ISMS-P 인증제도 안내서를 정리해봤다. 인증심사원 자격을 취득하기 위해 반드시 잘 알아둬야 하는 내용이다.
1. ISMS-P 인증제도 개요
* 법적 근거
- ISMS-P는 정보통신망법(과기정통부)과 개인정보 보호법(개보위)의 법령에 따른 고시이다.
- ISMS-P는 과기정통부와 개보위가 공동으로 개정 및 시행한다.
* 유형
- ISMS 예비인증
>> 신규 가상자산사업자만을 대상으로 한다.
>> 예비인증 취득일로부터 3개월 이내에 금융정보분석원장에게 신고해야 한다. (근거: 특정금융정보법 제7조)
>> 신고가 수리된 날부터 6개월 이내에 본인증을 취득해야 한다.
- ISMS-P 간편인증
간편인증 특례 기준에 부합하는 자는 완화된 기준과 절차로 ISMS 또는 ISMS-P를 취득할 수 있다.
| 소기업 | 소기업 |
| 중기업 | 전년도 정보통신서비스 부문 매출액 300억 원 미만 |
| 매출 300억 원 이상 + 주요 정보통신설비 미 보유(웹 호스팅, 클라우드 등 이용 시) |
- ISMS 인증심사 종류
| 최초심사 | 1. 처음 취득하는 경우 2. 인증범위에 중요한 변경이 있는 경우 |
인증 취득 시 3년의 유효기간 부여 |
| 사후심사 | ISMS-P 인증 취득 후 유효기간 내 매년 1회 이상 | 사후심사 미 진행 시 인증 취소 가능 |
| 갱신심사 | ISMS-P 인증의 유효기간 갱신 | 인증범위 내 중요한 변경이 없을 경우에만 해당 |
* 담당 기관
1. 정책기관 (과기정통부, 개보위)
- 인증 협의회
- 법제도 개선, 정책 결정, 인증기관 및 심사기관 지정
2. 인증기관(KISA, 금융보안원)
- KISA는 인증심사원 양성 및 자격관리, 인증제도 및 기준 개선 등을 수행
- 인증 위원회를 통해 인증서를 발급 (35명 이하의 위원으로 구성 + 인증 적합여부, 인증 취소, 이의신청 심의/의결)
3. 심사기관
- KISA에 심사원 모집을 요청하여 심사팀 구성
- 심사 진행, 결함 보완조치 이행 여부 확인
2. ISMS-P 인증대상 및 범위
* ISMS 의무 대상
> ISMS-P는 의무 대상이 없으므로, 모든 ISMS-P 인증은 선택 사항이다. (임의 신청)
> 아래는 ISMS 의무 대상이다. (유형은 임의로 나눈 것이므로 크게 의미 없음)
> 의무 대상 여부는 스스로 확인해야 하며, 인증을 미 취득한 의무 대상자는 과태료 부과 대상이 될 수 있다. (3천만원 이하)
| 유형1 | ISP (주요정보통신서비스 제공자) |
| 유형2 | IDC (집적정보통신시설 사업자) / VIDC(재임대 사업자)는 미 포함 |
| 유형3 | 전년도 매출액/세입이 1500억 원 이상인 상급종합병원 또는 대학교(재학생 1만명 이상) |
| 유형4 | 정보통신서비스 부문 전년도 매출액 100억 원 이상(금융회사 제외) |
| 유형5 | 전년도 일일평균 이용자 수 100만 명 이상(금융회사 제외) |
* ISMS-P 생략
> 의무 대상 중 아래 요건을 충족하는 경우 ISMS 인증심사 일부 또는 전부를 생략할 수 있다.
> ISMS-P 인증심사 시에는 생략할 수 없다.
> ISMS 인증심사 일부 생략 후 인증 부여 시, 생략 사실을 인증서에 표기해야 한다.
> 인증범위 내의 수탁사가 ISMS 또는 ISMS-P 인증 보유 시, 해당 범위에 대한 현장심사 생략 가능
| 일부 생략 요건 | ISO 27001 인증 | 1. 인증/조치 범위가 ISMS의 범위와 일치 2. 인증/조치가 유효하게 유지되어야 함 |
| 주요정보통신기반시설 취약점 분석/평가 | ||
| 일부 생략 범위 | 인증 기준 중 2.1, 2.2, 2.3, 2.4, 2.12 | |
| 전부 생략 | 정보보안 수준진단에 대한 해당 연도의 평가결과가 만점의 100분의 80 이상인 경우 | 근거: 교육부 정보보안 기본지침 제94조 제1항 |
* ISMS-P 인증범위
- ISMS 인증범위
> 정보통신서비스와 관련된 정보시스템, 장소, 조직 및 인력을 모두 포함
> 인증 의무 대상자: 신청기관의 정보통신서비스를 모두 포함해야 함
>> 직접적인 운영 및 관리를 위한 백오피스 시스템 포함
>> 서비스의 핵심정보자산에 접근 가능한 자산 포함
>> 의무 인증범위 내 보안시스템 포함
>> ERP, DW, 그룹웨어 등 내부 시스템과 영업/마케팅 조직은 불포함
>> 영리 목적이 아니더라도 정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하면서 외부에 공개되어 있는 서비스 포함(채용 사이트, 공익 사이트, 임직원 복지몰 등)
| 분류 | 인증범위 포함 | 인증범위 불포함 |
| 응용프로그램 | - 이용자에게 노출되는 정보시스템 - 서비스 관리용 시스템, 백오피스 시스템 |
