정보보호 및 개인정보보호관리체계 인증: Difference between revisions
From IT위키
No edit summary |
(→인증 기준) |
||
(5 intermediate revisions by 2 users not shown) | |||
Line 1: | Line 1: | ||
[[분류:개인정보보호]][[분류:컴플라이언스]][[분류:인증/평가]] | [[분류:개인정보보호]] | ||
[[분류:컴플라이언스]] | |||
[[분류:인증/평가]] | |||
;ISMS-P; Personal Information & Information Security Management System | ;ISMS-P; Personal Information & Information Security Management System | ||
;정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도 | ;정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도 | ||
* [[ISMS]](정보보호 관리체계 인증)와 PIMS(개인정보보호 관리체계 인증)의 중복을 해소하고자 만들어진 통합인증 제도 | *[[ISMS]](정보보호 관리체계 인증)와 PIMS(개인정보보호 관리체계 인증)의 중복을 해소하고자 만들어진 통합인증 제도 | ||
== 근거 법령 == | ==근거 법령== | ||
{| class="wikitable" | {| class="wikitable" | ||
! | !구분 | ||
! 과학기술정보통신부 | !과학기술정보통신부 | ||
! | !개인정보보호위원회 | ||
|- | |||
|근거법령 | |||
|정보통신망법 | |||
|개인정보보호법 | |||
|- | |||
|법률 | |||
|[[정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조|제47조]]와 [[정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조의2|제47조의2]] | |||
|[[개인정보 보호법 제32조의2|제32조의2]] | |||
|- | |||
|시행령 | |||
|제47조부터 제54조 | |||
|제34조의2부터 제34조의8 | |||
|- | |- | ||
| | |시행규칙 | ||
| | |시행규칙 제3조 | ||
| | | - | ||
|- | |- | ||
| 대상 | |대상 | ||
| 정보보호관리체계(ISMS) | |정보보호관리체계(ISMS) | ||
|개인정보보호 관리체계(PIMS) | |||
|- | |- | ||
| 고시 | |고시 | ||
| colspan=" | | colspan="2" |정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(ISMS-P) | ||
|} | |} | ||
[[파일:ISMS-P 법령-고시와의 관계.png|600x600픽셀]] | |||
==추진 경과== | |||
[[파일:ISMS-P 인증제도 추진경과.png|750x750픽셀]] | |||
*'''(2001년 7월 시행)''' 정보보호 관리체계(이하 ‘ISMS’) 인증제도는 국내 기업 스스로 정보보호 관리체계를 구축·운영 하는데 활용할 수 있도록 관리체계 모델을 개발하고, 「정보통신망법」 개정을 통하여 도입 | |||
*'''(2013년 2월 시행)''' 개인정보보호 관리체계(이하 ‘PIMS’) 인증제도는 2010년 11월, 방송통신위원회 의결 (제2010-66-273호)로 2011년부터 주요 정보통신서비스 제공 사업자 대상으로 인증심사를 우선 시행하였으며, 이후 PIMS 인증제도의 법률적 근거를 마련 | |||
*'''(2013년 2월 시행)''' 정보통신망서비스제공자(ISP), 집적정보통신시설(IDC)사업자, 정보통신서비스제공자 중 매출액, 이용자 수 등 일정 기준에 해당하는 기업들은 ISMS 인증을 의무적으로 받도록 「정보통신망법」 개정 | |||
*'''(2013년 11월 시행)''' 「개인정보 보호법」 개정을 통해 개인정보보호 인증(PIPL, Personal Information Protection Level) 제도 시행의 법적 근거 마련 | |||
*'''(2014년 ~ 2015년)''' 인증 의무제도 시행 이후 인증 대상 기업이 늘어남에 따라 한국정보통신진흥협회(KAIT, 2014년 4월), 한국정보통신기술협회(TTA, 2015년 2월)를 ISMS 심사기관으로, 금융보안원(FSI, 2015년 7월)을 ISMS 인증기관으로 추가 지정 | |||
*'''(2016년 1월 시행)''' 개인정보보호 관련 인증제도의 이원화 운영에 따른 기업의 혼란 해소를 위해 행정안전부와 방송통신 위원회가 공동고시를 마련하여 개인정보보호 인증(PIPL) 제도와 PIMS 인증제도를 통합 | |||
*'''(2016년 6월 시행)''' 정보통신망에 대한 의존도가 높고 개인정보 등 다량의 민감정보를 다루는 기관들이 ISMS 인증대상 에서 제외되는 문제를 해결하기 위해 연간 매출액 또는 세입 등이 1,500억 원 이상인 자 중 일정 요건에 해당하는 기업들이 인증 의무대상에 포함되도록 「정보통신망법」 개정 | |||
