ISMS-P 총정리

1. ISMS-P의 개념

개인정보보호 관리체계(ISMS-P)는 개인정보 관리체계(PIMS) 인증과 정보보호 관리체계(ISMS) 인증을 하나로 합한 통합 인증제도이다. 

정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도라 할 수 있다.

 

ISMS-P가 등장했다고 해서 기존의 것들이 모두 사라진 것은 아니다. ISMS-P는 2단계 인증으로 구성된다. 1단계는 기존 ISMS 인증대상 기업이 수행해야 하는 것인 ISMS 인증이다. 그리고 2단계가 ISMS 인증을 받은 기업 중에서 개인정보 부분에 대해서 추가적인 통제항목을 이행하면 받을 수 있는 인증인 ISMS-P 인증인 것이다.

 

ISMS-P 인증범위는 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산. 개인정보 처리를 위한 수집, 보유, 이용, 제공, 파기에 관여하는 개인정보처리 시스템, 취급자를 포함한다.

ISMS 인증범위는 위에서 축소한 것으로, 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산을 포함한다.

 

1.1 ISMS-P의 중요성

일반 국민들은 보안의 가치에 대해 그다지 중요하게 생각하지 않을 수도 있다. 금전적 피해만 없다면, 나의 개인정보는 이미 많이 유출되었을 것이라고 생각할 수도 있을 것이다. 그도 그럴 것이, 대기업만 하더라도 초대형 유출사고가 심심찮게 터지는데, 정작 보상은, 벌금은 쥐꼬리만하기 때문이다. ISMS-P의 경우도 의무대상에 포함됨에도 불구하고 미인증을 하게 되면 3,000만원 이하의 과태료를 받는다. 그럼 또 '아 기업들이 그냥 최대 3,000만원 내고 말겠지'라고 생각할 수도 있을 것이다.

 

그러나 앞서 말했듯, 사람들이 보안에 무관심한 이유는 '나에게 금전적 피해가 없다면'이라는 전제를 깔기 때문일 것이다. ISMS-P 인증과 관련된 보안의 영역은 개인의 조심과는 거리가 멀다. 일반적인 보이스 피싱을 생각하며, 내가 조심하면 되지 라고 생각해서 될 것이 아니다. 사실, 내가 조심하는 영역도 지키지 않는 사람이 많지 않은가? 예시로, 비밀번호만 하더라도 반기 별 1회 이상 교체할 것을 권고하고 있는데, 이를 지키는 사람은 극소수일 것이라 확신한다.

 

보안은 선택이 아닌 필수의 영역이다. 더군다나, 개인의 노력이 아닌 기업의 노력으로 이뤄지는 것이라면 우리는 이를 필수로 기업에 요구해야 한다. 물론 ISMS-P 인증을 갖고 있다고 해서 무조건 안전하다고 볼 수는 없으나, 인증에 대한 최소한의 노력을 하려는 기업과, 그렇지 않은 기업에 대해서는 우리가 확실히 구분하여 우리의 안전한 자산을 맡길 수 있을 것이다.

 

1.2 ISMS-P의 법적근거

- 정보통신망 이용촉진 및 정보보호에 관한 법률 제47조

- 정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제47조~제54조
- 정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제3조
- 개인정보보호법 제32조의2
- 개인정보보호법 시행령 제34조의2~제34조의8
- 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시

 

위의 법률에서 의무인증 대상, 인증 취소 기준, 미인증 과태료, 심사 과정 등에 대해 파악할 수 있다.

 

1.3 ISMS-P 인증체계

 

1.4 ISMS-P 심사 종류

심사에는 총 3가지 종류가 있다.

최초 심사: 최초로 인증을 취득하고자 할 때 진행하는 심사이다. 하지만 인증의 범위에 중요한 변경이 있어 다시 인증을 신청하게 될 때에도 최초 심사를 받게 된다. 최초 심사를 통해 인증을 취득하면 3년의 유효기간이 부여된다.

사후 심사: 인증을 취득한 이후 정보보호 관리체계가 지속적으로 유지되고 있는지 확인하기 위한 심사이다. 유효기간 중 매년 1회 이상 실시한다.

갱신 심사: 인증 유효기간 연장을 목적으로 하는 심사로, 유효기간인 3년의 만료일 이전에 실시한다.

 

최초 심사에서 가장 중요한 것은 ISMS-P에 대한 인증범위이며, 인증범위에 있는 모든 자산은 식별되고 통제되어야 한다. 또한 ISMS-P 통제 항목을 기준으로 정보보호 정책, 지침, 절차 등이 수립되었는지 확인해야 한다.

2. ISMS-P 인증기준 개요(이하 23.11.23 개정)

 

ISMS-P 인증기준은 1. 관리체계 수립 및 운영, 2. 보호대책 요구사항, 3. 개인정보 처리 단계별 요구사항의 총 3개 영역에서 총 101개의 인증기준으로 구성되어 있다.

