정보보호 및 개인정보보호관리체계 인증: Difference between revisions

From IT Wiki
No edit summary
No edit summary
Line 52: Line 52:
*'''(2020년 8월)''' 행정안전부, 방송통신위원회로 분산되어 있던 개인정보보호 기능이 개인정보보호위원회로 일원화 됨에 따라 인증제도 소관부처가 과학기술정보통신부와 개인정보보호위원회로 변경
*'''(2020년 8월)''' 행정안전부, 방송통신위원회로 분산되어 있던 개인정보보호 기능이 개인정보보호위원회로 일원화 됨에 따라 인증제도 소관부처가 과학기술정보통신부와 개인정보보호위원회로 변경


== 인증 유형 및 종류 ==
==인증 유형 및 종류==


=== 인증 유형 ===
===인증 유형===
ISMS-P 인증은 정보보호 중심의 ‘ISMS 인증’과 개인정보의 흐름과 정보보호 영역을 모두 인증 하는 ‘ISMS-P 인증’ 두 가지 유형으로 구분
ISMS-P 인증은 정보보호 중심의 ‘ISMS 인증’과 개인정보의 흐름과 정보보호 영역을 모두 인증 하는 ‘ISMS-P 인증’ 두 가지 유형으로 구분
{| class="wikitable"
{| class="wikitable"
Line 63: Line 63:
|정보보호 중심으로 인증하는 경우
|정보보호 중심으로 인증하는 경우


* 기존의 ISMS의 의무대상 기업·기관
*기존의 ISMS의 의무대상 기업·기관
* 개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등
*개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등
|-
|-
|ISMS-P
|ISMS-P
|개인정보의 흐름과 정보보호 영역을 모두 인증하는 경우
|개인정보의 흐름과 정보보호 영역을 모두 인증하는 경우


* 보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어 개인정보 처리 단계별 보안강화가 필요한 조직
*보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어 개인정보 처리 단계별 보안강화가 필요한 조직
|}
|}


=== 인증 종류 ===
===인증 종류===
ISMS-P 인증심사의 종류는 ‘최초심사’, ‘사후심사’, ‘갱신심사’로 구분
ISMS-P 인증심사의 종류는 ‘최초심사’, ‘사후심사’, ‘갱신심사’로 구분


* '''최초심사'''
*'''최초심사'''
** ISMS-P 인증을 처음으로 취득하고자 할 때 수행하는 심사
**ISMS-P 인증을 처음으로 취득하고자 할 때 수행하는 심사
** 인증범위에 중요한 변경이 있어 다시 인증을 신청할 경우에도 같은 심사를 받아야 함
**인증범위에 중요한 변경이 있어 다시 인증을 신청할 경우에도 같은 심사를 받아야 함
** 최초심사를 통해 인증을 취득 하면 3년의 유효기간이 부여
**최초심사를 통해 인증을 취득 하면 3년의 유효기간이 부여
* '''사후심사'''
*'''사후심사'''
** 인증을 취득한 이후 ISMS-P가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 실시하는 인증심사
**인증을 취득한 이후 ISMS-P가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 실시하는 인증심사
** 고시 제27조(사후관리)에 따라 인증 취득한 범위와 관련하여 침해사고 또는 개인정보 유출사고가 발생한 경우 KISA는 필요에 따라 인증관련 항목의 보안향상을 위한 필요한 지원 등을 할 수 있음
**고시 제27조(사후관리)에 따라 인증 취득한 범위와 관련하여 침해사고 또는 개인정보 유출사고가 발생한 경우 KISA는 필요에 따라 인증관련 항목의 보안향상을 위한 필요한 지원 등을 할 수 있음
* '''갱신심사'''
*'''갱신심사'''
** ISMS-P 인증의 유효기간 갱신을 위해 실시하는 인증심사
**ISMS-P 인증의 유효기간 갱신을 위해 실시하는 인증심사
** ISMS-P 인증은 인증 유효기간 만료 이전에 갱신심사를 통해 유효기간을 갱신하여야 하며, 유효 기간이 경과한 때에는 인증의 효력 상실
**ISMS-P 인증은 인증 유효기간 만료 이전에 갱신심사를 통해 유효기간을 갱신하여야 하며, 유효 기간이 경과한 때에는 인증의 효력 상실


