본문 바로가기
5. 개인정보 관리

기업의 정보 보호를 위해 중요한 제도, ISMS-P란?

by Robert8478 2024. 10. 2.

개요

보통 일반적인 기업에서 보안이라 함은 기업 자체의 데이터를 보호하는 것도 매우 중요하지만 고객의 개인정보가 유출되지 않도록 주의하는 것이 가장 중요하다고 볼 수 있다. 고객의 개인정보를 안전하게 보호하는 것은 기업의 신뢰도와 직결되며, 이는 매출과 직결이 되고, 또한 국가적으로도 개인정보 보호에 대한 법률을 지정하였기 때문에 반드시 개인정보를 보호해야한다.

여기서 국가는 이에 대한 인증 제도를 부여하고 있는데 가장 대표적인 것이 바로 ISMS-P 라고 할 수 있다.

기존에는 정보보호 관리체계(ISMS - Information Security Management System) 와 개인정보보호 관리체계(PIMS - Personal Information Management System) 인증 제도가 별도로 운용이 되었는데 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」(2018년 11월) 시행된 법령으로 인해 이 두 제도가 통합되어 이제 ISMS-P 인증 제도로 운영되고 있다. (말할때는 그냥 여전히 ISMS 라고 이야기하긴 한다.)

즉, ISMS-P란 '정보통신망의 안정성 확보 및 개인정보 보호를 위해 조직이 수립한 일련의 조치와 활동이 인증기준에 적합함을 인증기관이 평가하여 인증을 부여하는 제도' 라 할 수 있으며, 아래의 의무 대상자들은 법적으로 반드시 진행해야한다.

  • 전기통신사업법 제6조제1항에 따른 등록을 한 자로써, 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
  • 정보통신망법 제46조에따른 집적정보통신시설 사업자
  • 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당하는 경우
  • ㄴ 의료법 제3조의4에 따른 상급종합병원 or 직전연도 12월31일 기준으로 재학생 수가 1만명 이상인 고등교육법 제2조에 따른 학교
  • 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도) 매출액이 100억원 이상인 자
  • 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자

의무 대상자가 아니라고 하더라도 자발적으로 정보보호 및 개인정보보호 관리체계를 구축 및 운영하는 기업, 기관의 경우 ISMS-P 인증 제도를 선택하여 신청할 수 있다.

 

인증심사

ISMS-P의 인증심사는 최초심사 - 사후심사 - 갱신심사로 이루어지는데 각각 상세 내용은 [표-1]과 같다.

심사 종류 상세 내용
최초심사 ISMS-P 인증을 처음 취득하고자 할때 받는 심사, 인증 범위에 중요 변경이 있어 재 인증 신청 시에도 이러한 방식의 심사가 이루어진다. 인증 취득 시 유효기간은 3년
사후심사 ISMS-P 인증 취득 후 보호 제도가 잘 유지되고 있는지 점검하기 위해 진행하는 심사로 인증 유효기간 중 매년 1회 이상 해당 심사를 진행한다.
※ 인증 취득한 범위 내 침해사고 발생 시 KISA는 필요에 따라 인증관련 항목의 보안향상을 위한 필요한 지원을 할 수 있다.
갱신심사 ISMS-P 인증의 유효기간을 갱신하기 위해 실시하는 인증심사

[표-1]

인증기준

ISMS-P 인증 기준은 하위 3가지로 구성된다.

1. 관리체계 수립 및 운영 (16개)


관리체계의 메인프레임으로써 전반적인 관리체계 운영 라이프사이클을 구성

2. 보호대책 요구사항 (64개)


정책, 조직, 자산, 교육 등 관리적 부문과 개발, 접근통제, 운영관리, 보안관리 등 물리적,기술적 부문의 보호대책에 관한 사항으로 구성

3. 개인정보 처리 단계별 요구사항 (22개)

개인정보 생명주기에 따른 보호조치 사항으로 구성

 

인증 범위

ISMS-P의 경우 기존의 ISMS에서 점검하던 정보통신서비스 기준으로 관련된 정보시스템, 장소, 조직 및 인력과 더불어 해당 서비스에서 처리되는 개인정보의 흐름에 따라 해당 개인정보를 처리하는 정보시스템, 물리적 장소, 조직 및 인력 등이 모두 포함된다.

 

인증심사 절차

ISMS-P의 인증심사 절차는 1. 준비 및 신청, 2.심사, 3.인증 단계로 구성되어 있다.

 

# 더 자세한 정보를 얻기 위해 KISA에서 제공하는 ISMS-P 인증제도 안내서를 확인하는 것이 좋다.

https://isms.kisa.or.kr/main/ispims/notice/

 

KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 자료실

 

isms.kisa.or.kr

 

저작자표시

'5. 개인정보 관리' 카테고리의 다른 글

ISMS-P 심사를 위해 반드시 취약점 진단을 수행해야 한다?  (2) 2024.10.02
23년 9월 개인정보보호법 전면 개정!  (1) 2024.09.11
CPPG 공부 시 참조하면 좋을 자료  (1) 2024.09.11
2024 개인정보 사례집 발간  (4) 2024.09.11
CPPG 39회차 2트 합격 후기  (2) 2024.06.21

관련글

티스토리툴바