팝업레이어 알림
팝업레이어 알림이 없습니다.
▼ 이벤트
개인정보보호 관리체계 인증
ISMS / ISMS-P 인증 제도의 모든 것
조직 전반의 정보보호 및 개인정보보호를 위한
지속적이고 체계적인 위험관리 중요성 부각
기업의 사회적 책임
요구 증대
요구 증대
IT환경 및 비즈니스
패러다임 변화
패러다임 변화
개인정보의 안전한
관리 필요성
관리 필요성
사이버침해 사고
발생 가능성 증대
발생 가능성 증대
인증 종류
ISMS
정보보호 관리체계 인증
기업·기관의 정보보호 체계에 대한 인증
ISMS-P
정보보호 및 개인정보보호 관리체계 인증
기업·기관의 정보보호 체계와 개인정보 보호 영역을 모두 인증
인증 기대효과
신뢰성과 이미지 향상
기업·기관의 정보보호 신뢰성과 이미지 향상
비즈니스 안전성 제고
정보보호 위험관리 및 개인정보보호 역량 강화를 통한 비즈니스 안전성 제고
법적 준거성 확보
윤리 경영을 위한 정보보호와 개인정보보호의 법적 준거성 확보
사이버 침해사고 위협 대응
융합화·고도화되는 사이버 침해위협에 효과적인 대응 가능
인증 체계 및 법적 근거
인증 체계
정책
기관
기관
인증
협의회
협의회
- • 법·제도 개선 및 정책 결정
- • 인증기관 및 심사기관 지정
●
과학기술정보통신부
●
개인정보보호위원회
인증
기관
기관
한국
인터넷진흥원
(KISA)
인터넷진흥원
(KISA)
인증위원회
- • 제도 운영 및 인증품질관리
- • 신규·특수 분야 인증심사 수행
- • 인증서 발급
- • 인증심사원 양성 및 자격관리
인증 기관
인증위원회
- • 금융분야 인증심사
- • 금융분야 인증서 발급
- ※ 인증 기관 지정 현황
('20년말 기준): 금융보안원
심사
기관
기관
심사 기관
심사 기관
심사 기관
- • 인증심사 수행
- ※ 심사 기관 지정 현황
('20년말 기준):
한국정보통신진흥협회(KAIT),
한국정보통신기술협회(TTA),
개인정보보호협회(OPA)
법적 근거
법령
과학기술정보통신부
정보통신망법 제47조
시행령 제47조~제54조
시행규칙 제3조
시행령 제47조~제54조
시행규칙 제3조
개인정보보호위원회
개인정보 보호법 제32조의2
시행령 제34조의2~제34조의8
시행령 제34조의2~제34조의8
고시
정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
인증 대상 및 범위
인증 대상
| 구분 | 대상자 | 상세 기준 |
|---|---|---|
| 의무 대상자 (필수) |
ISP | 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 |
| IDC | 「정보통신망법」 제46조에 따른 집적정보통신 시설 사업자 | |
| 병원 | 학교 | 연간 매출액 또는 세입이 1,500억원 이상인 자 중: - 「의료법」 제3조의4에 따른 상급종합병원 - 직전연도 12월 31일 기준 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 |
|
| 정보통신 서비스 제공자 | - 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자 - 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 |
|
| 자율 신청 | 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업/기관 | |
의무대상자는 ISMS(필수) 또는 ISMS-P(선택) 인증을 받으면 의무를 다한 것으로 인정됩니다.
