ISMS 및 ISMS-P 란? 인증 절차까지 알아보기

■ 정보보호 및 개인정보보호 관리체계란? (ISMS, ISMS-P)

 - 기업이나 기관이 정보자산을 보호하기 위해 수립·운영하는 관리체계가 국가 기준에 적합한지 인증기관 (KISA 등)이 객관적으로 심사하여 인증을 부여하는 제도

 

■ 시행근거

 - 정보통신망법 제47조(정보보호 관리체계의 인증)

 - 개인정보보호법 제32조의2(개인정보 보호 인증)

 - 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시

 

■ 인증 의무 대상

 - 정보통신망법에 따른 의무 대상 (미이행 시 3천만원 이하 과태료)

구분	상세 기준 (직전연도)
ISP	정보통신망 서비스를 제공하는 자 (KT, SKB, LGU+ 등)
IDC	집적정보통신시설 사업자 (데이터센터 등)
상급종합병원 및 학교	연 매출(세입) 1,500억 원 이상인 상급종합병원 또는 재학생 1만 명 이상인 학교
정보통신서비스	정보통신서비스 부문 매출액 100억 원 이상인 자
이용자 수	일일 평균 이용자 수 100만 명 이상인 자

 

* 중소·영세 기업의 부담을 줄이기 위해 간편인증 제도가 시행되고 있습니다.

* 간편인증에 대해 확인👇

ISMS, ISMS-P 간편 인증 제도

 

 

■ 인증 종류

종류	상세 내용
최초 심사	인증을 처음으로 취득할 때 진행되는 심사  - 유효기간 3년  - 인증의 범위에 중요한 변경이 있어 다시 인증을 신청할 때에도 최초 심사 진행
사후 심사	인증을 취득한 이후 유지되고 있는지 확인하는 것을 목적으로 매년 1회 심사
갱신 심사	유효기간(3년) 연장을 목적으로 심사

 

■ 인증 절차

구분	세부 절차	세부 내용
준비 및 신청	1. 관리체계 구축 및 운영 2. 인증 신청 3. 예비점검 4. 수수료 청구 및 납무	1. 2개월 이상의 관리체계 구축 및 운영 현황 2. 신청서류 접수 (신청공문, 신청서, 명세서) 3. 인증범위 및 명세서 현황 예비점검  - 대략 신청 후 한달 이내 4. 수수료 청구 및 납부
심사	1. 인증심사 (현장심사) 2. 결함 조치 및 보고서 제출 3. 이행점검 4. 인증 심사 심의 안건	1. 인증심사 (증적자료 확인 및 실사점검)  - 심사 범위, 종류에 따라 기간 상이  - 결함사항 도출 2. 결함 조치 및 보고서 제출  - 40일 내 보완하여 제출  - 기간 연장(+60일)이 필요한 경우 기간 연장 신청서 제출 3. 결함 보완 내역에 대한 현장점검  - 미흡 시 재요청 4. 심사기간에서 위원회에 심의 안건 제출
인증	1. 인증위원회 검토·심의 2. 인증서 발급	인증위원회 검토·심의 후 인증서 발급

 

■ 인증 기준

구분		영역	분야
ISMS-P	ISMS	관리체계 수립 및 운영 (16개)	1.1 관리체계 기반 마련 (6개) 1.2 위험 관리 (4개) 1.3 관리체계 운영 (3개) 1.4 관리체계 점검 및 개선 (3개)
		보호대책 요구사항(64개)	2.1 정책, 조직, 자산 관리 (3개) 2.2 인적 보안 (6개) 2.3 외부자 보안 (4개) 2.4 물리 보안 (7개) 2.5 인증 및 권한 관리 (6개) 2.6 접근통제 (7개) 2.7 암호화 적용 (2개) 2.8 정보시스템 도입 및 개발 보안 (6개) 2.9 시스템 및 서비스 운영관리 (7개) 2.10 시스템 및 서비스 보안관리 (9개) 2.11 사고 예방 및 대응 (5개) 2.12 재해복구 (2개)
	-	개인정보 처리 단계별 요구사항 (21개)	3.1 개인정보 수집 시 보호조치 (7개) 3.2 개인정보 보유 및 이용 시 보호조치 (5개) 3.3 개인정보 제공 시 보호조치 (4개) 3.4 개인정보 파기 시 보호조치 (2개) 3.5 정보주체 권리보호 (3개)

* ISMS는 2개의 영역으로 총 80개의 항목

* ISMS-P는 3개의 영역으로 총 101개의 항목

* 각 항목에 대한 내용 및 대응방안은 개별 게시글을 참고 부탁드립니다.