안녕하세요, 베리입니다.
오늘은 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)에 대해 다루겠습니다.
ISMS-P는 인증 신청인의 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원(이하 "인터넷진흥원"이라 한다) 또는 인증기관이 증명하는 것을 말합니다.
<참고: 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시>
[인증구성]
인증구성은 개인정보보호를 포함한 ISMS-P와 개인정보보호 활동을 포함하지 않는 ISMS로 나뉩니다. ISMS는 의무대상이지만, ISMS-P는 의무가 아닙니다.
[인증대상자]
인증대상은 자율대상과 ISMS 인증 의무대상자로 나뉩니다.
1. 자율신청자
의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사 진행
2. ISMS 인증 의무대상자
의무대상자는 ISMS 혹은 ISMS-P 인증 중 선택이 가능하며, 의무대상자가 되어 인증을 최초로 신청하는 경우 다음 해 8월 31일까지 인증 취득이 가능합니다.
[심사종류]
[인증심사 절차]
[인증기준]
[인증수수료]
- 제경비: 직접비에 포함되지 아니하고 엔지니어링활동주체의 행정운영을 위한 기획, 경영, 총무 분야 등에서 발생하는 간접 경비로서 임원․서무․경리직원 등의 급여, 사무실비, 사무용 소모품비, 비품비, 기계기구의 수선 및 상각비, 통신운반비, 회의비, 공과금, 운영활동비용 등을 포함
- 기술료: 기술혁신사업의 성과를 실시하는 권리(이하 “실시권”이라 한다)와 관련하여 실시권자가 국가, 전담기관 또는 사업수행결과의 소유권자에게 현금 또는 유가증권 등으로 지급하는 금액
[인증취소]
인터넷진흥원 또는 인증기관은 다음 사항의 해당하는 경우 인증위원회의 심의, 의결을 거쳐 인증을 취소할 수 있습니다.
1. 거짓 혹은 부정한 방법으로 인증을 취득한 경우
2. 인증심사기준에 미달하게 된 경우
3. 인증을 취득한 자가 사후심사 또는 갱신심사를 받지 않았거나 보완조치를 하지 않은 경우
4. 인증 받은 내용을 홍보하면서 인증범위 및 유효기간을 허위로 표기하거나 누락한 경우
5. 인증을 취득한 자가 사후관리를 거부 또는 방해하는 경우
6. 개인정보보호 관련 법령을 위반하고 그 위반사유가 중대한 경우
[인증심사 일부 생략 범위]
ISMS 신청기관이 ISO/IEC 27001 인증 혹은 주요정보통신기반시설의 취약점 분석·평가를 이미 받은 상태라면 ISMS인증에서 일부 범위를 생략할 수 있습니다.
생략가능한 심사 범위는 총 5개 분야로 2.1 정책, 조직, 자산 관리, 2.2 인적 보안, 2.3 외부자 보안, 2.4 물리 보안, 2.12 재해 복구가 있습니다.
오늘 이렇게 ISMS/ISMS-P 인증에 대해 배워봤습니다. 요새 제가 너무 정신이 없어서 블로그의 글을 잘 못 올렸는 데, 적어도 일주일에 한 번은 블로그에 글을 업로드할께요.
오늘도 많은 분량의 글을 읽어주셔서 감사합니다.
------
[1] ISMS-P 인증기준 안내서(2019.1.18, KISA)
https://isms.kisa.or.kr/main/ispims/notice/?boardId=bbs_0000000000000014&mode=view&cntId=9
[2] 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(국가법령정보센터)
[3] ISMS-P 인증심사
https://www.opa.or.kr/front/content/contentViewer.do?contentId=CONTENT_0000191