인증 범위 상세
서비스 운영을 위한
조직 및 인력
조직 및 인력
- 시스템 운영팀, 정보보안팀, 인사팀 등
- 관제, 재해복구
서비스 운영을 위한
장소
장소
- 시스템 운영장소
- 정보서비스 운영 관련 부서
서비스 운영을 위한
인프라
인프라
(관련 시스템/서버/NW 등)
개인정보 처리를 위한
조직 및 인력
조직 및 인력
- 고객센터, 영업점, 물류센터
- 개인정보보호팀 등
개인정보 처리를 위한
물리적 인프라
물리적 인프라
- 개인정보 취급 부서
- 개인정보 취급 수탁사
ISMS
정보통신서비스와 서비스 제공을 위한 모든 정보시스템, 인력, 물리적 위치 등은 반드시 포함하여야 함
ISMS-P
정보시스템 서비스와 개인정보 관련 업무를 상세하게 분석하여 Life Cycle(수집·보유·이용·제공·파기)에 따라 개인정보 흐름에 해당하는 모든 서비스, 정보시스템, 인력, 물리적 위치 등을 포함하여야 함
인증기준 구성 및 항목
ISMS (총 80개 항목) / ISMS-P (총 102개 항목)
| 인증 종류 | 구분 | 인증기준 분야별 상세 (개수) |
|---|---|---|
| ISMS (80항목) ISMS-P (102항목) 공통 |
1. 관리체계 수립 및 운영 (16항목) |
1.1 관리체계 기반 마련 (6) | 1.2 위험관리 (4) 1.3 관리체계 운영 (3) | 1.4 관리체계 점검 및 개선 (3) |
| 2. 보호대책 요구사항 (64항목) |
2.1 정책, 조직, 자산 관리 (3) | 2.2 인적보안 (6) 2.3 외부자 보안 (4) | 2.4 물리보안 (7) 2.5 인증 및 권한 관리 (6) | 2.6 접근통제 (7) 2.7 암호화 적용 (2) | 2.8 정보시스템 도입 및 개발 보안 (6) 2.9 시스템 및 서비스 운영관리 (7) | 2.10 시스템 및 서비스 보안관리 (9) 2.11 사고 예방 및 대응 (5) | 2.12 재해복구 (2) |
|
| ISMS-P 추가 (22항목) |
3. 개인정보 처리단계별 요구사항 (22항목) |
3.1 개인정보 수집 시 보호조치 (7) | 3.2 개인정보 보유 및 이용 시 보호조치 (5) 3.3 개인정보 제공 시 보호조치 (4) | 3.4 개인정보 파기 시 보호조치 (3) 3.5 정보주체 권리보호 (3) |
인증 선택 및 심사 절차
인증 선택
ISMS 인증만 받고자 하는 경우
개인정보를 포함하고 있어도 ISMS를 받을 수 있음
ISMS-P 인증만 받고자 하는 경우
인증범위 내 개인정보 흐름을 반드시 포함하여야 함
ISMS, ISMS-P 인증을 구분하여 받는 경우
하나의 관리체계에서 일부 서비스만 개인정보 흐름을 포함
의무대상자는 ISMS 또는 ISMS-P 인증을 받으면 의무를 다한 것으로 인정 (인증 의무대상 요건에 해당하는 서비스가 범위에 포함되어야 함)
인증에 따른 심사구분
| 단일 인증 |
하나의 인증을 신청하는 경우 (예: ISMS 인증 또는 ISMS-P 인증을 신청) 인증신청 > 수수료납부 > 인증심사 > 결과보고 > 단일 인증서 발급 |
| 다수 인증 |
같은 관리체계 내에서 일부 서비스만 개인정보보호를 포함하여 인증을 받고자 하는 심사의 경우 수수료 및 심사과정을 통합하였으며 유효기간 및 심사주기가 동일하고 범위만 다른 다수의 인증서 발급 - 예시) ISMS 인증 범위(금고서비스 운영), ISMS-P 인증 범위(인터넷뱅킹 서비스 운영) - 다른 기간에 개별로 받는 인증은 해당되지 않음 (예: 상반기 ISMS, 하반기 ISMS-P 인증) 인증신청 > 수수료납부 > 인증심사 > 결과보고 > 다수 인증서 발급 |
심사 절차 및 인증 유지
| 단계 | 신청기관 (기업) | 인증·심사기관 | 비고 |
|---|---|---|---|
