안녕하세요. 개인정보보호 파트너 캐치시큐입니다.
예전 글에서 정보보호 분야에서 가장 권위 있는 국제 인증 제도인 ISO 27001에 대해 소개해드렸는데요.
👉 ISO 27001 인증이란? 정보보호 국제 인증 취득 가이드
오늘은 국내의 정보보호 및 개인정보보호 관리체계 인증인 ISMS와 ISMS-P, 그중에서도 개인정보보호 관리체계 인증이 포함된 ISMS-P에 대해 중점적으로 알아보려 합니다.
정보보호 관리체계 인증 수립에 관심이 있으신 경우 모두 주목해주세요!
Check!
1. ISMS, ISMS-P 인증이란?
2. ISMS-P 인증 취득 절차
3. ISMS-P 인증 심사 준비
4. ISMS-P 기대 효과 및 인증 혜택
5. 마치며
1. ISMS, ISMS-P 인증이란?
ISMS, ISMS-P 인증은 KISA 한국인터넷진흥원이 주관하는 국내 정보보호 관리체계 인증입니다.
ISMS 인증의 경우 정보통신망법과 전기통신사업법에 의해 의무적으로 취득해야 하는 대상자가 규정되어 있는데요.
인증 의무 대상에는 연간 매출액 또는 세입이 1,500억 원 이상인 상급종합병원이나, 재학생 수가 1만 명 이상인 학교도 포함되어 있습니다. 일반 기업의 경우 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 기업과, 전년도 직전 3개월간 정보통신서비스 일일 평균 이용자 수가 100만 명 이상의 기업도 의무 대상자에 포함됩니다.
출처 : KISA 한국인터넷진흥원
ISMS 인증 의무 대상에 해당한다면, ISMS와 ISMS-P 인증 중 하나를 선택하여 인증 심사를 받으면 되는데요.
ISMS-P는 2018년 기존의 ISMS(정보보호 관리체계)와 PIMS(개인정보보호 관리체계)를 통합한 제도로, ISMS의 인증 사항에 더불어 ‘개인정보보호 관리체계 인증'도 추가로 포함되어 있습니다.
ISMS와 달리 의무적으로 취득해야 하는 인증은 아니지만, 안전하게 개인정보를 보관하고 있다는 점이 입증되기 때문에 개인정보를 운용하는 회사 입장에서는 번거롭더라도 ISMS-P를 취득하는 것을 기준으로 두면 좋습니다.
따라서 국내 최고의 정보보호 인증으로 인정받고 있는 ISMS와 ISMS-P 중에서도, 개인정보 흐름의 영역까지 포괄하고 있는 ISMS-P 인증에 대해 더 상세하게 알아보겠습니다.
2. ISMS-P 인증 취득 절차
ISMS-P의 인증 취득 절차는 다음과 같이 이루어져 있는데요.
출처: KISA 한국인터넷진흥원
인증을 위해서는 준비단계 → 신청단계 → 심사단계 → 인증단계 총 4가지의 단계를 거쳐야 합니다.
신청 단계에서는 신청공문과 인증신청서, 관리체계운영명세서, 법인/개인 사업자 등록증이 필요하고, 신청이 접수되면 인증 수수료를 납부하기 위해 수수료를 산정하여, 계약 후 수수료를 납부하게 됩니다.
심사 단계에서는 인증심사가 이루어지며 결함보고서를 신청기관이 전달받고, 신청 기관은 인증 기관에 보완조치내역서를 전달해야 합니다.
마지막으로 인증 단계는 인증위원회에서 심사 심의를 의결하여, 인증서를 부여하는 방식으로 진행됩니다.
ISMS-P 인증을 취득하고 유지하기 위해서는 최초 심사 외에도 사후 심사와 갱신 심사를 시행해야 합니다.
출처 : KISA 한국인터넷진흥원
최초심사를 통해 인증을 취득하면 3년의 유효기간이 부여되며 해당 유효기간 중 매년 1회 이상 사후심사를 받아야 하고, 인증을 갱신하고자 한다면 갱신심사를 받아야 합니다.
