정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 이란?
ISMS는 Personal information & Information Security Management System의 약자로 정보보호 관리체계입니다. 현재 스마트폰, 앱, 클라우드 등 다양한 정보통신기술은 지속적으로 발전하고 있는 반면 해킹 및 유출과 같은 위협역시 지속적으로 증가하고 있습니다. ISMS인증은 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도로서 인증 대상이 되는 기업이 정보보호를 위한 충분한 보안요건을 충족하는지 심사하고 인증해주는 제도입니다. 그렇다면 여기서 인증 대상 기업으로는 어떤 기업을 의미하는 것일까요?
ISMS-P 인증 대상
ISMS-P의 의무 대상자는 다음과 같습니다.
ISP(Internet Service Provider)
KT, SK와 같이 전국적으로 정보통신망서비스를 제공하는 기업
IDC(Internet Data Center)
서비스 호스팅 사업자와 같은 집적정보통신시설 사업자
병원, 학교
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 「의료법」 제3조의4에 따른 상급종합병원 또는 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
이용자 수 요건에 따른 대상자
- 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 자
- 전년도 직전 3개월 간 정보통신서비스 일일평균 이용자 수가 100만 명 이상인 자
- 전년도(법인인 경우에는 전 사업연도) 매출액 또는 세입 등이 1,500억 원
위의 4가지 항목에 포함되지 않더라도 기업의 정보보호 및 개인정보보호를 위해 개별적으로 받을 수 있습니다. 하지만 해당 항목에 포함되는 의무 인증 대상자는 만약 인증을 받지 않는다면 3천만원의 과태료가 부과되기 때문에 의무 인증 대상에 해당되면 필수로 ISMS-P를 인증 받아야합니다. 그렇다면 인증 절차는 어떻게 될까요?
ISMS-P 인증 심사 절차
ISMS-P인증 절차는 크게 4단계로 구성되어 있으며 심사 완료까지 약 4개월이 소요됩니다.
- 준비단계: 인증기준에 따른 관리체계 구축 및 운영을 준비하는 단계입니다.
- 신청단계: 신청서류 공문 접수 및 예비 점검, 그리고 수수료 납부하는 단계입니다.
- 심사단계: 본격적으로 기업이 ISMS-P 인증 사항을 이행하고 관리하고 있는지 심사하는 단계입니다.
- 인증단계: 인증위원회의 심사결과 검토 및 심의하고 인증서가 발급되는 기간입니다.
ISMS-P 인증 유지
인증서 발급이 완료되었다고 ISMS-P인증이 모두 끝난 것이 아닙니다. 인증서는 3년 간 유효하며 1년 간격으로 정보보호 관리 체계가 지속적으로 유지되고 있는지 확인하기 위해 사후 심사를 받게 됩니다. 그리고 인증이 만료되는 3년이 지난 후에는 인증 갱신을 받아야 합니다. 이 때문에 준비 단계부터 철저히 준비를 하고 지속적으로 관리 체계를 유지해야 합니다.
ISMS-P 인증 기준
ISMS-P인증은 총 3개 영역 내의 102개 인증 기준으로 구성되어 있습니다. 인증 기준은 관리 체계 수립 및 운영 16개, 보호 대책 요구 사항 64개 그리고 개인정보 처리 단계 별 요구 사항 22개로 이루어져 있습니다. 자세한 인증 기준은 하단 이미지 또는 KISA에서 배포한 22년도 ISMS-P 인증기준 안내서를 통해 확인해보실 수 있습니다.
도브러너가 해결할 수 있는 보안 요구 사항
도브러너는 ISMS-P를 준비하는 앱 사업자들에게 보안 요구 사항을 충족할 수 있도록 도움을 드립니다. 실제로 국내 여러 기업이 도브러너를 활용하여 준비하고 인증을 받았습니다. 그렇다면 도브러너는 어느 항목에서 ISMS-P인증에 도움을 주는 것일까요?
- 정보 시스템 도입, 개발, 변경 시 법적 보안 요구 사항(최신 보안 취약점, 안전한 코딩 기준 등) 정의 및 적용
- 사전 정의된 요구 사항의 실제 구현 여부 검토 및 법적 준수 확인
- 개인정보 영향 평가 등 절차 수립 및 이행
- 요구 사항 검토 후 발견된 문제점에 대한 개선 조치 수행
도브러너를 통해 앱을 안전하게 보호하는 동시에 ISMS-P인증에 도움을 받아보세요!
