|
정보보호 및 개인정보보호 관리체계 ISMS-P 인증제도 안내
인증 유형 · 의무대상 · 인증기준 · 심사 절차 핵심 정리
|
|
ISMS-P(정보보호 및 개인정보보호 관리체계 인증)는 기업의 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원(KISA) 또는 인증기관이 증명하는 국가 인증제도입니다.
본 게시글에서는 인증 취득을 준비하는 기업이 알아두어야 할 제도 개요, 의무대상, 인증기준과 심사 절차의 핵심 내용을 정리하였습니다.
|
|
1. 제도 개요
| 법적 근거 |
정보통신망법 제47조, 개인정보 보호법 제32조의2, 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」(과기정통부·개인정보보호위원회 공동고시) |
| 정책기관 |
과학기술정보통신부 · 개인정보보호위원회 (법·제도 개선, 인증기관 및 심사기관 지정) |
| 인증기관 |
한국인터넷진흥원(KISA), 금융보안원(FSI, 금융 분야) |
| 심사기관 |
한국정보통신진흥협회(KAIT), 한국정보통신기술협회(TTA), 개인정보보호협회(OPA) 등 |
| 유효기간 |
3년 (매년 1회 이상 사후심사, 만료 전 갱신심사 필수) |
|
|
2. 인증 유형
| 구분 |
내용 |
ISMS (정보보호 관리체계 인증) |
정보보호 중심 인증 (인증기준 80개) • 기존 ISMS 의무대상 기업·기관, 개인정보를 보유하지 않거나 개인정보 흐름 보호가 불필요한 조직에 적합 |
ISMS-P (정보보호 및 개인정보보호 관리체계 인증) |
개인정보의 흐름과 정보보호 영역을 모두 인증 (인증기준 102개) • 서비스가 개인정보 흐름을 가지고 있어 개인정보 처리 단계별 보안강화가 필요한 조직에 적합 |
※ ISMS 인증 의무대상자는 ISMS 또는 ISMS-P 중 어느 인증을 취득해도 인증의무를 이행한 것으로 봅니다.
|
|
3. 인증 의무대상
| 구분 |
기준 |
| 정보통신망서비스 제공자(ISP) |
전기통신사업법 제6조 제1항에 따른 등록을 하고 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 (매출액·이용자 수 무관) |
| 집적정보통신시설 사업자(IDC) |
정보통신망법 제46조에 따른 집적정보통신시설 사업자 (매출액·이용자 수 무관) |
| 매출액 · 이용자 수 기준 대상자 |
• 정보통신서비스 부문 전년도 매출액 100억원 이상 • 전년도 말 기준 직전 3개월간 일일평균 이용자 수 100만명 이상 • 연간 매출액 또는 세입 1,500억원 이상인 상급종합병원, 재학생 수 1만명 이상 학교 |
| 임의신청자 |
의무대상은 아니나 자발적으로 관리체계를 구축·운영하여 인증 취득을 희망하는 기업·기관 (심사기준·절차는 의무대상자와 동일) |
• 의무대상자는 '의무대상자'로 최초 해당된 연도의 다음 해 8월 31일까지 인증을 취득해야 합니다.
• 의무대상자임에도 인증을 취득하지 않은 사실이 확인되는 경우 과태료(3,000만원 이하) 부과 대상이 될 수 있습니다.
|
|
4. 인증기준 구성
| 인증 영역 |
항목 수 |
ISMS |
ISMS-P |
| 1. 관리체계 수립 및 운영 (기반 마련·위험 관리·운영·점검 및 개선) |
16 |
○ |
○ |
| 2. 보호대책 요구사항 (정책·인적보안·물리보안·접근통제·암호화·재해복구 등 12개 분야) |
64 |
○ |
○ |
| 3. 개인정보 처리단계별 요구사항 (수집·보유 및 이용·제공·파기·정보주체 권리보호) |
22 |
- |
○ |
| 합계 |
102 |
80 |
102 |
|
|
5. 인증심사 절차
① 관리체계 구축·운영 |
▶ |
② 인증신청 예비점검 |
▶ |
③ 인증심사 서면·현장 |
▶ |
④ 결함 보완조치 |
▶ |
⑤ 인증위원회 심의·의결 |
▶ |
⑥ 인증서 발급 |
• 인증 신청 전 관리체계를 구축하고 최소 2개월 이상 운영한 증거자료가 필요합니다.
• 인증심사 신청은 희망심사일 기준 최소 8주 전에 해야 합니다.
• 심사에서 발견된 결함은 40일 이내 보완조치를 완료해야 하며, 연장 포함 최대 100일 이내 미완료 시 인증이 취소(최초심사는 심사 무효)됩니다.
• 준비부터 인증 취득까지는 통상 약 6개월 이상이 소요되므로 일정에 여유를 두고 준비해야 합니다.
|
|
6. 인증 취득 시 기대효과
• 체계적·종합적 관리체계 구현으로 해킹·DDoS 등 침해사고 및 개인정보 유출사고 대응력 강화, 피해·손실 최소화
• 정보보호 및 개인정보보호에 대한 대외 신뢰도·기업 이미지 제고
• 공공부문 사업 입찰 시 가산점 부여 등 인센티브
• 정보보호 전문서비스 기업·보안관제 전문기업 지정 시 평가표 정보보호 인증기업 항목 만점(5점) 부여
• 요양급여비용 심사청구 소프트웨어 보안기능 검사 일부 생략, 지능형전력망 정보보호 이행확인 적용 예외 등 부처별 혜택
|
|
7. 인증 준비 컨설팅 절차
① 현황 진단 갭 분석 |
▶ |
② 인증범위 설정 |
▶ |
③ 관리체계 구축·문서화 |
▶ |
④ 위험평가 보호대책 이행 |
▶ |
⑤ 운영·모의심사 (2개월 이상) |
▶ |
⑥ 심사 대응 보완조치 |
※ 인증범위 설정(서비스·설비·인력 식별)이 심사 수수료와 준비 공수를 좌우하므로, 준비 초기 단계의 범위 진단이 가장 중요합니다.
|
|
(주)한국경영정보는 ISMS-P·ISO 27001·ISO 27701 등 정보보호 분야를 비롯한 시스템·제품 인증 컨설팅 전문기업으로, 인증범위 진단과 갭 분석부터 관리체계 구축, 인증심사 대응까지 전 과정을 지원하며 정부지원사업과 연계하여 인증 취득 비용 부담을 줄여 드립니다.
|
|
(주)한국경영정보
인증 컨설팅 전문기업 | 해외규격인증 · 시스템인증 · 기업의 사회적책임 컨설팅 · 2년 연속 수출바우처 우수수행기관
|