ISMS-P - 정보보호 및 개인정보보호 관리체계 인증

ISMS-P

: 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도

 

ISMS-P의 법적 근거

- 정보통신망 이용촉진 및 정보보호에 관한 법률 제47조

- 정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제47조~제54조

- 정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제3조

- 개인정보보호법 제32조의2

- 개인정보보호법 시행령 제34조의2~제34조의8

- 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시

 

인증대상

- 자율 신청자

: 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있다.

 

- ISMS 인증 의무대상자(정보통신망법 제 47조 2항)

: 인증 의무대상자는 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 표에서 기술한 의무대상자 기준에 하나라도 해당되는 자이다.

구분	의무대상자 기준
ISP	「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
IDC	정보통신망법 제46조에 따른 집적정보통신시설 사업자
다음의 조건 중 하나라도 해당하는 자	연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 - 「의료법」 제3조의4에 따른 상급종합병원 - 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
	정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
	전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자

 

ISMS-P 인증심사 절차

 

인증 범위

ISMS-P : 정보보호 및 개인정보보호 관리체계 인증 : 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산
· 개인정보 처리를 위한 수집, 보유, 이용, 제공, 파기에 관여하는 개인정보처리 시스템, 취급자를 포함

ISMS : 정보보호 관리체계 인증 : 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산을 포함

 

심사 종류

구분	설명
최초심사	인증을 처음으로 취득할 때 진행하는 심사이며, 인증의 범위에 중요한 변경이 있어 다시 인증을 신청할 때에도 실시한다. 최초심사를 통해 인증을 취득하면 3년의 유효기간이 부여
사후심사	사후심사는 인증을 취득한 이후 정보보호 관리체계가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 시행하는 심사이다.
갱신심사	갱신심사는 정보보호 관리체계 인증 유효기간 연장을 목적으로 심사를 말한다.

 

인증 기준

개요

정보보호 및 개인정보보호 관리체계 인증기준은 크게 ʻ1. 관리체계 수립 및 운영ʼ, ʻ2. 보호대책 요구사항ʼ, ʻ3. 개인정보 처리 단계별 요구사항ʼ 3개 영역에서 총 102개의 인증기준으로 구성되어 있다. 정보보호 관리체계(ISMS) 인증을 받고자 하는 신청기관은 ʻ1. 관리체계 수립 및 운영ʼ, ʻ2. 보호대책 요구사항ʼ 2개 영역에서 80개의 인증기준을 적용받게 되며, 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받고자 하는 신청기관은 ʻ3. 개인정보 처리 단계별 요구사항ʼ을 포함하여 102개의 인증기준을 적용받게 된다.

 

1. 관리체계 수립 및 운영

ʻ관리체계 수립 및 운영ʼ 영역은 관리체계 기반 마련, 위험 관리, 관리체계 운영, 관리체계 점검 및 개선의 4개 분야 16개 인증기준으로 구성되어 있다. 이러한 관리체계 수립 및 운영은 정보보호 및 개인정보보호 관리체계를 운영하는 동안 지속적이고 반복적으로 실행되어야 한다.

 

1.1 관리체계 기반 마련

1.1.1 경영진의 참여

1.1.2 최고책임자의 지정

1.1.3 조직 구성

1.1.4 범위 설정

1.1.5 정책 수립

1.1.6 자원 할당

1.2 위험 관리

1.2.1 정보자산 식별

1.2.2 현황 및 흐름분석

1.2.3 위험 평가

1.2.4 보호대책 선정

1.3 관리체계 운영

1.3.1 보호대책 구현

1.3.2 보호대책 공유

1.3.3 운영현황 관리

1.4 관리체계 점검 및 개선

1.4.1 법적 요구사항 준수 검토

1.4.2 관리체계 점검

1.4.3 관리체계 개선

 

2. 보호대책 요구사항

ʻ보호대책 요구사항ʼ 영역은 12개 분야 64개 인증기준으로 구성되어 있다. 보호대책 요구사항에 따라 신청기관은 관리체계 수립 및 운영 과정에서 수행한 위험평가 결과와 조직의 서비스 및 정보시스템 특성 등을 반영하여 체계적으로 보호대책을 수립·이행하여야 한다.