ISMS 인증을 받고자 하는 기관은 1. 관리체계 수립 및 운영, 2. 보호대책 요구사항의 총 2개 영역에서 80개의 인증기준을 적용받게 될 것이다.

 

2.1 ISMS-P 인증기준 구성

 

ㄱ. 관리체계 수립 및 운영

- 관리체계 기반 마련: 경영진의 참여 / 최고책임자의 지정 / 조직 구성 / 범위 설정 / 정책 수립 / 자원 할당

- 위험 관리: 정보자산 식별 / 현황 및 흐름분석 / 위험 평가 / 보호대책 선정

- 관리체계 운영: 보호대책 구현 / 보호대책 공유 / 운영현황 관리

- 관리체계 점검 및 개선: 법적 요구사항 준수 검토 / 관리체계 점검 / 관리체계 개선

 

ㄴ. 보호대책 요구사항

- 정책, 조직, 자산 관리: 정책의 유지관리 / 조직의 유지관리 / 정보자산 관리

- 인적 보안: 주요 직무자 지정 및 관리 / 직무 분리 / 보안 서약 / 인식제고 및 교육 훈련 / 퇴직 및 직무변경 관리 / 보안 위반 시 조치

- 외부자 보안: 외부자 현황 관리 / 외부자 계약 시 보안 / 외부자 보안 이행 관리 / 외부자 계약 변경 및 만료 시 보안

- 물리 보안: 보호구역 지정 / 출입통제 / 정보시스템 보호 / 보호설비 운영 / 보호구역 내 작업 / 반출입 기기 통제 / 업무환경 보안

- 인증 및 권한 관리: 사용자 계정 관리 / 사용자 식별 / 사용자 인증 / 비밀번호 관리 / 특수계정 및 권한관리 / 접근권한 검토

- 접근통제: 네트워크 접근 / 정보시스템 접근 / 운영프로그램 접근 / 데이터베이스 접근 / 무선 네트워크 접근 / 원격접근 통제/ 인터넷 접속 통제

- 암호화 적용: 암호정책 적용 / 암호키 관리

- 정보시스템 도입 및 개발 보안: 보안 요구사항 정의 / 보안 요구사항 검토 및 시험 / 시험과 운영환경 분리 / 시험 데이터 보안 / 소스 프로그램 관리 / 운영환경 이관

- 시스템 및 서비스 운영관리: 변경관리 / 성능 및 장애관리 / 백업 및 복구관리 / 로그 및 접속기록 관리 / 로그 및 접속기록 점검 / 시간 동기화 / 정보자산의 재사용 및 폐기

- 시스템 및 서비스 보안관리: 보안시스템 운영 / 클라우드 보안 / 공개서버 보안 / 전자거래 및 핀테크 보안 / 정보전송 보안 / 업무용 단말기기 보안 / 보조저장매체 관리 / 패치관리 / 악성코드 통제

- 사고 예방 및 대응: 사고 예방 및 대응체계 구축 / 취약점 점검 및 조치 / 이상행위 분석 및 모니터링 / 사고 대응 훈련 및 개선 / 사고 대응 및 복구

- 재해 복구: 재해·재난 대비 안전조치 / 재해 복구 시험 및 개선

 

ㄷ. 개인정보 처리 단계별 요구사항

- 개인정보 수집 시 보호조치: 개인정보 수집·이용 / 개인정보 수집 제한 / 주민등록번호 처리 제한 / 민감정보 및 고유식별정보 처리 제한 / 개인정보 간접수집 / 영상정보처리기기 설치·운영 / 마케팅 목적의 개인정보 수집·이용

- 개인정보 보유 및 이용 시 보호조치: 개인정보 현황관리 / 개인정보 품질보장 / 이용자 단말기 접근 보호 / 개인정보 목적 외 이용 및 제공 / 가명정보 처리

- 개인정보 제공 시 보호조치: 개인정보 제3자 제공 / 개인정보 처리 업무 위탁 / 영업의 양도 등에 따른 개인정보 이전 / 개인정보 국외 이전

- 개인정보 파기 시 보호조치: 개인정보 파기 / 처리목적 달성 후 보유 시 조치

- 정보주제 권리보호: 개인정보 처리방침 공개 / 정보주체 권리보장 / 정보주체에 대한 통지

 

 

아래의 링크에 ISMS-P에 대한 인증기준 안내서 최신판이 있으니 이를 참고하면 좋다.

위의 101개의 항목에 대해 인증 기준, 주요 확인사항, 세부 설명, 증거자료, 결함사례를 확인할 수 있어 세부적인 이해를 도울 수 있다. 개인적으로는 특히 증거자료, 결함사례를 읽는 것이 ISMS-P 인증의 이해에 큰 도움이 되었다.

https://isms.kisa.or.kr/main/ispims/notice/