정보보호 및 개인정보보호관리체계 인증 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
12번째 줄: | 12번째 줄: | ||
!구분 | !구분 | ||
!과학기술정보통신부 | !과학기술정보통신부 | ||
! | !행정안전부 | ||
|- | |- | ||
|근거법령 | |근거법령 | ||
|정보통신망법 | |정보통신망법 제47조 | ||
|개인정보보호법 | |개인정보보호법 | ||
|- | |- | ||
|법률 | |법률 | ||
| | |제47조와 제47조의2 | ||
|제32조의2 | |||
|- | |- | ||
|시행령 | |시행령 | ||
52번째 줄: | 52번째 줄: | ||
*'''(2020년 8월)''' 행정안전부, 방송통신위원회로 분산되어 있던 개인정보보호 기능이 개인정보보호위원회로 일원화 됨에 따라 인증제도 소관부처가 과학기술정보통신부와 개인정보보호위원회로 변경 | *'''(2020년 8월)''' 행정안전부, 방송통신위원회로 분산되어 있던 개인정보보호 기능이 개인정보보호위원회로 일원화 됨에 따라 인증제도 소관부처가 과학기술정보통신부와 개인정보보호위원회로 변경 | ||
==인증 유형 및 종류== | == 인증 유형 및 종류 == | ||
===인증 유형=== | === 인증 유형 === | ||
ISMS-P 인증은 정보보호 중심의 ‘ISMS 인증’과 개인정보의 흐름과 정보보호 영역을 모두 인증 하는 ‘ISMS-P 인증’ 두 가지 유형으로 구분 | ISMS-P 인증은 정보보호 중심의 ‘ISMS 인증’과 개인정보의 흐름과 정보보호 영역을 모두 인증 하는 ‘ISMS-P 인증’ 두 가지 유형으로 구분 | ||
{| class="wikitable" | {| class="wikitable" | ||
63번째 줄: | 63번째 줄: | ||
|정보보호 중심으로 인증하는 경우 | |정보보호 중심으로 인증하는 경우 | ||
*기존의 ISMS의 의무대상 기업·기관 | * 기존의 ISMS의 의무대상 기업·기관 | ||
*개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등 | * 개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등 | ||
|- | |- | ||
|ISMS-P | |ISMS-P | ||
|개인정보의 흐름과 정보보호 영역을 모두 인증하는 경우 | |개인정보의 흐름과 정보보호 영역을 모두 인증하는 경우 | ||
*보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어 개인정보 처리 단계별 보안강화가 필요한 조직 | * 보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어 개인정보 처리 단계별 보안강화가 필요한 조직 | ||
|} | |} | ||
===인증 종류=== | === 인증 종류 === | ||
ISMS-P 인증심사의 종류는 ‘최초심사’, ‘사후심사’, ‘갱신심사’로 구분 | ISMS-P 인증심사의 종류는 ‘최초심사’, ‘사후심사’, ‘갱신심사’로 구분 | ||
*'''최초심사''' | * '''최초심사''' | ||
**ISMS-P 인증을 처음으로 취득하고자 할 때 수행하는 심사 | ** ISMS-P 인증을 처음으로 취득하고자 할 때 수행하는 심사 | ||
**인증범위에 중요한 변경이 있어 다시 인증을 신청할 경우에도 같은 심사를 받아야 함 | ** 인증범위에 중요한 변경이 있어 다시 인증을 신청할 경우에도 같은 심사를 받아야 함 | ||
**최초심사를 통해 인증을 취득 하면 3년의 유효기간이 부여 | ** 최초심사를 통해 인증을 취득 하면 3년의 유효기간이 부여 | ||
*'''사후심사''' | * '''사후심사''' | ||
**인증을 취득한 이후 ISMS-P가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 실시하는 인증심사 | ** 인증을 취득한 이후 ISMS-P가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 실시하는 인증심사 | ||
**고시 제27조(사후관리)에 따라 인증 취득한 범위와 관련하여 침해사고 또는 개인정보 유출사고가 발생한 경우 KISA는 필요에 따라 인증관련 항목의 보안향상을 위한 필요한 지원 등을 할 수 있음 | ** 고시 제27조(사후관리)에 따라 인증 취득한 범위와 관련하여 침해사고 또는 개인정보 유출사고가 발생한 경우 KISA는 필요에 따라 인증관련 항목의 보안향상을 위한 필요한 지원 등을 할 수 있음 | ||
*'''갱신심사''' | * '''갱신심사''' | ||
**ISMS-P 인증의 유효기간 갱신을 위해 실시하는 인증심사 | ** ISMS-P 인증의 유효기간 갱신을 위해 실시하는 인증심사 | ||
**ISMS-P 인증은 인증 유효기간 만료 이전에 갱신심사를 통해 유효기간을 갱신하여야 하며, 유효 기간이 경과한 때에는 인증의 효력 상실 | ** ISMS-P 인증은 인증 유효기간 만료 이전에 갱신심사를 통해 유효기간을 갱신하여야 하며, 유효 기간이 경과한 때에는 인증의 효력 상실 | ||
==[[ISMS-P 인증 추진체계|인증 추진체계]]== | ==[[ISMS-P 인증 추진체계|인증 추진체계]]== | ||
[[파일:ISMS-P 담당기관 및 체계.png|750x750픽셀]] | [[파일:ISMS-P 담당기관 및 체계.png|750x750픽셀]] | ||
==[[ISMS-P 인증 기준|인증 기준]]== | == [[ISMS-P 인증 기준|인증 기준]] == | ||
ISMS-P 인증기준은 1.관리체계 수립 및 운영(16개), 2.보호대책 요구사항(64개), 3.개인정보 처리 단계별 요구사항(22개)으로 구성 | ISMS-P 인증기준은 1.관리체계 수립 및 운영(16개), 2.보호대책 요구사항(64개), 3.개인정보 처리 단계별 요구사항(22개)으로 구성 | ||
[[파일:ISMS-P 인증 기준.png]] | [[파일:ISMS-P 인증 기준.png]] | ||
==인증 기준== | |||
*관리체계 수립 및 운영 16개 | |||
*보호대책 요구사항 64개 | |||
*개인정보 처리단계별 요구사항 22개 | |||
* | |||
* | |||
* | |||