2022년 10월 30일
ISMS-P
1. ISMS-P 인증제도의 개념 및 단일 인증제도 통합 배경
(1) ISMS와 ISMS-P 인증제도의 개념
ISMS | 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도 |
---|---|
ISMS-P | 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도 |
- ISMS: Information Security Management System
(2) 개별 인증제도에서 ISMS-P 단일 인증제도로의 통합 배경
- 기업들은 정보통신망법상 정보보호 관리체계(ISMS) 인증 또는 개인정보보호 관리체계(PIMS) 인증을 취득하였으나, 기업의 혼란과 부담을 해소하기 위해 하나의 제도로 통합, 운영 필요성 부각
- 융합화, 고도화되고 있는 침해 위협에 효과적으로 대응하기 위해 정보보호와 개인정보보호의 연계가 필요함에 따라 2018년 11월 “정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시”가 시행됨
2. ISMS-P의 법적근거와 인증체계
(1) ISMS-P의 법적근거(법령 및 고시)
(2) ISMS-P의 인증체계
3. ISMS-P의 인증기준과 심사절차
(1) ISMS-P의 인증기준
(2) ISMS-P의 심사절차
4. ISMS-P 인증 대상
(1) 자율신청자
- 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있음
(2) 의무대상자
구분 | 의무대상자 기준 |
---|---|
ISP | 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 |
IDC | 정보통신망법 제46조에 따른 집적정보통신시설 사업자 |
다음의 조건 중 하나라도 해당하는 자 | 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 – 「의료법」 제3조의4에 따른 상급종합병원 – 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 |
정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 | |
전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자 |
5. ISMS-P와 개정 전 ISMS, PIMS 인증기준 비교
분야 | ISMS-P | 개정 전 ISMS | 개정 전 PIMS |
---|---|---|---|
관리체계 수립/운영 | 최고책임자의 지정 | 최고책임자의 지정 | 최고책임자의 지정 |
정보자산 식별 | 정보자산 식별 | 개인정보 식별 | |
현황 및 흐름 분석 | (없음) | 개인정보 흐름파악 | |
운영현황 관리 | 정보보호 관리체계 운영현황 관리 | 개인정보보호 개선활동 | |
관리체계 점검, 개선 | 내부감사 | 내부감사 | |
보호대책 요구사항 | 정보자산 관리 | 정보자산별 책임할당 보안등급과 취급 | 개인정보 식별 |
주요 직무자 지정 및 관리 | 주요 직무자 지정/감독 | 개인정보 취급자 감독 | |
외부자 현황 관리 | (없음) | (없음) | |
정보시스템 보호 | 시스템 배치 및 관리 | (없음) | |
무선 네트워크 접근 | 무선네트워크 보안 | (없음) | |
변경관리 | 변경관리 | (없음) | |
성능 및 장애관리 | 성능 및 용량, 장애관리 | (없음) | |
개인정보 처리단계 요구사항 | 개인정보 수집 제한 | (없음) | 개인정보 수집 제한 |
민감정보 및 고유식별 정보의 처리 제한 | (없음) | 민감정보 및 고유식별정보의 수집 제한 | |
영상정보처리기기 설치·운영 | (없음) | 영상정보처리기기의 설치, 운영 제한 | |
홍보 및 마케팅 목적 활용 시 조치 | (없음) | (없음) | |
이용자 단말기 접근 보호 | (없음) | (없음) | |
처리목적 달성 후 보유 시 조치 | (없음) | (없음) | |
이용내역 통지 | (없음) | 개인정보 정정, 삭제 |
[참고]
- 한국인터넷진흥원(KISA), “정보보호 및 개인정보보호 관리체계 인증제도 안내서”, 2019.1
- 한국인터넷진흥원(KISA), “ISMS-P 제도소개”