[보안컨설팅] ISMS-P 인증제도

 

공식홈페이지

KISA 정보보호 및 개인정보보호관리체계 인증

ISMS-P 법적근거

다시 말해, ISMS-P는 2018년부터 기존에 운영되던 두 가지 법령의 고시가 합쳐진 것인데,

과기정통부의 정보보호 관리체계 인증 등에 관한 고시(ISMS)와

개인정보보호위원회의 개인정보보호 관리체계 인증 등에 관한 고시(PIMS)를 통합하여

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(ISMS-P)가 만들어진 것

(과기정통부, 개인정보보호위원회 공통 고시)

 

ISMS와 ISMS-P의 차이

ISMS 정보보호 관리체계 인증

구버전, 개인정보보호 인증 과정X

기업·기관이 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을
인터넷 진흥원 또는 인증기관이 증명하는 제도

 

ISMS-P 정보보호 및 개인정보보호 관리체계 인증

신버전, 개인정보보호 인증 과정O

기업·기관이 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을

인터넷 진흥원 또는 인증기관이 증명하는 제도

 

- 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산

- 개인정보 처리를 위한 수집, 보유, 이용, 제공, 파기에 관여하는 개인정보처리 시스템, 취급자를 포함

 

 

ISMS-P 인증체계

 

1) 정책기관[과기정통부, 개인정보보호위원회]

법 제도 개선 및 정책 결정

인증기관 및 심사기관 결정

 

2) 인증기관[KISA, 금보원 FSI finacial security institute]산하 인증위원회

금보원 (금융 분야 only)

- 금융분야 인증심사

- 금융분야 인증서 발급

 

KISA 인증위원회

- 기존·신규·특수 분야 인증 심사 (심사기관에 맡김)

- 기존·신규·특수 인증서 발급

- 제도 운영 및 인증품질관리

- 인증심사원 양성 및 자격 관리

 

        3) 심사기관 <- KISA 지정

        인증심사 수행

        [KAIT, TTA, OPA]

 

• 인증제도의 객관성 및 신뢰성 확보를 위해 정책기관, 인증위원회를 분리하여 운영
• 과학기술정보통신부는 인증제도를 관리·감독하는 정책기관
• 한국인터넷진흥원은 인증기관으로서 인증제도 운영
• 산업계, 학계 등 관련 전문가 10명 이내로 인증위원회를 구성하여 인증결과 심의
• 인증심사팀은 인증심사원 양성교육을 수료하고 자격요건을 갖춘 자들로 구성

c.f) ISMS 인증체계

ISMS-P에서는 정책기관에 개인정보보호위원회 추가

ISMS-P에서는 인증기관에 금융보안원 추가

 

+부록: PIMS (개인정보관리체계 인증)

 

인증 의무 대상자

※ ISMS-P가 선택이긴 하지만 ISMS 인증을 받더라도 범위 내 개인정보의 보호대책 및 준거성은 충족하여야 한다

 

정보통신망법 제47조 2항

인증 의무 대상자

「전기통신사업법」 제2조제8호에 따른

①전기통신사업자와
②전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나
③정보의 제공을 매개하는 자로서

아래 표에서 기술한 의무대상자 기준에 하나라도 해당되는 자

 

ISP 「전기통신사업법」 제6조제1항에 따라 정보통신망서비스를 제공하도록 허가받은 자

IDC 정보통신망법 제46조에 따른 집적정보통신시설사업자

기타_ISP, IDC에 해당되지 않으나 다음의 조건 중 하나라도 해당하는 자

① 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우

    - 「의료법」 제3조의4에 따른 상급종합병원
    - 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교

② 정보통신서비스 부분 전년도 매출액이 100억원 이상인 자

③ 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자

 

인증 범위

인증기준

1. 관리체계 수립 및 운영 (16개)

1.1 관리체계 기반 마련 (6)

1.2 위험관리 (4)

1.3 관리체계 운영 (3)