==[[ISMS-P 인증 추진체계|인증 추진체계]]==
==[[ISMS-P 인증 추진체계|인증 추진체계]]==
[[파일:ISMS-P 담당기관 및 체계.png|750x750픽셀]]
[[파일:ISMS-P 담당기관 및 체계.png|750x750픽셀]]


== [[ISMS-P 인증 기준|인증 기준]] ==
==[[ISMS-P 인증 기준|인증 기준]]==
ISMS-P 인증기준은 1.관리체계 수립 및 운영(16개), 2.보호대책 요구사항(64개), 3.개인정보 처리 단계별 요구사항(22개)으로 구성
ISMS-P 인증기준은 1.관리체계 수립 및 운영(16개), 2.보호대책 요구사항(64개), 3.개인정보 처리 단계별 요구사항(22개)으로 구성


[[파일:ISMS-P 인증 기준.png]]
[[파일:ISMS-P 인증 기준.png]]


==인증 기준==
* [[ISMS-P 인증 기준|'''인증 기준 보기''']]
* [[ISMS-P 인증 기준 세부 점검 항목|'''세부 점검 항목 전체 보기''']]


*관리체계 수립 운영 16개
== [[ISMS-P 인증 대상|인증 대상]] ==
*보호대책 요구사항 64개
'''의무 대상자'''는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다.
*개인정보 처리단계별 요구사항 22개
 
* '''의무 대상자'''
 
{| class="wikitable"
!의무대상자
!비고
|-
|「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 모든 광역시에서 정보통신망서비스를 제공하는 자
|ISP
|-
|「정보통신망법」제46조에 따른 집적정보통신시설 사업자
|IDC
|-
|연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
 
* 「의료법」제3조의4에 따른 상급종합볍원
* 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교
|병원, 학교
|-
|정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
|[[정보통신서비스 제공자|정보통신서비스제공자]]
|-
|전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자
|[[정보통신서비스 제공자|정보통신서비스제공자]]
|}
 
* '''임의 신청자'''
** 의무 대상자가 아니라도 기업·기관에선 자율적으로 ISMS든 ISMS-P든 신청해서 인증받을 수 있다.
* [[ISMS-P 인증 대상|'''인증 대상 상세 보기''']]
 
== [[ISMS-P 인증 범위|인증 범위]] ==
{| class="wikitable"
! colspan="5" |ISMS-P 인증범위
|-
|정보통신서비스등을 위한
'''조직 및 인력'''
|정보통신서비스등의 운영을 위한
'''물리적 장소'''
|정보통신서비스등의 운영을 위한
'''설비'''
|개인정보 처리를 위한
'''조직 및 인력'''
|개인정보 처리를 위한
'''물리적 장소'''
|-
! colspan="3" |ISMS 인증 범위
| colspan="2" |
|}
 
* 일반적으로 ISMS 인증범위는 정보통신서비스를 기준으로 관련된 정보시스템, 장소, 조직 및 인력을 포함
* ISMS-P 인증범위는 이에 더하여 해당 서비스에서 처리되는 개인정보의 흐름에 따라 해당 개인정보를 처리하는 정보시스템, 조직 및 인력, 물리적 장소 등을 모두 포함해야 함
* 이에 따라 ISMS 인증 의무대상자가 ISMS 의무인증 범위를 포함하여 ISMS-P 인증을 신청하는 경우 ISMS-P 단일심사로 진행 가능
* ISMS 의무인증 범위에 대해서는 ISMS 인증을 신청하고 일부 서비스에 대해서는 개인정보 영역을 포함한 ISMS-P 인증을 신청하여 2개의 인증심사 동시에 진행하는 것도 가능
 
