ISMS-P (정보보호 및 개인정보보호관리체계) 인증제도 안내서

I. ISMS-P 인증제도 개요

1. ISMS-P 인증제도 개요

 1.1 ISMS-P 인증의 법적 근거

  > * 정통법 47조, 47.2, 동법 시행령 47~54, 동법 시행규칙 3조

     * 개인정보보호법 32.2, 동법 시행령 34.2~34.8 

     * 과기정통부(ISMS) + 개인정보보호위원회(PIMS) = ISMS-P

         [정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시] 공동 개정 시행

 

 1.2 ISMS-P 인증제도 추진경과

   > * 2001 ISMS 시행 > 2010 PIMS 시행 > 2013 PIPL 시행 > 2016 PIPL+PIMS > 2018 ISMS + PIMS

     *  인증심사기관 : KAIT(한국정보통신진흥협회), TTA(한국정보통신기술협회), FSI(금융보안원), KISA

 

 1.3 ISMS-P 인증의 유형

 > * 조직의 정보보호 인증 취득 목적 : ISMS 인증

    * 정보서비스에 개인정보처리 흐름 포함 ISMS-P 인증을 취득할 수 있다.

 1.4 ISMS-P 인증심사의 종류

  > * 최초심사(유효기간 3년) -> 사후심사(1년경과, 매년 1회 이상) ->사후심사(1년경과)

     -> 갱신심사(3년경과 만료전, 유효기간 갱신목적)

 

2. 인증 추진체계

  > * 정책기관(과기정통부, 개보위) : 인증협의회 운영

     * 인증기관(한국인터넷진흥원, 금융보안원) : 인증위원회 운영

        - KISA : 제도운영 및 인증품질관리, 신규/특수 분야 인증심사, ISMS 인증서 발급, 인증심사원 양성 및 자격관리

        - FSI : 금융분야 인증심사, 금융분야 인증서 발급

     * 심사기관 : KISA, FSI, KAIT, TTA, OPA(개인정보보호협회)

 

 2.1 정책기관(협의회)

 > 인증제도와 관련한 법제도 개선, 정책 결정, 인증기관 및 심사기관 지정 등의 업무 수행

 2.2 인증기관

 > * KISA

    * FSI

 2.3 인증위원회

 > * 역할 : 인증심사 결과가 인증기준 적합 여부, 인증 취소에 관한 사항, 이의신청에 관한 사항 심의.의결

    * 구성 : 35명 이하의 위원, KISA/인증기관의 장이 위촉

 2.4 심사기관

 2.5 신청기관

 

3. 인증기준(16+64+22 = 102개)

관리체계 수립 및 운영(기위운점, 16개) +

보호대책 요구사항(정인외물 인접암정 운보사제, 64개) +

개인정보 처리단계별 요구사항(수보제파권, 22개)

 

 3.1 인증유형에 따른 인증기준

 

4. 기대 효과

 4.1 ISMS-P 인증의 기대 효과

 4.2 인증의 홍보

  > * 정보통신망법 시행령 제52조(인증표시 및 홍보)

     * 개인정보 보호법 시행령 제 34조7(인증의 표시 및 홍보)

 4.3 인증번호의 부여

 

II. ISMS-P 인증대상 및 범위

 1. ISMS-P 인증대상

 1.1 임의신청자

 1.2 의무대상자

 1.3 인증 의무대상자 유의사항

 

 2. 인증범위

  2.1 ISMS의 인증범위

  2.2 ISMS-P의 인증범위

 

III. ISMS-P 인증심사 절차

 1. ISMS-P 인증 준비단계

  1.1인증심사 신청 및 접수

  1.2심사 준비상태 점검

  1.3인증심사 계약 및 수수료 납부

  1.4인증심사 사전준비

 

 2.ISMS-P 인증 심사단계

 2.1 인증심사 시작회의

 2.2 인증심사

 2.3 결함보고서 작성 및 검토

 2.4 인증심사 종료회의

 2.5 보완 조치 완료 및 결과제출

 

3. ISMS-P 인증단계

 3.1 인증위원회 심의.의결

 3.2 인증결과 통보

 

 4.ISMS-P 사후관리 단계

 4.1 사후심사

 4.2 갱신심사