[보안] ISMS/ISMS-P 인증체계 개념 및 인증기준, 인증대상, 절차 알아보기

 KISA에서 운영하는 정보보호 관리체계인 ISMS(ISMS-P)에 대해서 알아봅니다.

 

[ Contents ]

 

 

1. ISMS(Information Security Management System, 정보보호관리체계)

한국인터넷진흥원(KISA)이 운영하는 정보보호 관리체계 인증 제도

 

 ISMS 인증은 조직이 정보자산을 체계적으로 보호하기 위해 수립·운영하는 관리체계가 인증기준에 적합한지를 심사하여 인증을 부여하는 제도입니다. 2013년부터는 개인정보보호 영역을 통합한 ISMS-P(ISMS + Privacy)도 함께 운영되고 있습니다.

 

 

2. ISMS 인증대상

1) 의무대상

- 정보통신서비스 매출: 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 자
- 이용자 수: 전년도 직전 3개월간 일일 평균 이용자 수가 100만 명 이상인 자
- 상급종합병원: 연간 매출액 또는 세입이 1,500억 원 이상인 상급종합병원
- 학교(고등교육기관): 재학생 수가 1만 명 이상인 학교
- 인터넷망/집적시설: 정보통신망서비스 제공 사업자(ISP) 및 집적정보통신시설 사업자(IDC)

 

 ISMS는 사실 KISA에서 진행하는 정보보호 감사와 일맥상통합니다. 위와 같은 주요 기관들은 필수적으로 ISMS 인증을 마쳐야 하며, 이외에는 자율적으로 인증심사를 신청할 수 있습니다.

 의무대상을 보면 매출액이 100억 원 이상이거나, 일일 평균 이용자 수가 100만 명 이상인 대규모 서비스를 운용하는 기관입니다. 공공기관에 한하여 시행하지 않으며, 사기업이나 학교, 병원도 대상에 포함됩니다.

 

 

2) 중소·중기업 특례 및 간편인증

소기업 또는 정보통신서비스 매출액 300억 원 미만의 중기업, 주요 설비를 보유하지 않은 300억 원 이상 중기업

 

 ISMS 인증 의무대상은 대부분 중견 이상이거나 메이저 공공기관이지만, 간혹 중소·중기업이 해당(약 15%) 하는 경우가 있습니다. 그런 경우에는 ISMS 인증 특례를 적용하여, 인증 기준 축소 및 심사 수수료 및 기간을 단축해줍니다.

 

반응형

 

3. 인증기준

1) 관리체계 수립 및 운영(16개 항목)

관리체계 기반 마련, 위험 관리, 관리체계 운영, 관리체계 점검 및 개선 등 정보보호 관리의 PDCA(Plan-Do-Check-Act) 사이클

 

2) 보호대책 요구사항(64개 항목)

정책·조직·자산 관리, 인적 보안, 외부자 보안, 물리적 보안, 인증 및 권한 관리, 접근통제, 암호화, 정보시스템 도입·개발 보안, 시스템 및 서비스 운영 관리, 시스템 및 서비스 보안 관리, 사고 예방 및 대응, 재해 복구

 

3) [ISMS-P] 개인정보 처리 단계별 요구사항(22개 항목)

개인정보 수집 / 개인정보 보유 및 이용 /  개인정보 제공 / 개인정보 파기 시 보호조치, 정보주체 권리보호

 

 

4. 인증절차

 먼저 조직이 관리체계를 수립하고 최소 2개월 이상 운영한 뒤, KISA 또는 인증기관에 인증 심사를 신청합니다. 이후 서면심사와 현장심사를 거쳐 결함 사항이 도출되면 보완 조치를 수행하고, 최종적으로 인증위원회 심의를 통해 인증이 부여됩니다.

 인증 유효기간은 3년이며, 매년 사후심사를 받아야 합니다. 매년 수감받던 정보보호 감사를 인증체계 형태로 받는다고 생각하시면 됩니다. 다만, 인증체계를 도입함으로써 평가대상이 아닌 기관도 KISA의 'ISMS인증'을 마케팅 및 실적 삼아 지원할 수 있다는 점이 다르죠.

 

 

 이상. ISMS 인증체계 개념 및 인증기준, 인증대상, 절차였습니다.