*'''(2018년 11월 시행)''' 정보보호 및 개인정보보호 영역에서 각각의 인증제도 운영에 따른 기업의 혼란 해소 및 융합·고도화 되는 침해위협에 효과적으로 대응하기 위해 과학기술정보통신부와 행정안전부 및 방송통신위원회가 공동고시를 마련하여 ISMS 인증제도와 PIMS 인증제도를 통합 | |||
*'''(2020년 8월)''' 행정안전부, 방송통신위원회로 분산되어 있던 개인정보보호 기능이 개인정보보호위원회로 일원화 됨에 따라 인증제도 소관부처가 과학기술정보통신부와 개인정보보호위원회로 변경 | |||
==인증 유형 및 종류== | |||
===인증 유형=== | |||
ISMS-P 인증은 정보보호 중심의 ‘ISMS 인증’과 개인정보의 흐름과 정보보호 영역을 모두 인증 하는 ‘ISMS-P 인증’ 두 가지 유형으로 구분 | |||
{| class="wikitable" | |||
!유형 | |||
!설명 | |||
|- | |||
|ISMS | |||
|정보보호 중심으로 인증하는 경우 | |||
*기존의 ISMS의 의무대상 기업·기관 | |||
*개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등 | |||
|- | |||
|ISMS-P | |||
|개인정보의 흐름과 정보보호 영역을 모두 인증하는 경우 | |||
*보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어 개인정보 처리 단계별 보안강화가 필요한 조직 | |||
|} | |||
===인증 종류=== | |||
ISMS-P 인증심사의 종류는 ‘최초심사’, ‘사후심사’, ‘갱신심사’로 구분 | |||
*'''최초심사''' | |||
**ISMS-P 인증을 처음으로 취득하고자 할 때 수행하는 심사 | |||
**인증범위에 중요한 변경이 있어 다시 인증을 신청할 경우에도 같은 심사를 받아야 함 | |||
**최초심사를 통해 인증을 취득 하면 3년의 유효기간이 부여 | |||
*'''사후심사''' | |||
**인증을 취득한 이후 ISMS-P가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 실시하는 인증심사 | |||
**고시 제27조(사후관리)에 따라 인증 취득한 범위와 관련하여 침해사고 또는 개인정보 유출사고가 발생한 경우 KISA는 필요에 따라 인증관련 항목의 보안향상을 위한 필요한 지원 등을 할 수 있음 | |||
*'''갱신심사''' | |||
**ISMS-P 인증의 유효기간 갱신을 위해 실시하는 인증심사 | |||
**ISMS-P 인증은 인증 유효기간 만료 이전에 갱신심사를 통해 유효기간을 갱신하여야 하며, 유효 기간이 경과한 때에는 인증의 효력 상실 | |||
==[[ISMS-P 인증 추진체계|인증 추진체계]]== | |||
[[파일:ISMS-P 담당기관 및 체계.png|750x750픽셀]] | |||
==[[ISMS-P 인증 기준|인증 기준]]== | |||
ISMS-P 인증기준은 1.관리체계 수립 및 운영(16개), 2.보호대책 요구사항(64개), 3.개인정보 처리 단계별 요구사항(21개)으로 구성 | |||
[[파일:ISMS-P 인증 기준.png]] | |||
*[[ISMS-P 인증 기준|'''인증 기준 보기''']] | |||
*[[ISMS-P 인증 기준 세부 점검 항목|'''세부 점검 항목 전체 보기''']] | |||
==[[ISMS-P 인증 대상|인증 대상]]== | |||
'''의무 대상자'''는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다. | |||
*'''의무 대상자''' | |||
{| class="wikitable" | {| class="wikitable" | ||
! | !의무대상자 | ||
! | !비고 | ||
|- | |- | ||
| | |「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 | ||
| | |ISP | ||
|- | |- | ||
|「정보통신망법」제46조에 따른 집적정보통신시설 사업자 | |||
|IDC | |||
|- | |- | ||
| | |연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 | ||
*「의료법」제3조의4에 따른 상급종합볍원 | |||
*직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교 | |||
|병원, 학교 | |||
|- | |- | ||
|정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 | |||
|[[정보통신서비스 제공자|정보통신서비스제공자]] | |||
|- | |- | ||
| colspan=" | |전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 | ||
|[[정보통신서비스 제공자|정보통신서비스제공자]] | |||
|} | |||
*'''임의 신청자''' | |||
