정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 및 인증제도

최근 ISMS인증대상기업 기준 완화 및 간이심사제도 도입으로 정보보호 관리체계(ISMS) 인증 개선으로 다양한 뉴스가 쏟아지고 있습니다. 

 정보보호관리체계 인증(ISMS, Information Security Management System)

정보보호관리체계 인증은 중소기업의 비용, 기간 등의 부담을 줄이기 위해 ‘ISMS 간편인증제’를 도입할 계획이다. 이를 통해 일정 수준 이하의 중소기업(매출액300억원 이하 등)에게 인증 점검항목을 경량화(80→40개 수준)하고, 수수료를 줄이는(평균 1,100→500만 원) 한편, 의무 대상 기준도 완화*할 예정이다. * 기존 정보통신서비스 부문 매출액 100억 원 이상의 기업에서 300억 원 이상으로 상향(법개정 예정) 또한 기존 이메일, 우편 등의 방식으로 진행하던 인증심사 절차를 전산시스템화하여 심사 소요 기간을 단축(평균 5→2개월)하고, 침해사고 미발생 기업에는 매년 현장에서 받아야 하는 사후심사를 서면심사로 전환하는 등 인증제도 전반에 대한 개선을 지속적으로 추진할 예정이다.

- 출처 : 240426 조간 (보도) 정보보호 SW인증제도 획기적으로 개선

 

관련하여 정보보호 관리체계(ISMS)와 정보보호 및 개인정보보호관리체계(ISMS-P)에 대해 알아보도록 하겠습니다.

 

 

ISMS-P인증의 개요

 

정보보호 및 개인정보보호 관리체계 인증

정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도

 

 

정보보호 관리체계 인증

정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도

 

 

ISMS-P법적근거

• 정보통신망 이용촉진 및 정보보호에 관한 법률 제47조
• 정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제47조~제54조
• 정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제3조
• 개인정보보호법 제32조의2
• 개인정보보호법 시행령 제34조의2~제34조의8
• 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시

 

인증체계

크게 정책기관인 과기정통부와 개인정보보호위원회에서 인증협의회를 진행하고,

인증기관인 한국인터넷진흥원(KISA)와 금융보안원(FSI)에서 인증위원회를 진행합니다. (금보원은 금융기관만 대상)
심사기관은 한국정보통신진흥협회(KAIT), 한국정보통신기술협회(TTA), 개인정보보호협회(OPA)에 작년쯤부터 추가된 차세대정보보안인증원(NISC)까지 총 4곳입니다. 

 

인증기준

작년에 개인정보보호법 개정과 함께 인증기준도 대폭 변경되었습니다! 

구분		통합인증	분야(인증기준 개수)
ISMS-P	ISMS	1.관리체계 수립 및 운영(16)	1.1 관리체계 기반 마련(6) 1.3 관리체계 운영(3)	1.2 위험관리(4) 1.4 관리체계 점검 및 개선(3)
		2.보호대책 요구사항(64)	2.1 정책, 조직, 자산 관리(3) 2.3 외부자 보안(4) 2.5 인증 및 권한 관리(6) 2.7 암호화 적용(2) 2.9 시스템 및 서비스 운영관리(7) 2.11 사고 예방 및 대응(5)	2.2 인적보안(6) 2.4 물리보안(7) 2.6 접근통제(7) 2.8 정보시스템 도입 및 개발 보안(6) 2.10 시스템 및 서비스 보안관리(9) 2.12 재해복구(2)
	-	3.개인정보 처리단계별   요구사항(21)	3.1 개인정보 수집 시 보호조치(7) 3.3 개인정보 제공 시 보호조치(4) 3.5 정보주체 권리보호(3)	3.2 개인정보 보유 및 이용 시 보호조치(5) 3.4 개인정보 파기 시 보호조치(2)