ISMS, ISMS-P 인증 심사 준비 - 필수서류, 유의사항, 범위 설정 방법

많은 분들이 알고 있지만 쉽게 지나쳐버리는 ISMS-P 인증 심사 준비의 가장 기초과정은 [인증제도 안내서]와 [인증기준 안내서] 정독입니다. 인증심사원 시험을 준비하는 분들도 해당 문서의 정독은 필수입니다.

 

기업의 보안(인증)담당자로 ISMS-P 인증심사를 준비하거나, 

ISMS-P 인증심사원 시험준비를 위해 공부를 하는 분들 모두가 공통으로 확인해야 하는 문서는

한국인터넷진흥원(KISA) 정보보호 및 개인정보보호 관리체계(ISMS-P) 플랫폼 서비스 자료실에 있습니다. 

https://isms.kisa.or.kr/main/ispims/notice/

KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 자료실

 

 

ISMS-P 인증제도 안내서(2021.7)

ISMS-P_인증제도_안내서(2021.7).pdf

5.06MB

 

해당 안내서는 ISMS-P 인증제도의 소개, 인증대상 및 범위, 인증 심사 절차 등으로 구성되어 있습니다.

 

단, 인증범위를 포함하여  이해를 돕고자 제시한 예시들은 신청인(신청기관)의 내부  환경과 다를 수 있으므로 이를 충분히 고려하고 적용하여야 합니다. 본 안내서는 ISMS-P 인증을 취득하고자 하는 기관과 기업의 관계자가 활용할 수 있으며, ISMS-P 구축 및 운영에 관심이  있는 다양한 산업 분야에서도 본 안내서가 도움이 될 수 있을 것입니다.  본 안내서는 관련 법령 개정 및 기술·환경 변화를 반영하여  지속적인 보완 작업을 할 예정이므로 항상 최신 발행본 여부를 확인 후 사용하여야 합니다. 

- 현 시점 기준으로 자료실에 있는 자료는 2021년 07월 기준 자료로, 추진체계나 경과, 인증기준 항목 등의 내용이 상이한 부분이 존재하니, 정확한 내용은 https://isms.kisa.or.kr/main/ispims/intro/ ">https://isms.kisa.or.kr/main/ispims/intro/  페이지를 참고하셔야 합니다. 

ISMS, ISMS-P 인증범위 설정에 대한 기준과 예시 고려사항 등을 상세하게 확인 가능합니다.

ISMS 의무대상자 인증범위 설정	ISMS-P 인증범위 설정
인증제도 안내서 41페이지, 그림10	인증제도 안내서 45페이지, 그림11

 

또한, 인증심사 신청 및 접수 단계별 필요한 서류와 유의사항 등을 안내하고 있습니다. 

인증심사 신청부터 인증심사까지 심사 준비상태 점검, 계약, 심사원 모집 등 업무처리를 위한 기간이 필요하므로 희망심사일 기준 최소 8주 전에 신청해야 함

 

ISMS, ISMS-P 인증심사 신청서류

• 정보보호 및 개인정보보호 관리체계 인증신청 공문 1부
• 정보보호 및 개인정보보호 관리체계 인증신청서 1부 •
• 정보보호 및 개인정보보호 관리체계(ISMS-P) 운영현황 1부
• 정보보호 및 개인정보보호 관리체계 명세서 1부
• 법인/개인 사업자등록증 1부
• 법인등기부등본 1부

인증심사 관련 중요 유의사항 (심사원 시험 단골 문제)

• 인증심사 신청 전 취득하고자 하는 인증의 종류에 따라 ISMS 혹은 ISMS-P 관리체계를 구축하고 최소 2개월 이상 운영한 증거자료를 준비하여야 한다. 
• 인증심사 신청부터 인증심사까지 심사 준비상태 점검, 계약, 심사원 모집 등 업무처리를 위한 기간이 필요 하므로 희망심사일 기준 최소 8주 전에 신청해야 한다.
• 신청기관은 보완조치 요청을 받은 날로부터 40일 이내 보완조치를 완료하고 보완조치 사항에 대한 보완조치 내역서 및 보완조치 완료확인서를 작성하여 심사 수행기관에 제출해야 한다.
• 심사 수행기관은 신청기관이 제출한 보완조치 결과가 미흡하다고 판단하거나, 신청기관 스스로 보완 조치 내용상 기한 연장이 필요하다고 판단되는 경우 공문을 통해 최대 60일 간(재조치 기간 포함) 연장할 수 있다
• 연장 기한 포함하여 최대 100일 이내에 보완조치가 완료되지 않은 경우, 인증이 취소된다. (최초심사의 경우, 심사 무효)
• ISMS-P 인증의 유효기간은 3년이며 갱신심사는 인증 유효기간이 만료될 때 유효기간 연장을 목적으로 시행하는 인증심사이다.

