R136A1
[보안컨설팅] ISMS-P 인증제도 본문
ISMS-P 법적근거
다시 말해, ISMS-P는 2018년부터 기존에 운영되던 두 가지 법령의 고시가 합쳐진 것인데,
과기정통부의 정보보호 관리체계 인증 등에 관한 고시(ISMS)와
개인정보보호위원회의 개인정보보호 관리체계 인증 등에 관한 고시(PIMS)를 통합하여
정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(ISMS-P)가 만들어진 것
(과기정통부, 개인정보보호위원회 공통 고시)
ISMS와 ISMS-P의 차이
ISMS 정보보호 관리체계 인증
구버전, 개인정보보호 인증 과정X
기업·기관이 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을
인터넷 진흥원 또는 인증기관이 증명하는 제도
ISMS-P 정보보호 및 개인정보보호 관리체계 인증
신버전, 개인정보보호 인증 과정O
기업·기관이 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을
인터넷 진흥원 또는 인증기관이 증명하는 제도
- 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산
- 개인정보 처리를 위한 수집, 보유, 이용, 제공, 파기에 관여하는 개인정보처리 시스템, 취급자를 포함
ISMS-P 인증체계
1) 정책기관[과기정통부, 개인정보보호위원회]
법 제도 개선 및 정책 결정
인증기관 및 심사기관 결정
2) 인증기관[KISA, 금보원 FSI finacial security institute]산하 인증위원회
금보원 (금융 분야 only)
- 금융분야 인증심사
- 금융분야 인증서 발급
KISA 인증위원회
- 기존·신규·특수 분야 인증 심사 (심사기관에 맡김)
- 기존·신규·특수 인증서 발급
- 제도 운영 및 인증품질관리
- 인증심사원 양성 및 자격 관리
3) 심사기관 <- KISA 지정
인증심사 수행
[KAIT, TTA, OPA]
- 인증제도의 객관성 및 신뢰성 확보를 위해 정책기관, 인증위원회를 분리하여 운영
- 과학기술정보통신부는 인증제도를 관리·감독하는 정책기관
- 한국인터넷진흥원은 인증기관으로서 인증제도 운영
- 산업계, 학계 등 관련 전문가 10명 이내로 인증위원회를 구성하여 인증결과 심의
- 인증심사팀은 인증심사원 양성교육을 수료하고 자격요건을 갖춘 자들로 구성
c.f) ISMS 인증체계
ISMS-P에서는 정책기관에 개인정보보호위원회 추가
ISMS-P에서는 인증기관에 금융보안원 추가
+부록: PIMS (개인정보관리체계 인증)
인증 의무 대상자
※ ISMS-P가 선택이긴 하지만 ISMS 인증을 받더라도 범위 내 개인정보의 보호대책 및 준거성은 충족하여야 한다
정보통신망법 제47조 2항
인증 의무 대상자
「전기통신사업법」 제2조제8호에 따른
①전기통신사업자와
②전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나
③정보의 제공을 매개하는 자로서
아래 표에서 기술한 의무대상자 기준에 하나라도 해당되는 자
ISP 「전기통신사업법」 제6조제1항에 따라 정보통신망서비스를 제공하도록 허가받은 자
IDC 정보통신망법 제46조에 따른 집적정보통신시설사업자
기타_ISP, IDC에 해당되지 않으나 다음의 조건 중 하나라도 해당하는 자
① 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
- 「의료법」 제3조의4에 따른 상급종합병원
- 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
② 정보통신서비스 부분 전년도 매출액이 100억원 이상인 자
③ 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자