| 1. 준비 단계 | 관리체계 구축 및 운영 | - | 인증기준에 따른 관리체계 구축 운영(2개월) |
| 2. 신청 단계 | 인증신청 ↓ 인증수수료 납부 |
신청접수 > 예비점검 ↓ 수수료 청구 |
신청서류 공문접수(신청서, 명세서) 인증범위 및 신청기업 준비상태 예비점검 수수료 청구, 심사일정 확정, 수수료 납부 |
| 3. 심사 단계 | 직접 경비 납부 ↓ 보완조치 및 결과 제출 |
인증심사(서면/현장) ↓ 직접 경비 청구 > 이행 점검 > 심사결과보고서 작성 |
관리체계 수립 및 구현 이행 여부 심사 결함사항 보완조치 요청 심사 시 발견된 결함에 대한 보완조치(40일) 심사결과보고서(심의안건) 작성 |
| 4. 인증 단계 | 인증서 수령 | 인증위원회 개최 ↓ 인증서 부여 |
인증위원회의 심사결과 검토·심의 인증서 발급(유효기간: 3년) |
| 인증 유지 구분 | 내용 | 심사 절차 주기 |
|---|---|---|
| 최초심사 | 정보보호 관리체계 인증 취득을 위한 심사 (범위 변경 등 중요한 변경사항 발생시에도 최초심사) |
1 준비단계 ~ 4 인증단계 진행 (인증 유효기간 : 3년) |
| 사후심사 | 정보보호 관리체계를 지속적으로 유지하고 있는지에 대한 심사 (연 1회 이상) |
2 신청단계 ~ 3 심사단계 진행 (인증 유효일로 부터 매1년) |
| 갱신심사 | 유효기간(3년) 만료일 이전에 유효기간 연장을 목적으로 하는 심사 | 2 신청단계 ~ 4 인증단계 진행 (유효기간 만료일 이전에 신청) |
수수료 산정 기준 및 할인
직접인건비
+
제경비
+
기술료
+
직접경비
| 수수료 산정요소 | 설명 | |
|---|---|---|
| ISMS | 범위 내 정보시스템 수 | 정보시스템에는 서버, 네트워크 장비, 보안장비 등을 포함하며 범위 내의 임대장비도 포함 |
| 범위 내 인력 수 | 인증범위의 내부 및 외주 인력을 합산하여 산정하며 ISMS-P를 포함하는 경우 개인정보취급인력 합산 | |
| ISMS-P 추가 항목 |
개인정보흐름 포함 | 개인정보 처리단계별 요구사항(22개) 항목을 추가하여 심사하는 경우 |
| 개인정보 처리 서비스 수 | 개인정보를 수집하여 처리하는 서비스 수 | |
| 개인정보 위탁업체 수 | 인증범위 내에서 사용되는 개인정보 위탁업체 수 | |
수수료 할인
중소기업 (30%)
「중소기업기본법」 제2조제2항에 따른 소기업
정보보호공시 (30%)
「정보보호산업의 진흥에 관한 법률」 제13조에 따라 ‘정보보호공시’를 한 경우
심사 일부생략 (20%)
「정보보호 및 개인정보보호 관리 체계 인증 고시」 제20조에 따라 ‘ISO/IEC 27001’, ‘주요정보통신기반시설의 취약점 점검’을 한 경우
인증 혜택
ISMS 인증을 취득한 기업 및 기관에게 제공되는 다양한 제도적 혜택
-
과학기술정보통신부- 정보보호 전문서비스 기업 지정 시 '업무 수행능력 심사 평가표' 의 정보보호 인증기업 항목에 만점(5점) 부여
※ 정보보호 전문서비스 기업지정 등에 관한 고시
- 보안관제 전문기업 지정 시 '업무수행능력 평가기준' 의 정보보호 인증기업 항목에 만점(5점) 부여
※ 보안관제 전문기업 지정 등에 관한 공고 -
KISA
(한국인터넷진흥원)물품 구매·제조, 용역 및 공사, 위탁연구 등에 있어 계약자 선정 평가 시 가점 부여 -
한국기업지배구조원상장기업 대상 ESG 평가 일부 항목(사회 부분) 대체 인정
-
국토교통부스마트 도시 기반 시설의 보호에 대해 정보보호 관리체계 인증취득 권고
※ 스마트도시 조성 및 산업진흥 등에 관한 법률 제22조 2항 -
교육부사이버 대학의 원격교육설비에 대해 정보보호 관리체계 인증취득을 권고
※ 원격교육 설비 기준 고시
