누텔라

인증제도 안내서보다 상세한 내용이 담겨있는 고시이다.

제2조(정의)

6. "인증심사"란 신청기관이 수립하여 운영하는 관리체계가 인증기준에 적합한지의 여부를 인터넷진흥원ㆍ인증기관 또는 심사기관(이하 "심사수행기관"이라 한다)이 서면심사 및 현장심사의 방법으로 확인하는 것을 말한다. 

7. "인증위원회"란 인터넷진흥원 또는 인증기관의 장이 인증심사 결과 등을 심의ㆍ의결하기 위해 설치ㆍ운영하는 기구로서 위원장과 위원으로 구성된다. 

8. "인증심사원"이란 인터넷진흥원으로부터 인증심사를 수행할 수 있는 자격을 부여받고 인증심사를 수행하는 자를 말한다. 

제9조(인증기관 및 심사기관의 재지정) 

① 인증기관 및 심사기관 지정의 유효기간은 3년이며 유효기간이 끝나기 전 6개월부터 끝나는 날까지 재지정을 신청을 할 수 있으며 제6조제2항 각 호의 서류를 과학기술정보통신부장관과 보호위원회에 제출하여야 한다. 이 경우 재지정의 신청에 대한 처리결과를 통지받을 때까지는 그 지정이 계속 유효한 것으로 본다. 

② 과학기술정보통신부장관과 보호위원회는 제1항에 따른 재지정 신청을 받은 때에는 별표 2 업무수행 요건ㆍ능력 심사에 관한 세부기준에 따른 적합 여부를 심사하여 신청을 받은 날부터 3개월 이내에 그 결과를 신청기관에 통지하고, 인증기관 또는 심사기관으로 지정되는 신청기관에 제7조제4항의 지정서를 발급하여야 한다. 

③ 인증기관 또는 심사기관이 재지정을 신청하지 않고 유효기간이 경과한 때에는 인증기관 또는 심사기관의 효력은 상실된다. 

제10조(공정성 및 독립성 확보)

인증기관 및 심사기관은 인증심사의 공정성 및 독립성 확보를 위해 다음 각 호의 행위가 발생되지 않도록 노력하여야 한다.  
1. 정보보호 및 개인정보보호 관리체계 구축과 관련된 컨설팅 업무를 수행하는 행위 
2. 정당한 사유 없이 인증절차, 인증기준 등의 일부를 생략하는 행위 
3. 조직의 이익 등을 위해 인증심사 결과에 영향을 주는 행위 
4. 그 밖에 인증심사의 공정성 및 독립성을 훼손할 수 있는 행위

제12조(인증심사원의 자격 요건 등) 

인증심사원은 심사원보, 심사원, 선임심사원으로 구분하며 등급별 자격 요건은 별표 3과 같다.

제13조(인증심사원 자격 신청)

- 박사학위, 기술사, 감리사만 2년 인정

- 정보보호와 개인정보보호 경력 각 1년 이상이 필수

- 학력 별 경력연수 요건

• 대졸: 6년
• 2년제졸: 6+2년
• 고졸: 6+4년

- 경력인정 요건

제15조(인증심사원 자격 유지 및 갱신) 

① 인증심사원의 자격 유효기간은 자격을 부여 받은 날부터 3년으로 한다. 

② 인증심사원은 자격유지를 위해 자격 유효기간 만료 전까지 인터넷진흥원이 인정하는 보수교육을 수료하여야 한다. 

③ 인터넷진흥원은 자격 유효기간 동안 1회 이상의 인증심사를 참여한 인증심사원에 대하여 제2항의 보수교육 시간 중 일부를 이수한 것으로 인정할 수 있다. 

• 보수교육: 총 42시간
• 필수교육: 7시간(반드시 참여 / 생략 X)
• 선택교육: 35시간(인증심사 1일 참여 시마다 선택교육 5시간 인정)

④ 인터넷진흥원은 인증정보를 제공하는 홈페이지에 제2항의 보수교육 운영에 관한 세부내용을 공지하여야 한다. 

⑤ 인터넷진흥원은 제2항의 요건을 충족한 인증심사원에 한하여 별지 제8호서식의 정보보호 및 개인정보보호 관리체계 인증심사원 자격 증명서를 갱신하여 발급하고 자격 유효기간을 3년간 연장한다. 