- DB 복제 후 분석, 마케팅 등의 용도로 사용하는 시스템 - 콜센터 내 콜센터 관련 시스템(교환기, CTI, IVR 등) - 정보통신서비스와 관련없는 내부 시스템(ERP, 그룹웨어) |
| 데이터베이스 | - 인증대상 서비스 관련 DB | |
| 서버 | - 인증 대상 서비스가 설치된 서버 - 인증범위에 포함된 서비스의 개발 및 운영을 위한 서버 - 직접 소유하고 있지는 않지만 실질적인 지배권을 가지고 이용하고 있는 서버 |
|
| 네트워크 장비 | - 인증 대상 서비스와 관련된 장비(물리적 시설 포함) - 인증범위에 포함된 인력이 인터넷 사용, 원격접속 등을 위해 필요한 장비 |
- 보안설정이 없는 더미 스위치 |
| 정보보호시스템 | - 인증 대상 서비스 및 자산을 보호하기 위한 시스템 - 인증 대상 조직/인력을 보호하기 위한 시스템(DRM, DLP, 백신, PMS 등) |
|
| 클라우드 서비스 | - 신청기관이 관리 가능한 OS, DB, App 등 | - 신청기관이 관리 가능하지 않은 영역 |
- ISMS 인증범위 예시
- ISMS-P 인증범위 (= ISMS 인증범위 + 개인정보 생명주기 관련 범위)
> 자율적으로 인증대상 서비스를 지정
> 인증대상 서비스 내 개인정보 생명주기와 관련된 업무/정보시스템과 관련있는 조직, 인력, 물리적 장소, 수탁자 등이 포함되어야 함
> 개인정보처리시스템은 인증범위에 포함(DW, CRM, 데이터 분석시스템 등)
> 인증범위 내 개인정보의 처리 없이 내부업무 처리가 주목적인 정보시스템은 인증범위에서 제외 가능 (그룹웨어, ERP 등)
- ISMS-P 인증범위 예시
3. ISMS-P 인증심사 절차
- 인증 의무대상자는 다음 해 8월 31일까지 인증을 취득해야 함
* 인증 준비 단계
- 인증심사 신청 및 접수
> (개인)정보보호 관리체계를 최소 2개월 이상 운영한 증거자료를 준비해야 함
> 희망 심사일 기준 최소 8주 전에 신청해야 함
- 심사 준비상태 점검(예비점검)
> 심사팀장이 인증범위 적정성, 조직 현황, 물리적 현황, 운영 현황 확인
> 심사일정을 확정함
- 인증심사 계약 및 수수료 납부
> 인증범위 내 정보통신 설비 수, 인원 수, 개인정보 수탁사 수, 개인정보 처리 서비스 수를 기준으로 비용 산정
> 인증심사 비용 = 직접 인건비 + 제경비 + 기술료 + 직접 경비
| 직접 인건비 | 인증심사원 인건비 |
| 제경비 | 직접 인건비 * 120% |
| 기술료 | (직접 인건비 + 제경비) * 40% |
| 직접 경비 | 교통비, 숙박비, 식대 등 |
>> 수수료 할인
| 소기업 | ISMS, ISMS-P 모두 포함 | 30% 할인 |
| 인증심사 일부 생략 | ISMS만 포함 | 20% 할인 |
| 정보보호 공시(자율 공시만 해당) | ISMS, ISMS-P 모두 포함 | 30% 할인 |
>>정보보호 공시 의무대상
- ISP
- IDC
- 상급종합병원
- CSP
- 매출 3000억 원 이상의 상장법인
- 정보통신서비스 일일 평균 이용자수 100만명 이상
* ISMS-P 인증 심사단계
- 서면심사
> 관리적 요소 심사
> 관리체계 구축/운영 관련 정책, 지침, 절차 및 이행 증거자료 검토
> 정보보호 대책 및 개인정보 처리단계 별 요구사항 적용 여부 확인 (증적자료 확인)
- 현장심사
> 기술적 요소 심사
> 기술적/물리적 보호대책 이행여부 확인을 위한 담당자 면담, 시스템 확인, 취약점 점검
- 결함보고서 검토
> 결함 사항: 인증기준을 충족하지 못하나 중대한 영향을 미치지 않는 사항
> 중결함 사항: 인증기준을 충족하지 못하며 중대한 영향을 미치는 사항
>> 중결함 확인 시 인증심사 중단할 수 있음
- 인증심사 종료
> 결함 사항에 대한 보완조치 요청
> 40일 이내 보완조치 완료해야 함 (공문 통해 최대 60일 연장 가능) = 최대 100일 이내 이행점검까지 완료되어야 함
> 100일 이내 보완조치 미 완료 시 인증 취소 (최초심사는 심사 무효처리)
* ISMS-P 인증 단계
- 인증위원회 심의/의결
> 최초심사 또는 갱신심사 시 보완조치가 완료된 신청기관에 대해 결과보고서를 인증위원회로 상정
> 인증기준에 적합한 경우 인증서 발급
> 부적합 통보를 받은 신청기관은 15일 이내 이의신청 가능
> 심사수행기관은 인증위원회 종료 다음날부터 30일 이내 신청기관에 추가 보완조치 요구 가능
* 사후관리 단계
- 사후심사
> 인증위원회 미 개최
> 매년 1회 이상 시행해야 함 (미 시행 시 인증 취소 가능)
- 갱신심사
> 유효기간 연장을 위한 심사(중요 변경 발생 시 최초심사를 진행해야 함)
> 인증서 발급 시 연장되는 인증 유효기간은 3년이며, 인증위원회 의결 필요
'ISMS-P > ISMS-P 인증제도' 카테고리의 다른 글
| 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 (0) | 2025.02.07 |
|---|