1.4 관리체계 점검 및 개선 (3)

 

2. 보안대책 요구사항 (64개)

2.1 정책, 조직, 자산 관리(3)

2.2 인적보안(6)
2.3 외부자 보안(4)
2.4 물리보안(7)

2.5 인증 및 권한 관리(6)

2.6 접근통제(7)
2.7 암호화 적용(2)
2.8 정보시스템 도입 및 개발 보안(6)
2.9 시스템 및 서비스 운영관리(7)

2.10 시스템 및 서비스 보안관리(9)

2.11 사고 예방 및 대응(5)
2.12 재해복구(2)

 

3. 개인정보 처리단계별 요구사항 <- new! ISMS에는 존재X

3.1 개인정보 수집 시 보호조치(7)

3.2 개인정보 보유 및 이용 시 보호조치(5)
3.3 개인정보 제공 시 보호조치(3)

3.4 개인정보 파기 시 보호조치(4)
3.5 정보주체 권리보호(3)

수수료 할인 혜택

인증 혜택

구분	시행기관	혜택
평가항목	과기정통부	공공부문 정보시스템기획·구축·운영 사업자,SW개발사업자 선정 시'소프트웨어기술성평가기준'의 평가항목(기밀보안)에 ISMS 인증취득시 만점(최대5점)부여 ※소프트웨어기술성평가기준(과학기술정보통신부고시제2014-29호,2014.4.10) ※소프트웨어기술성평가기준적용 가이드(2011.10개정,정보통신산업진흥원),82p
		보안관제전문업체지정시’보안관제수행능력평가기준‘의정보보호 인증기업(보안관리체계보유기업)항목에만점(최대5점)부여 ※보안관제전문업체지정등에관한공고(과학기술정보통신부고시제2013-089호, 2013.6.17)
		정보보호전문서비스기업지정시’업무수행능력심사세부평가기준‘의정보보호인증기업(보안관리체계보유기업)항목에만점(최대5점)부여 ※지식정보보안컨설팅전문업체의지정등에관한고시(과학기술정보통신부고시제 2013-176호,2013.11.15)[별표2]
	KISA	정보보호대상 평가 시 가점 부여
	한국기업 지배구조원	상장기업대상ESG(환경,사회,지배구조)평가일부항목대체
요금할인	보험사	정보보호관련보험(배상책임보험등)가입시할인(AIG,LIG,그린손해 보험,동부화재,롯데손해보험,메리츠화재,삼성화재,제일화재,한화손 해보험,현대해상,흥국화재)
권고	국토교통부	유비쿼터스도시기반시설에대해정보보호관리체계(ISMS)인증취득을 권고 ※유비쿼터스도시의건설등에관한법률제22조
	교육부	사이버대학에대하여정보보호관리체계인증의취득을권고 ※원격교육설비기준고시(교육과학기술부고시제2013-12호,2013.3.14)

ISMS-P 인증 현황

ISMS-P-KISA-년도-인증순서

ISMS-P-KISA-0000-000

 

대기업 위주로...(실제로 사용 비율이 높은)

ex)

[국가기관] 국민건강보험공단

ISMS-P-KISA-2021-004 국민건강보험 대외서비스 홈페이지 운영

 

[기업] SK텔레콤(주)

ISMS-P-KISA-2021-003 이동전화 고객관리 서비스(Tworld, T멤버십, Swing 등)

 

[기업] 네이버클라우드 주식회사

ISMS-P-KISA-2020-042 네이버 클라우드 플랫폼(NAVER CLOUD PLATFORM) 서비스 운영

 

[기업] 크로키닷컴

ISMS-P-KISA-2020-023 지그재그 앱 서비스 운영

 

[기업] 주식회사 우아한형제들

ISMS-P-KISA-2020-064 배달의민족 온라인 서비스 운영

 

 

 

+ ISMS-P 소개 및 제도개선 방향 中

현재 1년가량 소요, 이 기간이 적정한가?