* [[ISMS-P 인증 범위|'''인증 범위 상세 보기''']]
 
<br />

Revision as of 15:49, 31 March 2022


ISMS-P; Personal Information & Information Security Management System
정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
  • ISMS(정보보호 관리체계 인증)와 PIMS(개인정보보호 관리체계 인증)의 중복을 해소하고자 만들어진 통합인증 제도

근거 법령

구분 과학기술정보통신부 행정안전부
근거법령 정보통신망법 제47조 개인정보보호법
법률 제47조와 제47조의2 제32조의2
시행령 제47조부터 제54조 제34조의2부터 제34조의8
시행규칙 시행규칙 제3조 -
대상 정보보호관리체계(ISMS) 개인정보보호 관리체계(PIMS)
고시 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(ISMS-P)

600x600픽셀

추진 경과

750x750픽셀

  • (2001년 7월 시행) 정보보호 관리체계(이하 ‘ISMS’) 인증제도는 국내 기업 스스로 정보보호 관리체계를 구축·운영 하는데 활용할 수 있도록 관리체계 모델을 개발하고, 「정보통신망법」 개정을 통하여 도입
  • (2013년 2월 시행) 개인정보보호 관리체계(이하 ‘PIMS’) 인증제도는 2010년 11월, 방송통신위원회 의결 (제2010-66-273호)로 2011년부터 주요 정보통신서비스 제공 사업자 대상으로 인증심사를 우선 시행하였으며, 이후 PIMS 인증제도의 법률적 근거를 마련
  • (2013년 2월 시행) 정보통신망서비스제공자(ISP), 집적정보통신시설(IDC)사업자, 정보통신서비스제공자 중 매출액, 이용자 수 등 일정 기준에 해당하는 기업들은 ISMS 인증을 의무적으로 받도록 「정보통신망법」 개정
  • (2013년 11월 시행) 「개인정보 보호법」 개정을 통해 개인정보보호 인증(PIPL, Personal Information Protection Level) 제도 시행의 법적 근거 마련
  • (2014년 ~ 2015년) 인증 의무제도 시행 이후 인증 대상 기업이 늘어남에 따라 한국정보통신진흥협회(KAIT, 2014년 4월), 한국정보통신기술협회(TTA, 2015년 2월)를 ISMS 심사기관으로, 금융보안원(FSI, 2015년 7월)을 ISMS 인증기관으로 추가 지정
  • (2016년 1월 시행) 개인정보보호 관련 인증제도의 이원화 운영에 따른 기업의 혼란 해소를 위해 행정안전부와 방송통신 위원회가 공동고시를 마련하여 개인정보보호 인증(PIPL) 제도와 PIMS 인증제도를 통합
  • (2016년 6월 시행) 정보통신망에 대한 의존도가 높고 개인정보 등 다량의 민감정보를 다루는 기관들이 ISMS 인증대상 에서 제외되는 문제를 해결하기 위해 연간 매출액 또는 세입 등이 1,500억 원 이상인 자 중 일정 요건에 해당하는 기업들이 인증 의무대상에 포함되도록 「정보통신망법」 개정
  • (2018년 11월 시행) 정보보호 및 개인정보보호 영역에서 각각의 인증제도 운영에 따른 기업의 혼란 해소 및 융합·고도화 되는 침해위협에 효과적으로 대응하기 위해 과학기술정보통신부와 행정안전부 및 방송통신위원회가 공동고시를 마련하여 ISMS 인증제도와 PIMS 인증제도를 통합
  • (2020년 8월) 행정안전부, 방송통신위원회로 분산되어 있던 개인정보보호 기능이 개인정보보호위원회로 일원화 됨에 따라 인증제도 소관부처가 과학기술정보통신부와 개인정보보호위원회로 변경