⑥ 다음 각 호의 어느 하나에 해당하면 인증심사원 자격의 유효기간을 연장 가능

1. 제29조제2항에 따른 인증위원회 위원으로 인정된 자 (이하 생략)

제16조(인증심사원 자격 취소) 

① 인터넷진흥원은 다음 각 호의 어느 하나에 해당하는 사유를 발견한 경우 인증심사원의 자격을 취소할 수 있다. 
1. 거짓이나 부정한 방법으로 인증심사원 자격을 부여 받은 경우 
2. 제15조제2항에 따른 자격 유지 기준을 충족하지 못한 경우 
3. 인증심사원으로서 객관적이고 공정한 인증심사를 수행하지 않은 경우 
4. 인증심사 과정에서 취득한 정보 또는 서류를 관련 법령의 근거나 인증신청인의 동의 없이 누설 또는 유출하거나 업무목적 외에 이를 사용한 경우 
5. 인증신청인으로부터 금전, 금품, 향응, 이익 등을 부당하게 수수하거나 요구한 경우 

② 인터넷진흥원의 장은 제1항에 따른 자격 취소의 적합여부를 심의ㆍ의결하기 위하여 자격심의위원회를 개최하여야 하며, 자격심의위원회는 제29조의 인증위원회 위원 3인 이상을 포함하여 구성한다. 

③ 제1항에 따른 자격 취소에 대하여 인증심사원은 30일 이내에 이의신청을 할 수 있다. 이 경우 인터넷진흥원은 해당 인증심사원의 자격을 제2항의 절차에 따라 재심의하여 처리결과를 통지하여야 한다. 

이후의 내용은 ISMS-P 인증 안내서와 중복되므로 생략

ISMS-P 인증제도 안내서를 정리해봤다. 인증심사원 자격을 취득하기 위해 반드시 잘 알아둬야 하는 내용이다.

1. ISMS-P 인증제도 개요

* 법적 근거

- ISMS-P는 정보통신망법(과기정통부)과 개인정보 보호법(개보위)의 법령에 따른 고시이다. 

- ISMS-P는 과기정통부와 개보위가 공동으로 개정 및 시행한다.

* 유형

- ISMS 예비인증

>> 신규 가상자산사업자만을 대상으로 한다.

>> 예비인증 취득일로부터 3개월 이내에 금융정보분석원장에게 신고해야 한다. (근거: 특정금융정보법 제7조)

>> 신고가 수리된 날부터 6개월 이내에 본인증을 취득해야 한다.

- ISMS-P 간편인증

간편인증 특례 기준에 부합하는 자는 완화된 기준과 절차로 ISMS 또는 ISMS-P를 취득할 수 있다.

- ISMS 인증심사 종류

* 담당 기관

1. 정책기관 (과기정통부, 개보위)

- 인증 협의회

- 법제도 개선, 정책 결정, 인증기관 및 심사기관 지정

2. 인증기관(KISA, 금융보안원)

- KISA는 인증심사원 양성 및 자격관리, 인증제도 및 기준 개선 등을 수행

- 인증 위원회를 통해 인증서를 발급 (35명 이하의 위원으로 구성 + 인증 적합여부, 인증 취소, 이의신청 심의/의결)

3. 심사기관

- KISA에 심사원 모집을 요청하여 심사팀 구성

- 심사 진행, 결함 보완조치 이행 여부 확인

2. ISMS-P 인증대상 및 범위

* ISMS 의무 대상

> ISMS-P는 의무 대상이 없으므로, 모든 ISMS-P 인증은 선택 사항이다. (임의 신청)

> 아래는 ISMS 의무 대상이다. (유형은 임의로 나눈 것이므로 크게 의미 없음)

> 의무 대상 여부는 스스로 확인해야 하며, 인증을 미 취득한 의무 대상자는 과태료 부과 대상이 될 수 있다. (3천만원 이하)

* ISMS-P 생략

> 의무 대상 중 아래 요건을 충족하는 경우 ISMS 인증심사 일부 또는 전부를 생략할 수 있다.

> ISMS-P 인증심사 시에는 생략할 수 없다.

> ISMS 인증심사 일부 생략 후 인증 부여 시, 생략 사실을 인증서에 표기해야 한다.

