ISMS - P 인증제도 개요

 

해당 문서는 kisa에서 제공하는 ISMS-P 인증제도에 관련한 내용을 학습 목적으로 정리해둔 것입니다.

문제 시 댓글로 남겨주시기 바랍니다.

---

 

 

 

1.1) ISMS - P의 법적 근거

출처 : kisa_isms-p 인증제도_안내서

정보보호 관리체계를 ISMS , 개인정보보호 관리체계를 PIMS 라고 하며 이 둘을 결합한 체계가 isms -p 이다. 

 

 

1.2) 인증제도 추진 경과

출처 : kisa_isms-p 인증제도_안내서

 

ISMS -P 인증 대상 기업이 늘어남에 따라 한국정보통신진흥협회(KAIT, 2014년 4월), 한국정보통신기술협회(TTA, 2015년 2월)를 ISMS 심사기관으로, 금융보안원(FSI, 2015년 7월)을 ISMS 인증기관으로 추가 지정하였다.

 

 

인증의 유형은 ISMS, ISMS-P로 나뉘는데

다음과 같이 정보보호 중심으로 인증을 하여 조직의 정보보호 강화를 위해 인증을 취득하고자 하는 기관은 ISMS 인증을 받고

개인정보흐름 및 정보보호 영역을 모두 인증하고자 하는 경우 ISMS-P인증을 통해 개인정보 처리 단계별로 보안을 강화하고자 한다.

즉 ISMS 인증범위에 제 3장 "개인정보 처리단계별 요구사항" 분야를 포함하여 인증을 취득하는 것이다.

• 정보통신망법 제47조 제2항에 따른 ISMS 의무대상자는 ISMS 또는 ISMS-P 인증을 취득한 경우 인증의무를 이행한 것으로 본다.

 

 

1.3) ISMS - P 인증심사 종류

먼저 ISMS-P 인증은 법적으로 규정되어있기 때문에 조건에 해당하는 기업(업체)라면 인증을 받아야 한다.

ISMS-P 인증심사의 종류는 ‘최초심사’, ‘사후심사’, ‘갱신심사’가 있다.

 

ISMS-P 인증에 경우 효력이 3년까지 인정이 되는데, 유효 기간이 경과한 때에는 인증의 효력이 상실하게 된다.

 

• 최초심사’는 ISMS-P 인증을 처음으로 취득하고자 할 때 수행하는 심사이며, 인증범위에 중요한 변경이 있어 다시 인증을 신청할 경우에도 같은 심사를 받아야 한다. 최초심사를 통해 인증을 취득 하면 3년의 유효기간이 부여된다.
• ‘사후심사’는 인증을 취득한 이후 ISMS-P가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 실시하는 인증심사를 말한다.

 

1.4) ISMS - P 인증심사 종류

인증은 위와 같이 1. 관리체계 수립 및 운영 (16), 2. 보호대책 요구사항(64), 3.개인정보 처리단계별 요구사항(22)로 구성되어있다.

이중 ISMS인증을 받을 경우 1,2 항목만 포함된 총 80개의 인증 항목을 충족시키면 되고 ISMS-P의 경우 항목 3까지 합쳐 총 102개의 인증 항목에 대해 적용하면 된다.

‘1.관리체계 수립 및 운영’은 관리체계의 메인프레임으로서 전반적인 관리체계 운영 라이프사이클을 구성하고 있다. ‘2.보호대책 요구사항’은 총 12개 분야에 대한 인증기준으로서 정책, 조직, 자산, 교육 등 관리적 부문과 개발, 접근통제, 운영·보안관리 등 물리적·기술적 부문의 보호대책에 관한 사항으로 구성되어 있다. ‘3.개인정보 처리 단계별 요구사항’은 개인정보 생명주기에 따른 보호조치 사항으로 구성되어 있다.

 

 

1.5) 기대효과

 

- 체계적, 종합적인 정보보호 관리체계를 구현함으로써 기업의 정보보호 및 개인정보보호 관리수준을 향상 시킬 수 있음.

- 인증을 통해 해킹, DDoS 등의 침해사고 및 개인정보 유출 사고 발생 시 신속하게 대응할 수 있으며, 피해와 손실을 최소화 할 수 있음.

- 경영진이 직접 정보보호 의사결정에 참여함으로써 정보보호 및 개인정보보호 업무에 대한 책임성과 신뢰성을 향상시킬 수 있음.

- 인증 취득 기관은 정보보호 및 개인정보보호에 대한 신뢰성을 높여 대외 이미지를 제고 및 홍보 가능

- 공공부문 사업 입찰 시 가산점 부여 등의 인센티브를 얻을 수 있음

일회성 정보보호 대책에서 벗어나 체계적, 종합적인 정보보호 관리체계를 구현함으로써 기업의 정보보호 및 개인정보보호 관리수준을 향상 시킬 수 있다. 기업은 지속적이고 체계적인 ISMS-P 구축을 통해 해킹, DDoS 등의 침해사고 및 개인정보 유출 사고 발생 시 신속하게 대응할 수 있으며, 피해 및 손실을 최소화할 수 있다.

• 기업 경영진이 직접 정보보호 의사결정에 참여함으로써 정보보호 및 개인정보보호 업무에 대한 책임성과 신뢰성을 향상시킬 수 있다.
• ISMS-P 인증을 취득한 기관은 정보보호 및 개인정보보호에 대한 신뢰성을 높여 대외 이미지를 제고할 수 있다.
• ISMS-P 인증을 취득한 기관은 공공부문 사업 입찰 시 가산점 부여 등의 인센티브를 얻을 수 있다.