KISA ISMS-P 플랫폼 서비스 (ISMS-P, ISMG, CSAP)

 

정보통신망의 안정성 확보 및 개인정보보호를 위해 조직이 수립한 일련의 조치와 활동이 인증기준에 적합함을 인증기관이 평가하여 인증을 부여하는 제도인 정보보호 및 개인정보보호 관리체계 인증(Personal information & Information Security Management System. 이하, ISMS-P)은 '개인정보보호 관리체계 인증(PIMS)'과 '정보보호 관리체계 인증(ISMS)'으로 개별 운영되던 인증체계를 하나로 통합한 '통합인증제도'로 2018년 11월 7일부터 시행되었습니다.

※ 한국인터넷진흥원(KISA) ISMS-P 플랫폼 서비스 : https://isms.kisa.or.kr/main/

KISA 정보보호 및 개인정보보호관리체계 인증

 

해당 사이트에 접속하면 ISMS-P 제도소개, 신청절차, 인증대상, 인증서 발급현황, 자료실 서비스를 이용 가능합니다.

ISMS-P 외에도 정보보호등급제(ISMG), 클라우드서비스 보안인증제(CSAP) 제도에 대한 자료도 확인이 가능합니다.

	정보보호 및 개인정보보호 관리체계 인증(ISMS-P)	클라우드서비스 보안인증제(CSAP)
	Personal information & Information Security Management System	Cloud Security Assurance Program
자료실	https://isms.kisa.or.kr/main/ispims/notice/	https://isms.kisa.or.kr/main/csap/notice/
개요	정보통신망의 안정성 확보 및 개인정보보호를 위해 조직이 수립한 일련의 조치와 활동이 인증기준에 적합함을 인증기관이 평가하여 인증을 부여하는 제도	클라우드서비스 제공자가 제공하는 서비스의 정보보호 수준 향상 및 보장을 위하여 「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」제 23조2에 따라 보안인증기준에 적합한 클라우드서비스를 인증함으로써 이용자들이 안심하고 이용할 수 있도록 지원하는 제도
법적근거	「 정보통신망 이용촉진 및 정보보호에 관한 법률 」 제47조 https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률/(20240123,20069,20240123)/제47조 「 정보통신망 이용촉진 및 정보보호에 관한 법률 」 시행령 제47조~제54조 「 정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 」  제3조 「 개인정보보호법 」  제32조의2 https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제32조의2 「 개인정보보호법 시행령 」  제34조의2~제34조의8 「 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 」	「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제5조에 의한 「제1차 클라우드컴퓨팅 기본계획」(2015)에 따른 클라우드서비스 보안인증제도 시행 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 보안인증에 관한 업무 수행 https://www.law.go.kr/법령/클라우드컴퓨팅발전및이용자보호에관한법률/(20230112,18738,20220111)/제23조의2
인증대상	ISMS인증 의무대상자(「 정보통신망법 」 제47조 2항) 인증 의무대상자는 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 아래 기술한 의무대상자 기준에 하나라도 해당되는 자이다. [의무대상자 기준]  ISP - 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 IDC - 「 정보통신망법 」 제46조에 따른 집적정보통신시설 사업자 다음의 조건 중 하나라도 해당하는 자 - 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우   *「의료법」 제3조의4에 따른 상급종합병원   * 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 - 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자 - 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자   * 매출액이 300억원 이상인자로 개선 중 ※ 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있다	클라우드컴퓨팅서비스 제공자 IaaS 보안인증 관리적·물리적·기술적 보호조치 및 공공기관용 추가 보호조치로 총 14개 분야 116개 통제항목으로 구성 SaaS [표준]등급 인증 관리적·기술적 및 공공기관용 추가 보호조치로 총 13개 분야 79개 통제항목으로 구성 SaaS [간편]등급 인증 관리적·기술적 및 공공기관용 추가 보호조치로 총 11개 분야 31개 통제항목으로 구성 DaaS 인증 관리적·물리적·기술적 및 공공기관용 추가 보호조치로 총 14개 분야 110개 통제항목으로 구성 상세 항목 : https://isms.kisa.or.kr/main/csap/intro/

 

※ 정보보호등급제(ISMG, Information Security Management Grade)

정보보호 관리체계(ISMS)를 유지하는 기업 대상으로 정보보호 수준을 측정하여 '우수', '최우수' 등급을 부여하는 제도로, 2017년에 시행되었습니다. 

 

 

기업의 인증 담당자이거나, 인증심사원 시험을 준비한다면 해당 사이트를 통해 자료를 열람하고, 신청양식 등을 확인할 수 있습니다. 

 

앞으로는 전년도 인증심사원 시험 준비 및 합격 비결과,현업 담당자로써 컨설팅 없이 인증심사를 진행하며 챙겨야 했던 내용들을 공유하도록 하겠습니다.

 

감사합니다.