본문 바로가기
ETC.../information

consulting : ISMS-P 인증제도

hysa 2024. 4. 30. 14:29

Consulting : ISMS-P 인증제도

 

 

1. ISMS 기존 인증제도주요 정보자산을 보호하기 위해 정보통신망법 제47조 및 시행령 제47조~54조에 근거하여 수립ㆍ관리ㆍ운영하는 정보보호 관리체계가 정보보호 관리과정, 정보보호대책 등 총 104개의 항목이 기준에 적합한지를 자율신청 및 의무대상을 심사하여 인증을 부여하는 제도

 

 

2. PIMS 기존 인증제도개인정보보호 관리체계를 갖추고 체계적ㆍ지속적으로 보호 업무를 수행하는지에 대해 정보통신망법 제47조 및 시행령 54조의2, 개인정보보호법에 근거하여 개인정보보호 활동을 체계적이고 지속적으로 수행하기 위해 필요한 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계를 수립ㆍ운영하고 있는 개인정보 수집ㆍ취급자를 대상으로 해당 구성요소인 관리적, 생명주기 및 권리보장, 보호대책 요구사항 등을 객관적으로 심사하여 기준 만족 시 인증을 부여하는 제도

 

 

3. ISMS-P 신규인증정보보호 및 개인정보 보호관리체계인증 즉 개인정보 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인증기관이 증명하는 제도로 기존의 ISMS 인증 의무 대상자는 ISMS, ISMS-P를 선택해서 인증을 취득할 수 있게 되었다.
과기부, 행안부, 방통위 등 3개 기관이 각각 운영하던 정보보호 관리체계 인증과 개인정보보호 관리체계 인증을 통합한 것으로, 융합, 고도화되고 있는 침해사고 및 위협에 효과적으로 대응하기 위해 연계가 필요하였으며, 많은 기업을 대상으로 설문조사 결과 통합의 필요성을 답하였던 것으로 알고 있다. 또한 2018년 10월 기준 기업들은 ISMS와 PIMS 두가지를 유지하는 기업이 70%이상으로 기업의 부담을 줄이기 위해 통합의 필요성이 높아진 것으로 보이며 이에따라 ISMS-P 신규인증으로 통합된 것으로 보인다.또한 ISMS-P는 ISMS와 PIMS의 유사ㆍ중복된 부분 정책의 유지 및 관리, 비밀번호 관리, 정보주체 권리 등이 하나로 통합 및 수정이 되었으며, 클라우드 서비스, 핀테크, 외부자 권리, 침해사고 탐지 강화 등을 반영하여 신규 기준을 만듬으로 최신 기술과 이슈도 반영되었다.

 

 

4. ISMS-P 인증항목   4-1 관리체계 수립 및 운영(16개) 관리체계 기반 마련(6개) 위험관리(4개) 관리체계 운영(3개) 관리체계 점검 및 개선(3개)
   4-2 보호대책 요구사항(64개) 정책,조직,자산관리(3개) 인적보안(6개) 외부자보안(4개) 물리보안(7개) 인증 및 권한관리(6개) 접근통제(7개) 암호화 적용(2개) 정보시스템 도입 및 개발보안(6개) 시스템 및 서비스 운영관리(7개) 시스템 및 서비스 보안관리(9개) 사고 예방 및 대응(5개) 재해 복구(2개)

 

   4-3 개인정보 처리단계별 요구사항(22개) 개인정보 수집 시 보호 조치(7개) 개인정보 보유 및 이용 시 보호조치(5개) 개인정보 제공 시 보호조치(3개) 개인정보 파기 시 보호조치(4개) 정보주체 권리보호(3개)

 

 

5. ISMS-P 인증 대상ISMS-P의 인증 위원회는 보통 10명 정도로 구성된다. 또한 자율신청자와 의무신청자가 존재하며 내용은 다음과 같습니다.
- 의무신청자

 

전기통신사업법 제2조 제8항에 따른 전기통신사업자와 전기통신사업자의 전기통신 역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는자로서 아래에 기술한 기준에 하나라도 해당하는자.

- 자율신청자의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축 운영하는 기업, 기관

 

 

6. 인증범위   6.1 ISMS-P - 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산 - 개인정보 처리를 위한 수집, 보유, 이용, 제공, 파기에 관여하는 개인정보처리 시스템, 취급자   6.2 ISMS - 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산

 

 

7. 심사종류   7.1 최초심사 - 인증을 처음으로 취득할 때 진행하는 심사, 인증의 범위에 중요한 변경이 있어  다시 인증을 신청할 때에도 실시하며 최초심사를 통해 인증을 취득하면 3년의 유효기간
   7.2 사후심사 - 사후심사는 인증을 취득한 이후 정보보호관리체계가 지속적으로 유지되고 있는지 확인하는

          것을 목적으로

인증유효기간중 매년 1회이상 시행하는 심사
   7.3 갱신심사 - 정보보호 관리체계인증 유효기간연장을 목적으로하는 심사



 

 

 

저작자표시 비영리 변경금지 (새창열림)

'ETC... > information' 카테고리의 다른 글

consulting : 인터뷰 팁  (0) 2024.04.30
consulting : 프로젝트 관리-PMBOK  (0) 2024.04.30
Information : 개인정보 유형, 종류  (0) 2019.04.06
Information : 용어정의  (0) 2019.04.05
consulting : 인터뷰 개요  (0) 2019.02.18

'ETC.../information' Related Articles

티스토리툴바