 

2.1 정책, 조직, 자산 관리

2.1.1 정책의 유지관리

2.1.2 조직의 유지관리

2.1.3 정보자산 관리

2.2 인적 보안

2.2.1 주요 직무자 지정 및 관리

2.2.2 직무 분리

2.2.3 보안 서약

2.2.4 인식제고 및 교육훈련

2.2.5 퇴직 및 직무변경 관리

2.2.6 보안 위반 시 조치

2.3 외부자 보안

2.3.1 외부자 현황 관리

2.3.2 외부자 계약 시 보안

2.3.3 외부자 보안 이행 관리

2.3.4 외부자 계약 변경 및 만료 시 보안

2.4 물리 보안

2.4.1 보호구역 지정

2.4.2 출입통제

2.4.3 정보시스템 보호

2.4.4 보호설비 운영

2.4.5 보호구역 내 작업

2.4.6 반출입 기기 통제

2.4.7 업무환경 보안

2.5 인증 및 권한관리

2.5.1 사용자 계정 관리

2.5.2 사용자 식별

2.5.3 사용자 인증

2.5.4 비밀번호 관리

2.5.5 특수 계정 및 권한관리

2.5.6 접근권한 검토

2.6 접근통제

2.6.1 네트워크 접근

2.6.2 정보시스템 접근

2.6.3 응용프로그램 접근

2.6.4 데이터베이스 접근

2.6.5 무선 네트워크 접근

2.6.6 원격접근 통제

2.6.7 인터넷 접속 통제

2.7 암호화 적용

2.7.1 암호정책 적용

2.7.2 암호키 관리

2.8 정보시스템 도입 및 개발 보안

2.8.1 보안 요구사항 정의

2.8.2 보안 요구사항 검토 및 시험

2.8.3 시험과 운영 환경 분리

2.8.4 시험 데이터 보안

2.8.5 소스 프로그램 관리

2.8.6 운영환경 이관

2.9 시스템 및 서비스 운영관리

2.9.1 변경관리

2.9.2 성능 및 장애관리

2.9.3 백업 및 복구관리

2.9.4 로그 및 접속기록 관리

2.9.5 로그 및 접속기록 점검

2.9.6 시간 동기화

2.9.7 정보자산의 재사용 및 폐기

2.10 시스템 및 서비스 보안관리

2.10.1 보안시스템 운영

2.10.2 클라우드 보안

2.10.3 공개서버 보안

2.10.4 전자거래 및 핀테크 보안

2.10.5 정보전송 보안

2.10.6 업무용 단말기기 보안

2.10.7 보조저장매체 관리

2.10.8 패치관리

2.10.9 악성코드 통제

2.11 사고 예방 및 대응

2.11.1 사고 예방 및 대응체계 구축

2.11.2 취약점 점검 및 조치

2.11.3 이상행위 분석 및 모니터링

2.11.4 사고 대응 훈련 및 개선

2.11.5 사고 대응 및 복구

2.12 재해 복구

2.12.1 재해·재난 대비 안전조치

2.12.2 재해 복구 시험 및 개선

 

 

3. 개인정보 처리 단계별 요구사항

ʻ개인정보 처리 단계별 요구사항ʼ 영역은 개인정보 생명주기에 따른 개인정보 수집 시 보호조치, 개인정보 보유 및 이용 시 보호조치, 개인정보 제공 시 보호조치, 개인정보 파기 시 보호조치와 정보주체 권리보호를 포함하여 5개 분야 22개의 인증기준으로 구성되어 있다. 이 영역은 대부분 법적 요구사항과 직접적으로 관련되어 있으므로 개인정보 흐름분석을 바탕으로 조직이 적용받는 법규 및 세부 조항을 명확히 파악하여 이를 준수하여야 한다

 

3.1 개인정보 수집 시 보호조치

3.1.1 개인정보 수집 제한

3.1.2 개인정보의 수집 동의

3.1.3 주민등록번호 처리 제한

3.1.4 민감정보 및 고유식별정보의 처리 제한

3.1.5 간접수집 보호조치

3.1.6 영상정보처리기기 설치·운영

3.1.7 홍보 및 마케팅 목적 활용 시 조치

3.2 개인정보 보유 및 이용 시 보호조치

3.2.1 개인정보 현황관리

3.2.2 개인정보 품질보장

3.2.3 개인정보 표시제한 및 이용 시 보호 조치

3.2.4 이용자 단말기 접근 보호

3.2.5 개인정보 목적 외 이용 및 제공

3.3 개인정보 제공 시 보호조치

3.3.1 개인정보 제3자 제공

3.3.2 업무 위탁에 따른 정보주체 고지

3.3.3 영업의 양수 등에 따른 개인정보의 이전

3.3.4 개인정보의 국외 이전

3.4 개인정보 파기 시 보호조치

3.4.1 개인정보의 파기

3.4.2 처리목적 달성 후 보유 시 조치

3.4.3 휴면 이용자 관리

3.5 정보주체 권리보호

3.5.1 개인정보처리방침 공개

3.5.2 정보주체 권리보장

3.5.3 이용내역 통지

 

참고자료

https://isms.kisa.or.kr/

KISA 정보보호 및 개인정보보호관리체계 인증

ISMS-P 인증기준 안내서(2022.4.22)