이전 게시글에서는 ISMS, ISMSP-P 인증에 대해 알아보았습니다.
ISMS 및 ISMS-P 란? 인증 절차까지 알아보기
■ 정보보호 및 개인정보보호 관리체계란? (ISMS, ISMS-P) - 기업이나 기관이 정보자산을 보호하기 위해 수립·운영하는 관리체계가 국가 기준에 적합한지 인증기관 (KISA 등)이 객관적으로 심사하여
blackducks.tistory.com
이번에는 2024년 7월부터 시행된 ISMS, ISMS-P 간편인증에 대해 알아보겠습니다.
■ ISMS / ISMS-P 간편인증이란?
- 매출액이나 이용자 수가 적은 중소기업 및 소상공인을 대상으로 보안 수준을 유지하면서도 인증 획득의 부담을 줄여주기 위한 제도
- 인증기준, 인증비용, 인증기간 등 간소화 (40~50%수준)
> ISMS (400~700만원) / ISMS-P (600~1,100만원)
■ 시행근거
- 정보통신망법 제47조의7 (정보보호 관리체계 인증의 특례)
- 정보통신망법 시행령 제49조의2(정보보호 관리체계 인증의 특례 대상자의 범위)
- 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
■ 적용대상
- 중소기업기본법 제2조제2항에 따른 소기업
- 정보통신서비스 부문 매출액이 300억원 미만의 중소기업
- 정보통신서비스 부문 매출액이 300억원 이상인 중기업 중 회사 내 주요 정보통신설비*를 보유하지 않은 기업
* 설비란, 회사 내 자체서버, 네트워크 장비, 보안솔루션 등을 말하며 웹호스팅 서비스, 클라우드 서비스를 이용하는 기업
※ 다만, ISP, IDC, 일부 상급종합병원 및 대학교, 금융회사, 가상자산사업자는 제외
■ 인증기준 (소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업)
| 구분 | 영역 | 분야 | |
| ISMS-P | ISMS | 관리체계 수립 및 운영(8개) | 1.1 관리체계 기반 마련(5개) 1.2 위험관리 (1개) 1.3 관리체계 운영 (1개) 1.4 관리체계 점검 및 개선 (1개) |
| 보호대책 요구사항(33개) | 2.1 인적 보안 (2개) 2.2 외부자 보안 (1개) 2.3 물리 보안 (4개) 2.4 인증 및 권한관리 (4개) 2.5 접근통제 (4개) 2.6 암호화 적용 (1개) 2.7 정보시스템 도입 및 개발 보안 (4개) 2.8 시스템 및 서비스 운영관리 (3개) 2.9 시스템 및 서비스 보안관리 (7개) 2.10 사고 예방 및 대응 (3개) |
||
| - | 개인정보 처리단계별 요구사항(21개) | 3.1 개인정보 수집 시 보호조치 (7개) 3.2 개인정보 보유 및 이용 시 보호조치 (5개) 3.3 개인정보 제공 시 보호조치 (4개) 3.4 개인정보 파기 시 보호조치 (2개) 3.5 정보주체 권리보호 (3개) |
|
* ISMS는 2개의 영역으로 총 41개의 항목
* ISMS-P는 3개의 영역으로 총 62개의 항목
■ 인증기준 (주요 정보통신설비 미보유 중기업)
| 구분 | 영역 | 분야 | |
| ISMS-P | ISMS | 관리체계 수립 및 운영(11개) | 1.1 관리체계 기반 마련(5개) 1.2 위험관리 (2개) 1.3 관리체계 운영 (1개) 1.4 관리체계 점검 및 개선 (3개) |
| 보호대책 요구사항(33개) | 2.1 정책, 조직, 자산 관리 (3개) 2.2 인적 보안 (4개) 2.3 외부자 보안 (1개) 2.4 물리 보안 (2개) 2.5 인증 및 권한관리 (4개) 2.6 접근통제 (4개) 2.6 암호화 적용 (1개) 2.8 정보시스템 도입 및 개발 보안 (3개) 2.9 시스템 및 서비스 운영관리 (3개) 2.10 시스템 및 서비스 보안관리 (5개) 2.11 사고 예방 및 대응 (3개) |
||
| - | 개인정보 처리단계별 요구사항(21개) | 3.1 개인정보 수집 시 보호조치 (7개) 3.2 개인정보 보유 및 이용 시 보호조치 (5개) 3.3 개인정보 제공 시 보호조치 (4개) 3.4 개인정보 파기 시 보호조치 (2개) 3.5 정보주체 권리보호 (3개) |
|
* ISMS는 2개의 영역으로 총 44개의 항목
* ISMS-P는 3개의 영역으로 총 65개의 항목
■ 인증절차
- 기존 ISMS 및 ISMS-P 와 동일하지만 간편인증 대상 여부 확인을 위한 증빙서류 제출 필요
> 중소기업 확인서, 정보통신서비스 부문 매출액 증빙 자료*, 주요 정보통신서비스 미보유 증빙 자료**
* 정보통신서비스 부문 매출액 증빙 자료 : 재무제표 (손익계산서 포함) 등
** 주요 정보통신서비스 미보유 증빙 자료 : 웹호스팅 서비스, 클라우드서비스 계약서 등
'ISMS, ISMS-P' 카테고리의 다른 글
| [ISMS/ISMS-P 인증기준] (관리체계) 1.1.4 범위 설정 (0) | 2026.01.31 |
|---|---|
| [ISMS/ISMS-P 인증기준] (관리체계) 1.1.3 조직구성 (0) | 2026.01.30 |
| [ISMS/ISMS-P 인증기준] (관리체계) 1.1.2 최고책임자의 지정 (0) | 2026.01.29 |
| [ISMS/ISMS-P 인증기준] (관리체계) 1.1.1 경영진의 참여 (0) | 2026.01.27 |
| ISMS 및 ISMS-P 란? 인증 절차까지 알아보기 (0) | 2026.01.12 |