ISMS-P란?

ISMS-P는 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 증명하는 제도로, 국내 최고 권위의 정보보호 및 개인정보보호 관리체계 통합 인증 제도입니다. 2018년 11월 복수의 인증제도에 따른 혼란을 해소하고, 인증에 소요되는 비용, 행정, 인력 등의 부담을 절감하고자 ISMS인증과 PIMS인증의 행정 및 인증심사 절차가 통합되었습니다.

통합된 인증은 ISMS와 ISMS-P로 이루어지며, ‘ISMS 인증’은 정보보호 중심의 인증, ISMS-P인증은 개인정보의 흐름과 정보보호 영역을 모두 인증하고 있습니다.

ISMS 인증은 정보보호관리체계 수립 및 운영 16개 항목과 보호대책 요구사항 64개 항목과 개인정보 처리 단계별 요구사항 22개 항목까지 총 102개 항목을 모두 갖춰야 취득할 수 있습니다. 최초 심사를 통해 인증을 취득하면 3년의 유효기간이 부여되며, 인증 유효기간 중 매년 1회 이상 사후 심사가 시행됩니다.

ISMS-P의 목적 및 기대효과

-일회성 정보보호 대책에서 벗어나 체계적, 종합적인 정보보호 관리체계를 구현함으로써 기업의 정보보호 및 개인정보보호 관리수준을 향상시킬 수 있습니다.

-기업은 지속적이고 체계적인 ISMS-P 구축을 통해 해킹, DDoS 등의 침해사고 및 개인정보 유출사고 발생 시 신속하게 대응할 수 있으며, 피해 및 손실을 최소화할 수 있습니다.

-기업 경영진이 직접 정보보호 의사결정에 참여함으로써 정보보호 및 개인정보보호 업무에 대한 책임성과 신뢰성을 향상시킬 수 있습니다.

-ISMS-P 인증을 취득한 기관은 정보보호 및 개인정보보호에 대한 신뢰성을 높여 대외 이미지를 제고할 수 있습니다.

-ISMS-P 인증을 취득한 기관은 공공부문 사업 입찰 시 가산점 부여 등의 인센티브를 얻을 수 있습니다.

ISMS-P인증대상

<임의신청자>

ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있습니다.

의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있습니다. 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자와 동일합니다.

<의무대상자>

①정보통신망서비스를 제공하는 자(ISP)

②집적정보통신시설사업자(IDC)

③연간매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자

*정보통신망

「전기통신사업법」 제6조 제1항에 따라 과학기술정보통신부장관에게 등록을 하고 인터넷 서비스, 인터넷전화 서비스, 이동통신 서비스 등 정보통신망 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자를 말합니다.

*집적정보통신시설사업자

정보통신망법 제46조 제1항의 규정에 따라 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자를 말합니다.

출처: 개인정보보호 위원회 정보보호 및 개인정보보호 관리체계 인증제도 안내서 (2021.7)

ISMS-P 인증절차

ISMS-P의 인증심사 절차는 다음과 같이 1) 준비 및 신청단계, 2) 심사단계, 3) 인증단계로 나눌 수 있으며 사후관리를 위해서는 4) 사후심사 및 갱신심사를 시행해야 합니다.

출처: 개인정보보호 위원회 정보보호 및 개인정보보호 관리체계 인증제도 안내서 (2021.7)

1) 준비 및 신청단계에서는 인증심사 신청 전 취득하고자 하는 인증의 종류에 따라 ISMS 혹은 ISMS-P 관리체계를 구축하고 최소 2개월 이상 운영한 증거자료를 준비해야 합니다. 인증심사 신청 시 취득하고자 하는 인증에 따라 ISMS 단일 인증, ISMS-P 단일 인증, 다수 인증 중 하나를 정하여 신청할 수 있습니다.

신청기관은 안내된 심사계획에 따라 심사장소, 심사대응 담당자 지정 및 심사 대응 협조 등을 사전에 준비해야 합니다.

2)심사단계에서는 관리체계 수립 및 운영, 보호대책 요구사항 및 개인정보 처리단계별 요구사항의 인증항목에 맞는 체계를 구축하고 적절하게 운영하고 있는지 확인합니다.

인증준비 미흡 또는 인증심사팀 요청사항(추가자료 요청, 현장실사 및 인터뷰 요청 등) 대응이 미흡한 경우, 심사의 신뢰성을 확보할 수 없기 때문에 인증심사 중단 및 심사팀 철수가 이루어질 수 있다는 점에 유의하여야 합니다.

3)인증단계에서는 인증위원회에서 심사결과를 심의·의결하며, ISMS-P인증기준에 적합한 경우 인증서를 발급하며, 신청기관은 이의신청을 할 수 있습니다.

4)ISMS-P 사후관리 단계는 사후심사와 갱신심사로 나뉩니다.

사후심사는 인증취득기관이 수립하여 운영 중인 정보보호 및 개인정보보호 관리체계가 인증기준에 적합한 수준으로 유지되는지 확인하기 위해 인증 유효기간 중 매년 1회 이상 시행하는 인증심사를 말합니다. 인증발급일 기준으로 매 1년 이전에 심사를 완료해야 하며, 인증유효기간 내 사후심사를 받지 않을 경우 인증이 취소됩니다.

ISMS-P 인증의 유효기간은 3년이며 인증 유효기간이 만료될 때 유효기간 연장을 위해서는 갱신심사를 시행해야 합니다.

갱신심사는 유효기간(인증발급일 기준) 만료 전에 심사를 받아야 하며, 인증유효기간 내 심사를 받지 않을 경우 인증은 효력을 상실합니다. 갱신심사를 통해 연장되는 인증 유효기간은 3년이며, 최초심사와 마찬가지로 인증위원회에서 인증 유효기간 연장에 대한 심의·의결을 받아야 합니다.

ISMS-P인증제도에 대한 자세한 정보는 개인정보보호위원회(https://www.privacy.go.kr/)와 한국인터넷진흥원(https://isms.kisa.or.kr/main/)의 정보보호 및 개인정보보호 관리체계(ISMS-P)인증제도 안내서(2021.7)에서 확인하실 수 있습니다.

출처 및 참고자료

개인정보보호위원회(https://www.privacy.go.kr/)

KISA 한국 인터넷 진흥원(https://isms.kisa.or.kr/main/)

정보보호 및 개인정보보호 관리체계(ISMS-P)인증제도 안내서(2021.7)