ISMS-P

1. ISMS-P 인증제도의 개념 및 단일 인증제도 통합 배경

(1) ISMS와 ISMS-P 인증제도의 개념

ISMS	정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
ISMS-P	정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도

• ISMS: Information Security Management System

(2) 개별 인증제도에서 ISMS-P 단일 인증제도로의 통합 배경

• 기업들은 정보통신망법상 정보보호 관리체계(ISMS) 인증 또는 개인정보보호 관리체계(PIMS) 인증을 취득하였으나, 기업의 혼란과 부담을 해소하기 위해 하나의 제도로 통합, 운영 필요성 부각
• 융합화, 고도화되고 있는 침해 위협에 효과적으로 대응하기 위해 정보보호와 개인정보보호의 연계가 필요함에 따라 2018년 11월 “정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시”가 시행됨

 

2. ISMS-P의 법적근거와 인증체계

(1) ISMS-P의 법적근거(법령 및 고시)

(2) ISMS-P의 인증체계

 

3. ISMS-P의 인증기준과 심사절차

(1) ISMS-P의 인증기준

(2) ISMS-P의 심사절차

 

4. ISMS-P 인증 대상

(1) 자율신청자

• 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있음

(2) 의무대상자

구분	의무대상자 기준
ISP	「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
IDC	정보통신망법 제46조에 따른 집적정보통신시설 사업자
다음의 조건 중 하나라도 해당하는 자	연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 – 「의료법」 제3조의4에 따른 상급종합병원 – 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
	정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
	전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자

 

5. ISMS-P와 개정 전 ISMS, PIMS 인증기준 비교

분야	ISMS-P	개정 전 ISMS	개정 전 PIMS
관리체계 수립/운영	최고책임자의 지정	최고책임자의 지정	최고책임자의 지정
	정보자산 식별	정보자산 식별	개인정보 식별
	현황 및 흐름 분석	(없음)	개인정보 흐름파악
	운영현황 관리	정보보호 관리체계 운영현황 관리	개인정보보호 개선활동
	관리체계 점검, 개선	내부감사	내부감사
보호대책 요구사항	정보자산 관리	정보자산별 책임할당 보안등급과 취급	개인정보 식별
	주요 직무자 지정 및 관리	주요 직무자 지정/감독	개인정보 취급자 감독
	외부자 현황 관리	(없음)	(없음)
	정보시스템 보호	시스템 배치 및 관리	(없음)
	무선 네트워크 접근	무선네트워크 보안	(없음)
	변경관리	변경관리	(없음)
	성능 및 장애관리	성능 및 용량, 장애관리	(없음)
개인정보 처리단계 요구사항	개인정보 수집 제한	(없음)	개인정보 수집 제한
	민감정보 및 고유식별 정보의 처리 제한	(없음)	민감정보 및 고유식별정보의 수집 제한
	영상정보처리기기 설치·운영	(없음)	영상정보처리기기의 설치, 운영 제한
	홍보 및 마케팅 목적 활용 시 조치	(없음)	(없음)
	이용자 단말기 접근 보호	(없음)	(없음)
	처리목적 달성 후 보유 시 조치	(없음)	(없음)
	이용내역 통지	(없음)	개인정보 정정, 삭제

 
[참고]

• 한국인터넷진흥원(KISA), “정보보호 및 개인정보보호 관리체계 인증제도 안내서”, 2019.1
• 한국인터넷진흥원(KISA), “ISMS-P 제도소개”