ	ㅇ
	1.3  관리체계 운영	1.3.1 보호대책 구현	ㅇ	ㅇ
		1.3.2 보호대책 공유	ㅇ	ㅇ
		1.3.3 운영현황 관리	ㅇ	ㅇ
	1.4  관리체계 점검 및 개선	1.4.1 법적 요구사항 준수 검토	ㅇ	ㅇ
		1.4.2 관리체계 점검	ㅇ	ㅇ
		1.4.3 관리체계 개선	ㅇ	ㅇ
2. 보호대책 요구사항 (64개)	2.1  정책, 조직, 자산 관리	2.1.1 정책의 유지관리	ㅇ	ㅇ
		2.1.2 조직의 유지관리	ㅇ	ㅇ
		2.1.3 정보자산 관리	ㅇ	ㅇ
	2.2  인적 보안	2.2.1 주요 직무자 지정 및 관리	ㅇ	ㅇ
		2.2.2 직무 분리	ㅇ	ㅇ
		2.2.3 보안 서약	ㅇ	ㅇ
		2.2.4 인식제고 및 교육 훈련	ㅇ	ㅇ
		2.2.5 퇴직 및 직무변경 관리	ㅇ	ㅇ
		2.2.6 보안 위반 시 조치	ㅇ	ㅇ
	2.3  외부자 보안	2.3.1 외부자 현황 관리	ㅇ	ㅇ
		2.3.2 외부자 계약 시 보안	ㅇ	ㅇ
		2.3.3 외부자 보안 이행 관리	ㅇ	ㅇ
		2.3.4 외부자 계약 변경 및 만료 시 보안	ㅇ	ㅇ
	2.4  물리 보안	2.4.1 보호구역 지정	ㅇ	ㅇ
		2.4.2 출입통제	ㅇ	ㅇ
		2.4.3 정보시스템 보호	ㅇ	ㅇ
		2.4.4 보호설비 운영	ㅇ	ㅇ
		2.4.5 보호구역 내 작업	ㅇ	ㅇ
		2.4.6 반출입 기기 통제	ㅇ	ㅇ
		2.4.7 업무환경 보안	ㅇ	ㅇ
	2.5  인증 및 권한관리	2.5.1 사용자 계정 관리	ㅇ	ㅇ
		2.5.2 사용자 식별	ㅇ	ㅇ
		2.5.3 사용자 인증	ㅇ	ㅇ
		2.5.4 비밀번호 관리	ㅇ	ㅇ
		2.5.5 특수 계정 및 권한관리	ㅇ	ㅇ
		2.5.6 접근권한 검토	ㅇ	ㅇ
	2.6  접근통제	2.6.1 네트워크 접근	ㅇ	ㅇ
		2.6.2 정보시스템 접근	ㅇ	ㅇ
		2.6.3 응용프로그램 접근	ㅇ	ㅇ
		2.6.4 데이터베이스 접근	ㅇ	ㅇ
		2.6.5 무선 네트워크 접근	ㅇ	ㅇ
		2.6.6 원격접근 통제	ㅇ	ㅇ
		2.6.7 인터넷 접속 통제	ㅇ	ㅇ
	2.7  암호화 적용	2.7.1 암호정책 적용	ㅇ	ㅇ
		2.7.2 암호키 관리	ㅇ	ㅇ
	2.8  정보시스템 도입 및 개발 보안	2.8.1 보안 요구사항 정의	ㅇ	ㅇ
		2.8.2 보안 요구사항 검토 및 시험	ㅇ	ㅇ
		2.8.3 시험과 운영 환경 분리	ㅇ	ㅇ
		2.8.4 시험 데이터 보안	ㅇ	ㅇ
		2.8.5 소스 프로그램 관리	ㅇ	ㅇ
		2.8.6 운영환경 이관	ㅇ	ㅇ
	2.9  시스템 및 서비스 운영관리	2.9.1 변경관리	ㅇ	ㅇ
		2.9.2 성능 및 장애관리	ㅇ	ㅇ
		2.9.3 백업 및 복구관리	ㅇ	ㅇ
		2.9.4 로그 및 접속기록 관리	ㅇ	ㅇ
		2.9.5 로그 및 접속기록 점검	ㅇ	ㅇ
		2.9.6 시간 동기화	ㅇ	ㅇ
		2.9.7 정보자산의 재사용 및 폐기	ㅇ	ㅇ
	2.10 시스템 및 서비스 보안관리	2.10.1 보안시스템 운영	ㅇ	ㅇ
		2.10.2 클라우드 보안	ㅇ	ㅇ
		2.10.3  공개서버 보안	ㅇ	ㅇ
		2.10.4 전자거래 및 핀테크 보안	ㅇ	ㅇ
		2.10.5 정보전송 보안	ㅇ	ㅇ
		2.10.6 업무용 단말기기 보안	ㅇ	ㅇ
		2.10.7 보조저장매체 관리	ㅇ	ㅇ
		2.10.8 패치관리	ㅇ	ㅇ
		2.10.9 악성코드 통제	ㅇ	ㅇ
	2.11 사고 예방 및 대응	2.11.1 사고 예방 및 대응체계 구축	ㅇ	ㅇ
		2.11.2 취약점 점검 및 조치	ㅇ	ㅇ
		2.11.3 이상행위 분석 및 모니터링	ㅇ	ㅇ
		2.11.4 사고 대응 훈련 및 개선	ㅇ	ㅇ
		2.11.5 사고 대응 및 복구	ㅇ	ㅇ
	2.12 재해 복구	2.12.1 재해·재난 대비 안전조치	ㅇ	ㅇ
		2.12.2 재해 복구 시험 및 개선	ㅇ	ㅇ
3. 개인정보 처리단계별 요구사항 (22개)	3.1  개인정보 수집 시 보호 조치	3.1.1 개인정보 수집 재한	-	ㅇ
		3.1.2 개인정보의 수집 동의	-	ㅇ
		3.1.3 주민등록번호 처리 제한	-	ㅇ
		3.1.4 민감정보 및 고유식별정보의 처리제한	-	ㅇ
		3.1.5 간접수집 보호조치	-	ㅇ
		3.1.6 영상정보처리기기 설치·운영	-	ㅇ
		3.1.7 홍보 및 마케팅 목적 활용 시 조치	-	ㅇ
	3.2  개인정보 보유 및 이용 시 보호조치	3.2.1 개인정보 현황관리	-	ㅇ
		3.2.2 개인정보 품질보장	-	ㅇ
		3.2.3 개인정보 표시제한 및 이용 시 보호조치	-	ㅇ
		3.2.4 이용자 단말기 접근 보호	-	ㅇ
		3.2.5 개인정보 목적 외 이용 및 제공	-	ㅇ
	3.3  개인정보 제공시 보호조치	3.3.1 개인정보 제3자 제공	-	ㅇ
		3.3.2 업무 위탁에 따른 정보주체 고지	-	ㅇ
		3.3.3 영업의 양수 등에 따른 개인정보의 이전	-	ㅇ
		3.3.4 개인정보의 국외 이전	-	ㅇ
	3.4  개인정보 파기시 보호조치	3.4.1 개인정보의 파기	-	ㅇ
		3.4.2 처리목적 달성 후 보유 시 조치	-	ㅇ
		3.4.3 휴면 이용자 관리	-	ㅇ
	3.5  정보주체 권리보호	3.5.1 개인정보처리방침 공개	-	ㅇ
		3.5.2 정보주체 권리보장	-	ㅇ
		3.5.3 이용내역 통지	-	ㅇ

 

 

 

 

 

출처: 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 안내서(2022.4.)