3. ISMS-P 인증 심사 준비
그렇다면, 가장 중요한 인증 심사는 어떻게 준비하면 될까요?
ISMS-P 인증 기준은 크게 세 가지로 구성되어 있습니다.
출처 : KISA 한국인터넷진흥원
1. 관리체계 수립 및 운영
● 관리체계 수립 및 운영의 경우 관리체계 기반 마련, 위험 관리, 관리체계 운영, 관리체계 점검 및 개선 4개의 분야, 총 16가지의 인증기준으로 구성되어 있습니다.
● 관리체계의 메인프레임으로서 전반적인 관리체계 운영 라이프사이클을 운영하고 있습니다.
● 관리체계 수립 및 운영은 정보보호 및 개인정보보호 관리체계를 운영하는 동안 지속적이고 반복적으로 실행되어야 합니다.
2. 보호대책 요구사항
● 보호대책 요구사항의 경우 12개 분야 64개 인증기준으로써 정책, 조직, 자산, 교육 등 관리적 부문과 개발, 접근통제, 운영·보안관리 등 물리적·기술적 부문의 보호대책에 관한 사항으로 구성되어 있습니다.
● 보호대책 요구사항에 따라 신청기관은 관리체계 수립 및 운영 과정에서 수행한 위험평가 결과와 조직의 서비스 및 정보시스템 특성 등을 반영하여 체계적으로 보호대책을 수립·이행하여야 합니다.
3. 개인정보 처리단계별 요구사항
● 마지막으로 개인정보 처리단계별 요구사항의 경우 개인정보 생명주기에 따른 개인정보 수집 시 보호조치, 개인정보 보유 및 이용 시 보호조치, 개인정보 제공 시 보호조치, 개인정보 파기 시 보호조치와 정보주체 권리보호를 포함하여 5개 분야 22개의 인증기준으로 구성되어 있습니다.
● 이 영역은 대부분 법적 요구사항과 직접적으로 관련되어 있으므로 개인정보 흐름분석을 바탕으로 조직이 적용받는 법규 및 세부 조항을 명확히 파악하여 이를 준수하여야 합니다.
4. ISMS-P 기대 효과 및 인증 혜택
총 102개의 인증기준을 통과해야 하는 ISMS-P를 취득하면, 국가기관에서 그에 준하는 인증 혜택을 제공해 줍니다.
ISMS-P의 인증 혜택
출처 : KISA 한국인터넷진흥원
ISMS-P의 기대효과
● 단순 일회적 보호대책에서 벗어나 체계적, 종합적인 보호대책을 구현함으로써 기업의 정보보호 및 개인정보보호 관리 수준을 향상시킬 수 있다.
● 기업은 지속적이고 체계적인 정보보호 및 개인정보보호 관리체계 구축을 통해 DDoS, 해킹 등의 침해사고 및 개인정보 유출사고 발생 시 신속하게 대응할 수 있으며, 피해 및 손실을 최소화할 수 있다.
● 기업 경영진이 직접 정보보호 의사결정에 참여함으로써 정보보호 및 개인정보보호 업무에 대한 책임성과 신뢰성을 향상시킬 수 있다.
● 인증을 취득한 기관은 국민 및 고객의 정보보호 및 개인정보보호에 대한 신뢰성을 높여 대외 이미지를 제고할 수 있다.
● 인증을 취득한 기관은 입찰 시 가산점 부여 등의 인센티브를 얻을 수 있다.
5. 마치며
기업의 정보보호 및 개인정보보호 관리가 중요해짐에 따라 ISMS-P 취득이 더 중요해지고 있습니다. ISMS-P 취득은 우리 회사의 정보보호 수준을 제고하고, 대외적으로 기업의 정보 기술력을 알릴 좋은 기회입니다.
캐치시큐에서는 컨설팅을 통한 내부 관리 체계 수립부터 인증 지원까지 지원하고 있으니, 궁금한 점이 있으시다면 개인정보보호 전문가와의 무료 상담을 통해 상담을 받아보시기 바랍니다.
국내 정보보호 인증 취득도, 캐치시큐와 함께하세요.
감사합니다.