인증 범위
인증기준
1. 관리체계 수립 및 운영 (16개)
1.1 관리체계 기반 마련 (6)
1.2 위험관리 (4)
1.3 관리체계 운영 (3)
1.4 관리체계 점검 및 개선 (3)
2. 보안대책 요구사항 (64개)
2.1 정책, 조직, 자산 관리(3)
2.2 인적보안(6)
2.3 외부자 보안(4)
2.4 물리보안(7)
2.5 인증 및 권한 관리(6)
2.6 접근통제(7)
2.7 암호화 적용(2)
2.8 정보시스템 도입 및 개발 보안(6)
2.9 시스템 및 서비스 운영관리(7)
2.10 시스템 및 서비스 보안관리(9)
2.11 사고 예방 및 대응(5)
2.12 재해복구(2)
3. 개인정보 처리단계별 요구사항 <- new! ISMS에는 존재X
3.1 개인정보 수집 시 보호조치(7)
3.2 개인정보 보유 및 이용 시 보호조치(5)
3.3 개인정보 제공 시 보호조치(3)
3.4 개인정보 파기 시 보호조치(4)
3.5 정보주체 권리보호(3)
수수료 할인 혜택
인증 혜택
구분 | 시행기관 | 혜택 |
평가항목 | 과기정통부 | 공공부문 정보시스템기획·구축·운영 사업자,SW개발사업자 선정 시'소프트웨어기술성평가기준'의 평가항목(기밀보안)에 ISMS 인증취득시 만점(최대5점)부여 ※소프트웨어기술성평가기준(과학기술정보통신부고시제2014-29호,2014.4.10) ※소프트웨어기술성평가기준적용 가이드(2011.10개정,정보통신산업진흥원),82p |
보안관제전문업체지정시’보안관제수행능력평가기준‘의정보보호 인증기업(보안관리체계보유기업)항목에만점(최대5점)부여 ※보안관제전문업체지정등에관한공고(과학기술정보통신부고시제2013-089호, 2013.6.17) |
||
정보보호전문서비스기업지정시’업무수행능력심사세부평가기준‘의정보보호인증기업(보안관리체계보유기업)항목에만점(최대5점)부여 ※지식정보보안컨설팅전문업체의지정등에관한고시(과학기술정보통신부고시제 2013-176호,2013.11.15)[별표2] |
||
KISA | 정보보호대상 평가 시 가점 부여 | |
한국기업 지배구조원 |
상장기업대상ESG(환경,사회,지배구조)평가일부항목대체 | |
요금할인 | 보험사 | 정보보호관련보험(배상책임보험등)가입시할인(AIG,LIG,그린손해 보험,동부화재,롯데손해보험,메리츠화재,삼성화재,제일화재,한화손 해보험,현대해상,흥국화재) |
권고 | 국토교통부 | 유비쿼터스도시기반시설에대해정보보호관리체계(ISMS)인증취득을 권고 ※유비쿼터스도시의건설등에관한법률제22조 |
교육부 | 사이버대학에대하여정보보호관리체계인증의취득을권고 ※원격교육설비기준고시(교육과학기술부고시제2013-12호,2013.3.14) |
ISMS-P 인증 현황
ISMS-P-KISA-년도-인증순서
ISMS-P-KISA-0000-000
대기업 위주로...(실제로 사용 비율이 높은)
ex)
[국가기관] 국민건강보험공단
ISMS-P-KISA-2021-004 국민건강보험 대외서비스 홈페이지 운영
[기업] SK텔레콤(주)
ISMS-P-KISA-2021-003 이동전화 고객관리 서비스(Tworld, T멤버십, Swing 등)
[기업] 네이버클라우드 주식회사
ISMS-P-KISA-2020-042 네이버 클라우드 플랫폼(NAVER CLOUD PLATFORM) 서비스 운영
[기업] 크로키닷컴
ISMS-P-KISA-2020-023 지그재그 앱 서비스 운영
[기업] 주식회사 우아한형제들
ISMS-P-KISA-2020-064 배달의민족 온라인 서비스 운영
+ ISMS-P 소개 및 제도개선 방향 中
현재 1년가량 소요, 이 기간이 적정한가?
'WISET' 카테고리의 다른 글
[보안기술] 윈도우 리버싱 (0) | 2021.11.05 |
---|---|
보안 컨설팅 (0) | 2021.05.23 |