[정보보안] - 정보보호 및 개인정보보호 관리체계 ISMS-P 인증
1. 정보보호 관리체계
정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도란?
개인정보보호법 및 정보통신망 이용촉진 및 정보보호에 관한 법률에 근거하여 정보보호 및 개이정보보호를 위한 활동이 인증기준에 적합함을 인증기관이 증명하여 인증을 부여하는 제도입니다.
과학기술정보통신부 정보보호(ISMS)와 개인정보보호위원회의 개인정보보호(PIMS)가 통합된 개념입니다.
- ISMS : 정보보호 중심의 인증 제도 (정보통신망법 제47조 제2항의 의무대상자는 인증이 필요합니다.)
- ISMS-P : 정보보호 및 개인정보보호 영역을 포함하는 인증제도
2. 정보보호 관리체계 인증심사 종류
- 최초심사 : ISMS-P 인증을 처음 취득할 때 수행되는 심사로 유효기간은 3년이다.
- 사후심사 : ISMS-P 인증을 취득 후 매년 1회 실시하는 심사이다. (유효기간 만료 3년 중 2회 실시합니다.)
- 갱신심사 : ISMS-P 인증의 유효기간 갱신을 위해 실시하는 심사이다.
3. 정보보호 관리체계 인증 추진 체계
- 정책기관 : 과학기술정보통신부 및 개인정보보호위원회
- 인증기관 : 한국인터넷진흥원 및 금융보안원 (인증위원회)
- 심사기관 : 정보통신진흥협회(KAIT), 정보통신기술협회(TTA), 개인정보보호협회(OPA)
정책기관의 경우 ISMS-P 인증 협의회를 구성하여 운영합니다.
인증제도와 관련된 법제도를 개선하거나 정책을 결정하고 인증기관 및 심사기관 지정 업무를 수행합니다.
인증위원회의 경우 35명 이하의 전문 위원으로 구성되어있고 심사에 문제가 없었는지, 인증기준에 부합한지, 심사결과에 대해 최종 평가하고 심의 및 의결합니다.
4. ISMS-P 인증기준
ISMS 인증범위의 경우 내부 업무용 인프라(그룹웨어, ERP, 분석용 데이터베이스, CTI, IVR)는 제외될 수 있으며 WEB/WAS 서버, 개발 서버, DMZ 망 내 서버, DB 등 서비스와 직접적으로 연관된 서버들이 인증 대상으로 분류됩니다. ISMS-P 인증기준은 총 102 항목으로 구성되어있습니다.
- 관리체계 수립 및 운영 : 16 항목
- 보호대책 요구사항 : 64 항목
- 개인정보 처리단계별 요구사항 : 22 항목
- 의무대상자 : 정보통신망 서비스를 제공하는자(ISP), 집적정보통신시설 사업자(IDC), 연매출, 이용자 수 등이 정보통신망법 기준에 해당하는 자로 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자, 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자에 해당합니다.
- 임의신청자 : 의무대상자에 해당하지 않으나 자발적으로 정보보호시스템을 구축하여 사용하려는 자에 해당합니다.