연관토픽
개념 : 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)의 통합
- 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
- 정보와 개인정보를 단일제도에서 체계적으로 보호할 수 있는 통합 인증제도
- 기존 개별 운영되고 있던 과학기술정보통신부 소관 ‘정보보호 관리체계 인증제도(ISMS)’ 와 방송통신위원회 ·행정안전부 소관 ‘개인정보보호 관리체계 인증제도(PIMS)’를 통합한 인증제도
- 2018년 11월, "정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시"를 통해 기업의 정보보호와 개인정보보호에 대해 이원화되어 있던 정보보호 관련 인증을 ISMS-P로 통합
ISMS-P 추진경과
날짜 | 내용 |
2017.06 |
과기정통부, 행정안전부, 방송통싵위원회 ISMS인증과 PIMS 인증 통합을 위한 협의 추진 |
2017.07 |
‘개인정보보호 관리체계 인증 등에 관한 고시 전분개정안’예고 |
2017.12 |
ISMS인증과 PIMS 인증 통합방안 발표 |
2018.09 |
고시개정안 마련의견 수렴 및 행정 예고 |
2018.11 | 정보보호 및 개인정보보호 관리체계 인증에 관한 고시 개정 |
ISMS-P 법적근거
- 개별적으로 운영되던 과학기술부정통부 소관의 ‘정보보호 관리체계 인증제도(ISMS)’와 방송통신위원회,
행정안전부 소관의 ‘개인정보보호 관리체계 인증제도(PIMS)’를 통합하여 인증 제도를 일원화
법 | 정보통신망법 제47조 | 정보통신망법 제47조의 3 | 개인정보보호법 제32조의 2 |
하위법령 |
시행령 제47조 ~ 제54조 시행규칙 제3조 |
시행령 제54조의 2 |
시행령 제34조의 2 ~ 제34조의 7 |
고시 | 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 |
ISMS-P 추진 취지
취지 | 내용 |
복수 인증제 통합 | 복수의 인증제도 운영에 따른 기업 혼란 해소 |
침해 위협 강화 | 침해 위협에 효과적으로 대응 |
기업 비용 완화 | 기업의 중복 부담(비용, 행정, 인력) 완화 |
ISMS 인증 의무 대상자(정보통신망법 제47조 2항)
- ISMS 인증 의무대상자는 전기통신 역무를 이용하여 정보를 제공하거나 정보제공을 매개하는 자 중에서 위의 기준에 해당하는 자
구분 | 의무 대상자 기준 |
ISP | '전기통신사업법' 제6조 제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 |
IDC | 정보통신망법 제46조에 따른 집적정보통신시설 사업자 |
다음의 조건 중 하나라도 해당하는 자 |
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당하는 경우 '의료법' 제3조의 4에 따른 상급종합병원 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 '고등교육법' 제2조에 따른 학교 |
정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말하다) 매출액이 100억원 이상인 자 | |
전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자 |
ISMS-P 인증체계
- 정책기관(협의회) : 과학기술정보통신부, 행정안전부, 방송통신위원회
- 인증기관 : 한국인터넷진흥원
ISMS-P 통제항목 구성
구분 | 통합인증 | 분야 |
ISMS | 관리체계 수립 및 운영(16) |
1.1 관리체계 기반 마련(6) 1.2 위험관리(4) 1.3 관리체계 운영(3) 1.4 관리체계 점검 및 개선(3) |
보호대책 요구사항(64) |
21 정책, 조직, 자산관리(3) 2.2 인적보안(6) 2.3 외부자 보안(4) 2.4 물리보안(7) 2.5 인증 및 권한관리(6) 2.6 접근통제(7) 2.7 암호화 적용(2) 2.8 정보시스템 도입 및 개발보안(6) 2.9 시스템 및 서비스 운영관리(7) 2.10 시스템 및 서비스 보안관리(9) 2.11 사고예방 및 대응(5) 2.12 재해복구(2) |
|
개인정보 | 개인정보 처리단계별 요구사항(22) |
3.1 개인정보 수집시 보호조치(7) 3.2 개인정보 보유 및 이용 시 보호조치(5) 3.3 개인정보 제공 시 보호조치(3) 3.4 개인정보 파기 시 보호조치(4) 3.5 정보주체 권리보호(3) |
각 인증제도의 인증범위 차이
구분 | 설명 |
ISMS-P |
|
ISMS |
|
ISMS-P 인증 기준 변경사항
변경사항 | 설명 |
유사 중복항목 통합 및 재배치 |
|
최신 기술 및 이슈 반영 |
|
법개정에 따른 요구사항 반영 |
|
ISMS-P 주요 개정사항
구분 | 항목 | 설명 |
인증기준 | 102개 인증기준 |
|
인증 심사 신청 |
고시 시행 이전으로 심사 수행 |
|
신규 기준으로 심사 신청 |
|
|
인증 심사 구분 | 단일삼사 |
|
혼합심사 |
|
|
인증 의무 대상자 | 인증 선택 가능 |
|
인증 의뮈 취득기간 |
|
|
인증 수수료 | ISMS 기본 수수료 |
|
ISMS-P 또는 ISMS+ISMS-P |
|
|
보안조치 및 사후관리 | 보완조치 기간 확대 |
|
사후 관리 |
|
|
갱신심사 |
|
|
인증 심사원 | 신규 심사원 자격 요건 |
|
등급 체계 |
|
ISMS-P vs. ISMS vs. PIMS
비교항목 | ISMS-P | ISMS | PIMS |
제도명칭 | 정보보호 및 개인정보보호 관리체계 인증 |
정보보호 관리체계의 인증 | 개인정보보호 관리체계의 인증 |
개념 | 정보보호, 개인정보보호를 통합해 관리하는 인증 체계 | 기술적, 물리적 보안조치를 포함한 종합관리체계 인증 | 개인정보를 안전하게 관리하는 기업에 주는 인증 제도 |
심사대상 |
|
|
|
인증심사 보완조치 |
재조치 요구 60 일 포함하여 최대 100 일 |
재조치 요구 60 일 포함하여 최대 90 일 |
재조치 요구 60 일 포함하여 최대 90 일 |
모범답안
동영상 강의