ISMS-P

1. ISMS-P 인증제도의 개념 및 단일 인증제도 통합 배경

(1) ISMS와 ISMS-P 인증제도의 개념

ISMS정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
ISMS-P정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
  • ISMS: Information Security Management System

(2) 개별 인증제도에서 ISMS-P 단일 인증제도로의 통합 배경

  • 기업들은 정보통신망법상 정보보호 관리체계(ISMS) 인증 또는 개인정보보호 관리체계(PIMS) 인증을 취득하였으나, 기업의 혼란과 부담을 해소하기 위해 하나의 제도로 통합, 운영 필요성 부각
  • 융합화, 고도화되고 있는 침해 위협에 효과적으로 대응하기 위해 정보보호와 개인정보보호의 연계가 필요함에 따라 2018년 11월 “정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시”가 시행됨

 

2. ISMS-P의 법적근거와 인증체계

(1) ISMS-P의 법적근거(법령 및 고시)

(2) ISMS-P의 인증체계

 

3. ISMS-P의 인증기준과 심사절차

(1) ISMS-P의 인증기준

(2) ISMS-P의 심사절차

 

4. ISMS-P 인증 대상

(1) 자율신청자

  • 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있음

(2) 의무대상자

구분의무대상자 기준
ISP「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
IDC정보통신망법 제46조에 따른 집적정보통신시설 사업자
다음의 조건 중
하나라도 해당하는 자
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
– 「의료법」 제3조의4에 따른 상급종합병원
– 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자

 

5. ISMS-P와 개정 전 ISMS, PIMS 인증기준 비교

분야ISMS-P개정 전 ISMS개정 전 PIMS
관리체계 수립/운영최고책임자의 지정최고책임자의 지정최고책임자의 지정
정보자산 식별정보자산 식별개인정보 식별
현황 및 흐름 분석(없음)개인정보 흐름파악
운영현황 관리정보보호 관리체계 운영현황 관리개인정보보호 개선활동
관리체계 점검, 개선내부감사내부감사
보호대책 요구사항정보자산 관리정보자산별 책임할당 보안등급과 취급개인정보 식별
주요 직무자 지정 및 관리주요 직무자 지정/감독개인정보 취급자 감독
외부자 현황 관리(없음)(없음)
정보시스템 보호시스템 배치 및 관리(없음)
무선 네트워크 접근무선네트워크 보안(없음)
변경관리변경관리(없음)
성능 및 장애관리성능 및 용량, 장애관리(없음)
개인정보 처리단계 요구사항개인정보 수집 제한(없음)개인정보 수집 제한
민감정보 및 고유식별 정보의 처리 제한(없음)민감정보 및 고유식별정보의 수집 제한
영상정보처리기기 설치·운영(없음)영상정보처리기기의 설치, 운영 제한
홍보 및 마케팅 목적 활용 시 조치(없음)(없음)
이용자 단말기 접근 보호(없음)(없음)
처리목적 달성 후 보유 시 조치(없음)(없음)
이용내역 통지(없음)개인정보 정정, 삭제

 
[참고]

  • 한국인터넷진흥원(KISA), “정보보호 및 개인정보보호 관리체계 인증제도 안내서”, 2019.1
  • 한국인터넷진흥원(KISA), “ISMS-P 제도소개”

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^