인증 유형 및 종류

인증 유형

ISMS-P 인증은 정보보호 중심의 ‘ISMS 인증’과 개인정보의 흐름과 정보보호 영역을 모두 인증 하는 ‘ISMS-P 인증’ 두 가지 유형으로 구분

유형 설명
ISMS 정보보호 중심으로 인증하는 경우
  • 기존의 ISMS의 의무대상 기업·기관
  • 개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등
ISMS-P 개인정보의 흐름과 정보보호 영역을 모두 인증하는 경우
  • 보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어 개인정보 처리 단계별 보안강화가 필요한 조직

인증 종류

ISMS-P 인증심사의 종류는 ‘최초심사’, ‘사후심사’, ‘갱신심사’로 구분

  • 최초심사
    • ISMS-P 인증을 처음으로 취득하고자 할 때 수행하는 심사
    • 인증범위에 중요한 변경이 있어 다시 인증을 신청할 경우에도 같은 심사를 받아야 함
    • 최초심사를 통해 인증을 취득 하면 3년의 유효기간이 부여
  • 사후심사
    • 인증을 취득한 이후 ISMS-P가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 실시하는 인증심사
    • 고시 제27조(사후관리)에 따라 인증 취득한 범위와 관련하여 침해사고 또는 개인정보 유출사고가 발생한 경우 KISA는 필요에 따라 인증관련 항목의 보안향상을 위한 필요한 지원 등을 할 수 있음
  • 갱신심사
    • ISMS-P 인증의 유효기간 갱신을 위해 실시하는 인증심사
    • ISMS-P 인증은 인증 유효기간 만료 이전에 갱신심사를 통해 유효기간을 갱신하여야 하며, 유효 기간이 경과한 때에는 인증의 효력 상실

인증 추진체계

750x750픽셀

인증 기준

ISMS-P 인증기준은 1.관리체계 수립 및 운영(16개), 2.보호대책 요구사항(64개), 3.개인정보 처리 단계별 요구사항(22개)으로 구성

ISMS-P 인증 기준.png

인증 대상

의무 대상자는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다.

  • 의무 대상자
의무대상자 비고
「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 ISP
「정보통신망법」제46조에 따른 집적정보통신시설 사업자 IDC
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
  • 「의료법」제3조의4에 따른 상급종합볍원
  • 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교
병원, 학교
정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 정보통신서비스제공자
전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 정보통신서비스제공자
  • 임의 신청자
    • 의무 대상자가 아니라도 기업·기관에선 자율적으로 ISMS든 ISMS-P든 신청해서 인증받을 수 있다.
  • 인증 대상 상세 보기

인증 범위

ISMS-P 인증범위
정보통신서비스등을 위한

조직 및 인력

정보통신서비스등의 운영을 위한

물리적 장소

정보통신서비스등의 운영을 위한

설비

개인정보 처리를 위한

조직 및 인력

개인정보 처리를 위한

물리적 장소

ISMS 인증 범위
  • 일반적으로 ISMS 인증범위는 정보통신서비스를 기준으로 관련된 정보시스템, 장소, 조직 및 인력을 포함
  • ISMS-P 인증범위는 이에 더하여 해당 서비스에서 처리되는 개인정보의 흐름에 따라 해당 개인정보를 처리하는 정보시스템, 조직 및 인력, 물리적 장소 등을 모두 포함해야 함
  • 이에 따라 ISMS 인증 의무대상자가 ISMS 의무인증 범위를 포함하여 ISMS-P 인증을 신청하는 경우 ISMS-P 단일심사로 진행 가능
  • ISMS 의무인증 범위에 대해서는 ISMS 인증을 신청하고 일부 서비스에 대해서는 개인정보 영역을 포함한 ISMS-P 인증을 신청하여 2개의 인증심사 동시에 진행하는 것도 가능