[ISMS/ISMS-P] 정보보호관리체계 인증 제도

이 글은 기관의 정보보호관리체계(Information Security Management System)가 인증기준에 적합한지 심사하여 인증을 부여하는 제도를 의미하는 ISMS/ISMS-P 인증 제도에 대해 포스팅합니다. 

정보보호관리체계 인증 제도 (ISMS/ISMS-P)

정보보안 분야에서 ISMS 인증 제도라는 것은 기관의 정보보호관리체계(Information Security Management System)가 인증기준에 적합한지 심사하여 인증을 부여하는 제도를 의미한다.

 

ISMS의 경우 아래와 같이 두 가지의 인증 제도가 존재하는데, ISMS-P의 경우 P를 의미하는 개인정보보호 관리체계(PIMS)를 2019년도부터 ISMS와 중복 부분을 통합하여 ISMS-P로 운영함으로써 생기게 된 인증제도이다.

---

반응형

ISMS/ISMS-P

1) ISMS : 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인증기관이 증명하는 제도로 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산을 포함

2) ISMS-P : 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인증기관이 증명하는 제도로 인증 범위는 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산, 개인정보 처리를 위한 수집, 보유, 이용, 제공, 파기에 관여하는 개인정보처리 시스템, 취급자를 포함

---

 

ISMS/ISMS-P 인증기관

금융보안원의 경우 과학기술정보통신부, 개인정보보호위원회로부터 정보보호 및 개인정보보호 관리체계 인증 및 인증심사를 일괄적으로 수행하는 민간 인증기관으로 지정됨으로써, 금융권에서 ISMS-P 인증을 지원하고 있으며, 22년 7월 인증기관으로 재지정되었다.(출처 : https://zdnet.co.kr/view/?no=20220703102315)

IT세상을 바꾸는 힘 지디넷코리아

---

반응형

법적 근거

ㅇ 인증제도와 관련한 법적 근거는 아래와 같다

- 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조

- 「개인정보 보호법」 제32조의2

- 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」

---

 

인증 기준 / 신청 절차 / 심사 종류

ㅇ 인증제도와 관련한 법적 근거는 아래와 같다

- 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조

- 「개인정보 보호법」 제32조의2

- 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」

 

ㅇ ISMS/ISMS-P의 인증 기준은 아래와 같이 기본적으로 관리체계 수립 및 운영 16개, 보호대책 요구사항 64개의 총 80개 기준을 따르며, ISMS-P의 경우 추가적으로 개인정보처리 단계별 요구사항 22개를 추가하여 총 102개의 기준을 따른다.

이미지 출처 : 금융보안원 홈페이지(https://www.fsec.or.kr/bbs/107)

ㅇ 인증신청절차는 준비 - 심사 - 인증 - 사후관리로 진행되며, 신청할 기관은 정보보호 및 개인정보보호 관리체계를 2개월이상 운영 후 신청해야한다.

 

ㅇ 인증심사 종류는 아래와 같이 세 가지가 존재한다.

1) 최초심사 : 처음으로 인증을 신청하거나 인증의 범위에 중요한 변경으로 다시 인증을 신청할 때 실시하는 인증심사

2) 사후심사 : 인증(인증 갱신 포함)을 받고 난 후 매년 사후관리를 위하여 실시하는 인증심사

3) 갱신심사 : 인증 유효기간 만료로 다시 인증을 신청할 때 실시하는 인증심사

 

내용출처 : 금융보안원 홈페이지(https://www.fsec.or.kr/bbs/107)

---

반응형

마무리

금융보안원에서는 이러한 심사를 위해서 심사원을 육성하고 있다.

올해는 나도 인증심사원을 준비해보려 한다.

진급도 있고... 다른 기업에서도 수요가 많을 것이라 예상되어 나중에도 유용하게 쓰일 것 같다.

 

다음번엔 인증심사원 준비를 위한 포스팅을 해볼 계획이다.