> 인증범위 내의 수탁사가 ISMS 또는 ISMS-P 인증 보유 시, 해당 범위에 대한 현장심사 생략 가능

* ISMS-P 인증범위

- ISMS 인증범위

> 정보통신서비스와 관련된 정보시스템, 장소, 조직 및 인력을 모두 포함

> 인증 의무 대상자: 신청기관의 정보통신서비스를 모두 포함해야 함

>> 직접적인 운영 및 관리를 위한 백오피스 시스템 포함

>> 서비스의 핵심정보자산에 접근 가능한 자산 포함

>> 의무 인증범위 내 보안시스템 포함

>> ERP, DW, 그룹웨어 등 내부 시스템과 영업/마케팅 조직은 불포함

>> 영리 목적이 아니더라도 정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하면서 외부에 공개되어 있는 서비스 포함(채용 사이트, 공익 사이트, 임직원 복지몰 등) 

- ISMS 인증범위 예시

- ISMS-P 인증범위 (= ISMS 인증범위 + 개인정보 생명주기 관련 범위)

> 자율적으로 인증대상 서비스를 지정

> 인증대상 서비스 내 개인정보 생명주기와 관련된 업무/정보시스템과 관련있는 조직, 인력, 물리적 장소, 수탁자 등이 포함되어야 함

> 개인정보처리시스템은 인증범위에 포함(DW, CRM, 데이터 분석시스템 등)

> 인증범위 내 개인정보의 처리 없이 내부업무 처리가 주목적인 정보시스템은 인증범위에서 제외 가능 (그룹웨어, ERP 등)

- ISMS-P 인증범위 예시

3. ISMS-P 인증심사 절차

- 인증 의무대상자는 다음 해 8월 31일까지 인증을 취득해야 함

* 인증 준비 단계

- 인증심사 신청 및 접수

> (개인)정보보호 관리체계를 최소 2개월 이상 운영한 증거자료를 준비해야 함

> 희망 심사일 기준 최소 8주 전에 신청해야 함

- 심사 준비상태 점검(예비점검)

> 심사팀장이 인증범위 적정성, 조직 현황, 물리적 현황, 운영 현황 확인

> 심사일정을 확정함

- 인증심사 계약 및 수수료 납부

> 인증범위 내 정보통신 설비 수, 인원 수, 개인정보 수탁사 수, 개인정보 처리 서비스 수를 기준으로 비용 산정

> 인증심사 비용 = 직접 인건비 + 제경비 + 기술료 + 직접 경비

>> 수수료 할인

>>정보보호 공시 의무대상

1. ISP
2. IDC
3. 상급종합병원
4. CSP
5. 매출 3000억 원 이상의 상장법인
6. 정보통신서비스 일일 평균 이용자수 100만명 이상

* ISMS-P 인증 심사단계

- 서면심사

> 관리적 요소 심사

> 관리체계 구축/운영 관련 정책, 지침, 절차 및 이행 증거자료 검토

> 정보보호 대책 및 개인정보 처리단계 별 요구사항 적용 여부 확인 (증적자료 확인)

- 현장심사

> 기술적 요소 심사

> 기술적/물리적 보호대책 이행여부 확인을 위한 담당자 면담, 시스템 확인, 취약점 점검

- 결함보고서 검토

> 결함 사항: 인증기준을 충족하지 못하나 중대한 영향을 미치지 않는 사항

> 중결함 사항: 인증기준을 충족하지 못하며 중대한 영향을 미치는 사항

>> 중결함 확인 시 인증심사 중단할 수 있음

- 인증심사 종료

> 결함 사항에 대한 보완조치 요청

> 40일 이내 보완조치 완료해야 함 (공문 통해 최대 60일 연장 가능) = 최대 100일 이내 이행점검까지 완료되어야 함

> 100일 이내 보완조치 미 완료 시 인증 취소 (최초심사는 심사 무효처리)

* ISMS-P 인증 단계

- 인증위원회 심의/의결

> 최초심사 또는 갱신심사 시 보완조치가 완료된 신청기관에 대해 결과보고서를 인증위원회로 상정

> 인증기준에 적합한 경우 인증서 발급

> 부적합 통보를 받은 신청기관은 15일 이내 이의신청 가능

> 심사수행기관은 인증위원회 종료 다음날부터 30일 이내 신청기관에 추가 보완조치 요구 가능

* 사후관리 단계

- 사후심사

> 인증위원회 미 개최

> 매년 1회 이상 시행해야 함 (미 시행 시 인증 취소 가능)

- 갱신심사

> 유효기간 연장을 위한 심사(중요 변경 발생 시 최초심사를 진행해야 함)
> 인증서 발급 시 연장되는 인증 유효기간은 3년이며, 인증위원회 의결 필요