ISMS 인증은 한국인터넷진흥원에 의해 시행되며 기업의 주요 정보자산 보호를 위한 관리체계를 적절히 구축, 운용하고 있는지 인증하는 제도입니다.
이 포스팅에서는 ISMS 인증의 요구사항과 가이드라인에 대해 알아보겠습니다. 현업에서 인증진행시 아래의 정보가 도움이 되시기를 바랍니다.
ISMS vs ISMS-P 차이점
ISMS-P는 기존의 ISMS 정보보호 인증에 PIMS 개인정보보호 인증이 통합된 것입니다. 인증시 기업에서 ISMS 및 ISMS-P 선택이 가능합니다.
예를 들어, 개인정보보호 및 관리가 필요 없는 경우 ISMS 인증만 선택하여 받을 수 있습니다. 참고로 심사항목의 수는 ISMS는 80개, ISMS-P는 102개로 구성됩니다.
국내의 ISMS에 인증에 해당하는 국제 인증은 ISO 27001 입니다. 이는 국제표준으로 관리되며 전세계 5,000개 이상의 업체가 취득하였으며 국내 업체는 100여개 정도 등록되어 있습니다. ISO 27001 인증에 필요한 정보는 아래에서 얻으실 수 있습니다.
ISMS 인증대상 및 절차
ISMS 인증 대상은 자발적으로 신청하는 자율신청자와 다음의 의무대상자로 구분할 수 있습니다. 인증을 의무적 받아야하는 경우는 다음과 같습니다.
인증대상
- ISP: 전기통신사업법에 의거 정보통신망서비스를 제공하는자
- IDC: 정보통신망법에 따른 집적정보통신시설 사업자 (서버호스팅, 스토리지 호스팅, 코로케이션, 회선임대 등의 네트워크 제공 서비스 사업자 등 해당)
- 병원 및 학교: 연간매출 또는 세입 1,500억 원 이상인 상급종합 병원이나 고등교육법에 따른 학교
- 아래 기준에 해당하는 정보통신 기업
- 정보통신 서비스 부문 매출액 100억 이상
- 전년도말 기준 3개월간 일일 평균이용자 수가 100만 명 이상인 사업자
의무 대상자에 해당할 경우 개인정보보호 인증 여부에 따라 ISMS (필수) 또는 ISMS-P (선택) 를 선택하여 신청이 가능하며, 최초 신청시 다음 해 8월 31까지 인증을 취득해야 합니다.
인증절차
인증은 아래 그림과 같은 9단계 절차로 진행됩니다.
신청 시 필요 서류
심사신청시에는 다음의 서류를 구비하여 심사기관에 제출하면 됩니다.
- 인증신청 공문
- 인증 신청서
- 인증 명세서
- 사업자 등록증 (개인, 법인)
인증은 최초심사, 사후심사, 갱신심사로 분류할 수 있습니다. 최초 자격취득시 유효기간은 3년 입니다. 이 기간 중에 관리체계가 잘 지속되는지 매년 사후심사가 필요합니다.
가령 위와 같이 최초 심사를 완료한 후 3년 후 갱신심사까지 1년을 주기로 2번에 걸쳐 사후 심사를 받게 됩니다
ISMS 요구사항 및 가이드라인
앞서 설명해 드린 바와 같이 ISMS와 ISMS-P는 개인정보보호 인증의 추가 여부에 있습니다. 각 인증기준은 ISMS 인증 요구사항 총 80가지와 PIMS 개인정보보호 요구사항 22가지로 구성됩니다.
- 관리체계 수립 및 운영 16개
- 보호대책 요구사항 64개
- 개인정보처리 요구사항 22개
이어서 세부적인 ISMS 및 개인정보보호 인증 가이드라인을 살펴보겠습니다. 인증에 필요한 세부적인 항목은 KIA의 인증기준 자료실을 참고하시면 되며, 아래는 전반적인 참고 사항을 정리하였습니다.
ISMS 인증 가이드라인
ISMS 인증을 위해서는 크게 관리체계 수립 및 운영에 대한 16개의 요구사항과 보호 대책 요구사항 64개 인증받아야 합니다.
구분 | 가이드라인 |
정보보호 정책 | 정책의 승인 및 공표, 정책의 체계 및 정책의 유지관리에 대한 확인 |
정보보호 조직 | 정보보호 조직의 체계. 각 담당자의 책임과 역할에 대한 체크 |
외부자 보안 | 보안 요구 사항의 정의 및 외부자 보안 이행 체크 |
정보자산 분류 | 정보자산의 식별 및 책임에 따른 자산의 분류 및 취급이 적절한지 체크 |
정보보호 교육 | 정보보호 교육 프로그램의 수립 및 시행과 평가가 적절한지 체크 |
인적보안 | 정보보호 책임 및 인사규정 절차 |
물리적보안 | 물리적 보호구역, 시스템의 보호 및 사무실 보안을 체크 |
시스템개발 보안 | 분석 및 설계 보안관리. 구현 및 이관보안. 외주개발 보안수준 체크 |
암호통제 | 암호정책 및 암호키 관리방법 체크 |
접근통제 | 접근통제 정책, 접근권한의 관리. 사용자 인증/ 식별/ 접근통제 방법 |
운영보안 | 운영절차 및 변경관리. 시스템 및 서비스 운영보안. 전자거래 및 정보전송 보안, 매체보안, 악성코드의 관리. 로그관리 및 모니터링 방법의 체크 |
침해사고관리 | 침해사고 관리절차 및 체계점검. 대응 및 복구 등의 사후관리 체크 |
IT 재해복구 | 복구체계의 구축 및 대책 구현상태 체크 |
개인정보보호 인증 가이드라인
구분 | 가이드라인 |
관리과정 | 정책 수립 및 범위설정. 경영진 책임 및 조직의 구성방법위험관리, 개인정보보호 대책, 사후관리의 체크 |
보호대책 | 개인정보보호 정책, 조직개인정보보호 자산분류, 교육 및 인적안 관리.침해사고 관리, 기술적/ 물리적 보호조치 체크 |
생명주기 | 개인정보의 수집, 이용 및 제공개인정보 관리 및 파기 절차 체크 |
이상으로 ISMS(ISMS-P) 인증대상, 요구사항 및 가이드라인에 대해 알아보았습니다. 이상의 정보가 인증을 진행하시는데 도움이 되시길 바랍니다.