ISMS-P에 대하여
통합된 ISMS와 PIMS
2022/03/19
ISMS-P = ISMS + PIMS
「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 (2018년 11월) 시행으로 정보보호 관리체계(ISMS)와 개인 정보보호 관리체계(PIMS) 인증제도가 통합되었다.
ISMS (Information Security Managemenet System)
정보보호관리체계 인증으로, 기업이 주요 정보자산을 보호하기 위해 수립, 관리, 운영하는 정보보호 관리체계가 인증기준에 적합한지 심사하여 인증을 부여하는 제도이다.
PIMS (Personal Information Management System)
개인정보보호 관리체계 인증으로, 공공기관 및 민간기업 등 조직이 수립하여 운영하고 있는 개인정보보호 관리체계가 인증기준에 적합한지 여부를 인증기관이 평가하여 인증을 부여하는 제도이다.
ISMS-P (ISMS + PIMS)
정보통신망의 안정성 확보 및 개인정보 보호를 위해 조직이 수립한 일련의 조치와 활동이 인증기준에 적합함을 인증기관이 평가하여 인증을 부여하는 제도이다.
정보보호 및 개인정보보호 관리체계(이하 ‘ISMS-P’이라 함) 인증제도는 융합화, 고도화되고 있는 침해 위협을 효과적으로 대응할 수 있도록 기업의 정보보호 및 개인정보보호 수준 제고를 위해 운영해왔다.
아래 이미지에서 볼수있듯이 지금까지 많은 인증체계들이 통합되어왔다.
ISMS와 PIMS가 통합되었다고 해서, PIMS에 해당되지 않던 기업까지 PIMS 심사를 받아야 하는것은 아니다. ISMS-P 인증에는 정보보호 중심의 ISMS 인증과 개인정보의 흐름과 정보보호 영역을 모두 인증하는 ISMS-P 인증 두가지 유형이 존재한다.
조직의 정보보호를 위해 인증을 취득하고자 하는 기관은 ISMS 인증을 받고, 정보서비스에 개인정보 흐름이 포함되어 개인정보 처리 단계별 보안을 강화하고자 한다면 ISMS 인증범위에 ‘개인정보 처리단계별 요구사항’ 분야를 포함하여 ISMS-P 인증을 취득할 수 있다.
인증심사의 종류 및 절차
ISMS-P 인증심사의 종류는 최초심사, 사후심사, 갱신심사가 있다.
최초심사
ISMS-P 인증을 처음으로 취득하고자 할 때 수행하는 심사이며, 인증범위에 중요한 변경이 있어 다시 인증을 신청할 경우에도 같은 심사를 받아야 한다. 최초심사를 통해 인증을 취득하면 3년의 유효기간이 부여된다.
사후심사
인증을 취득한 이후 ISMS-P가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 실시하는 인증심사를 말한다.
인증 취득한 범위와 관련하여 침해사고 또는 개인정보 유출사고가 발생한 경우 한국인터넷진흥원은 필요에 따라 인증관련 항목의 보안향상을 위한 필요한 지원 등을 할 수 있다.
갱신심사
ISMS-P 인증의 유효기간 갱신을 위해 실시하는 인증심사를 말한다.
인증 절차
인증기준
ISMS-P 인증기준은 크게 다음의 세가지로 구성되어있다.
1. 관리체계 수립 및 운영 (16개)
관리체계의 메인프레임으로서 전반적인 관리체계 운영 라이프사이클을 구성하고있다.
2. 보호대책 요구사항 (64개)
정책, 조직, 자산, 교육 등 관리적 부문과 개발, 접근통제, 운영관리, 보안관리 등 물리적,기술적 부문의 보호대책에 관한 사항으로 구성되어 있다.
3. 개인정보 처리 단계별 요구사항 (22개)
개인정보 생명주기에 따른 보호조치 사항으로 구성되어 있다.
ISMS와 ISMS-P 인증의 구분에 따라 인증심사 시 주안점에 차이가 있다고 한다. KISA에서 제공한 아래 예시를 참고하면 좋다.
ISMS-P의 인증대상은 아래와 같다.
인증범위
일반적으로 ISMS 인증범위는 정보통신서비스를 기준으로 관련된 정보시스템, 장소, 조직 및 인력을 포함하게 된다. 반면에 ISMS-P 인증범위는 이에 더하여 해당 서비스에서 처리되는 개인정보의 흐름에 따라 해당 개인정보를 처리하는 정보시스템, 조직 및 인력, 물리적 장소 등을 모두 포함하여야 한다.
이에 따라 ISMS 인증 의무대상자가 ISMS 의무인증 범위를 포함하여 ISMS-P 인증을 신청하는 경우 ISMS-P 단일심사로 진행 가능하며 또한 ISMS 의무인증 범위에 대해서는 ISMS 인증을 신청하고 일부 서비스에 대해서는 개인정보 영역을 포함한 ISMS-P 인증을 신청하여 2개의 인증심사 동시에 진행하는 것도 가능하다.
인증심사 범위에 대한 설명은 블로그에 담기에는 너무 방대한 양이므로ISMS-P 인증제도 안내서를 다운받아서 읽어보는것을 추천한다.