 

결함사항 VS 중 결함사항

• 결함 사항 : 신청기관의 정보보호 관리체계가 인증심사기준에 규정된 요구사항을 충족하지 못하는 사항이 발견되고 있으나 발견된 문제점이 정보보호 및 개인정보보호 관리체계에 중대한 영향을 미치지 않는 사항
• 중 결함 사항 : 신청인의 정보보호 관리체계가 인증심사기준에 규정된 요구사항을 충족하지 못하는 사항이 발견되고 있으며 발견된 문제점이 정보보호 및 개인정보보호 관리체계에 중대한 영향을 미치는 사항

 

 

ISMS-P 인증기준 안내서(2023.11)

ISMS-P 인증기준 안내서(2023.11.23).pdf

8.11MB

 

해당 안내서는  ｢정보통신망법｣ 제47조(정보보호 관리체계의 인증) 및 ｢개인정보 보호법｣ 제32조의 2(개인정보 보호 인증), ｢정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시｣(과학기술정보통신부고시 제2023-33호, 개인정보보호위원회고시 제2023-8호)에서 규정하고 있는 사항에 대하여 보다 구체적으로 설명함을 목적으로 하고 있습니다.

이 안내서는 지속적인 보완 작업을 통하여 변경될 수 있으므로 항상 최신 버전 여부를 확인한 후 사용하여야 합니다. 또한 안내서에 제시된 법령, 고시, 참고자료는 안내서 발간시점(2023년 10월)을 기준으로 작성된 것으로 수시 개정될 수 있으므로 해당 시점에서 최신 버전을 확인하여 적용하여야 합니다

 

정보보호 및 개인정보보호 관리체계 인증기준은 크게 ʻ1. 관리체계 수립 및 운영ʼ, ʻ2. 보호대책 요구사항ʼ, ʻ3. 개인정보 처리 단계별 요구사항ʼ 3개 영역에서 총 101개의 인증기준으로 구성되어 있습니다. 정보보호 관리체계(ISMS) 인증을 받고자 하는 신청기관은 ʻ1. 관리체계 수립 및 운영ʼ, ʻ2. 보호대책 요구사항ʼ 2개 영역에서 80개의 인증기준을 적용받게 되며, 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받고자 하는 신청기관은 ʻ3. 개인정보 처리 단계별 요구사항ʼ을 포함하여 101개의 인증기준을 적용받게 됩니다.

정보보호 및 개인정보보호 관리체계 인증기준 구성

영역	분야	적용 여부
		ISMS	ISMS-P
1. 관리체계 수립 및 운영 (16개)	1.1. 관리체계 기반 마련	ㅇ	ㅇ
	1.2. 위험 관리	ㅇ	ㅇ
	1.3. 관리체계 운영	ㅇ	ㅇ
	1.4. 관리체계 점검 및 개선	ㅇ	ㅇ
2. 보호대책 요구사항 (64개)	2.1. 정책, 조직, 자산 관리	ㅇ	ㅇ
	2.2. 인적 보안	ㅇ	ㅇ
	2.3. 외부자 보안	ㅇ	ㅇ
	2.4. 물리 보안	ㅇ	ㅇ
	2.5. 인증 및 권한관리	ㅇ	ㅇ
	2.6. 접근통제	ㅇ	ㅇ
	2.7. 암호화 적용	ㅇ	ㅇ
	2.8. 정보시스템 도입 및 개발 보안	ㅇ	ㅇ
	2.9. 시스템 및 서비스 운영관리	ㅇ	ㅇ
	2.10. 시스템 및 서비스 보안관리	ㅇ	ㅇ
	2.11. 사고 예방 및 대응	ㅇ	ㅇ
	2.12. 재해 복구	ㅇ	ㅇ
3. 개인정보 처리 단계별 요구사항 (21개)	3.1. 개인정보 수집 시 보호조치	-	ㅇ
	3.2. 개인정보 보유 및 이용 시 보호조치	-	ㅇ
	3.3. 개인정보 제공 시 보호조치	-	ㅇ
	3.4. 개인정보 파기 시 보호조치	-	ㅇ
	3.5. 정보주체 권리보호	-	ㅇ

 

각 통제항목별 인증기준, 주요 확인사항, 세부설명(예시 포함), 증거자료, 결함사례가 자세히 설명되어 있습니다. 

인증심사를 준비하는 과정과 인증심사원 시험을 준비하는 과정에서 해당 인증기준 안내서를 정독할 경우 각 통제항목별 차이와 법적 필수인 사항 등을 확인할 수 있어 조금 더 수월한 준비가 가능합니다.

 

다음에는 각 통제항목별 상세한 내용들을 하나씩 짚어가며 공유하는 시간이 되도록 하겠습니다.

 

감사합니다.