**의무 대상자가 아니라도 기업·기관에선 자율적으로 ISMS든 ISMS-P든 신청해서 인증받을 수 있다. | |||
*[[ISMS-P 인증 대상|'''인증 대상 상세 보기''']] | |||
==[[ISMS-P 인증 범위|인증 범위]]== | |||
{| class="wikitable" | |||
! colspan="5" |ISMS-P 인증범위 | |||
|- | |- | ||
! | |정보통신서비스등을 위한 | ||
| colspan=" | '''조직 및 인력''' | ||
|정보통신서비스등의 운영을 위한 | |||
'''물리적 장소''' | |||
|정보통신서비스등의 운영을 위한 | |||
'''설비''' | |||
|개인정보 처리를 위한 | |||
'''조직 및 인력''' | |||
|개인정보 처리를 위한 | |||
'''물리적 장소''' | |||
|- | |||
! colspan="3" |ISMS 인증 범위 | |||
| colspan="2" | | |||
|} | |} | ||
*일반적으로 ISMS 인증범위는 정보통신서비스를 기준으로 관련된 정보시스템, 장소, 조직 및 인력을 포함 | |||
* | *ISMS-P 인증범위는 이에 더하여 해당 서비스에서 처리되는 개인정보의 흐름에 따라 해당 개인정보를 처리하는 정보시스템, 조직 및 인력, 물리적 장소 등을 모두 포함해야 함 | ||
* | *이에 따라 ISMS 인증 의무대상자가 ISMS 의무인증 범위를 포함하여 ISMS-P 인증을 신청하는 경우 ISMS-P 단일심사로 진행 가능 | ||
* 개인정보 | *ISMS 의무인증 범위에 대해서는 ISMS 인증을 신청하고 일부 서비스에 대해서는 개인정보 영역을 포함한 ISMS-P 인증을 신청하여 2개의 인증심사 동시에 진행하는 것도 가능 | ||
*[[ISMS-P 인증 범위|'''인증 범위 상세 보기''']] | |||
<br /> |
Latest revision as of 10:38, 7 June 2024
- ISMS-P; Personal Information & Information Security Management System
- 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
- ISMS(정보보호 관리체계 인증)와 PIMS(개인정보보호 관리체계 인증)의 중복을 해소하고자 만들어진 통합인증 제도
근거 법령[edit | edit source]
구분 | 과학기술정보통신부 | 개인정보보호위원회 |
---|---|---|
근거법령 | 정보통신망법 | 개인정보보호법 |
법률 | 제47조와 제47조의2 | 제32조의2 |
시행령 | 제47조부터 제54조 | 제34조의2부터 제34조의8 |
시행규칙 | 시행규칙 제3조 | - |
대상 | 정보보호관리체계(ISMS) | 개인정보보호 관리체계(PIMS) |
고시 | 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(ISMS-P) |
추진 경과[edit | edit source]
- (2001년 7월 시행) 정보보호 관리체계(이하 ‘ISMS’) 인증제도는 국내 기업 스스로 정보보호 관리체계를 구축·운영 하는데 활용할 수 있도록 관리체계 모델을 개발하고, 「정보통신망법」 개정을 통하여 도입
- (2013년 2월 시행) 개인정보보호 관리체계(이하 ‘PIMS’) 인증제도는 2010년 11월, 방송통신위원회 의결 (제2010-66-273호)로 2011년부터 주요 정보통신서비스 제공 사업자 대상으로 인증심사를 우선 시행하였으며, 이후 PIMS 인증제도의 법률적 근거를 마련
- (2013년 2월 시행) 정보통신망서비스제공자(ISP), 집적정보통신시설(IDC)사업자, 정보통신서비스제공자 중 매출액, 이용자 수 등 일정 기준에 해당하는 기업들은 ISMS 인증을 의무적으로 받도록 「정보통신망법」 개정
- (2013년 11월 시행) 「개인정보 보호법」 개정을 통해 개인정보보호 인증(PIPL, Personal Information Protection Level) 제도 시행의 법적 근거 마련
- (2014년 ~ 2015년) 인증 의무제도 시행 이후 인증 대상 기업이 늘어남에 따라 한국정보통신진흥협회(KAIT, 2014년 4월), 한국정보통신기술협회(TTA, 2015년 2월)를 ISMS 심사기관으로, 금융보안원(FSI, 2015년 7월)을 ISMS 인증기관으로 추가 지정
- (2016년 1월 시행) 개인정보보호 관련 인증제도의 이원화 운영에 따른 기업의 혼란 해소를 위해 행정안전부와 방송통신 위원회가 공동고시를 마련하여 개인정보보호 인증(PIPL) 제도와 PIMS 인증제도를 통합
- (2016년 6월 시행) 정보통신망에 대한 의존도가 높고 개인정보 등 다량의 민감정보를 다루는 기관들이 ISMS 인증대상 에서 제외되는 문제를 해결하기 위해 연간 매출액 또는 세입 등이 1,500억 원 이상인 자 중 일정 요건에 해당하는 기업들이 인증 의무대상에 포함되도록 「정보통신망법」 개정
- (2018년 11월 시행) 정보보호 및 개인정보보호 영역에서 각각의 인증제도 운영에 따른 기업의 혼란 해소 및 융합·고도화 되는 침해위협에 효과적으로 대응하기 위해 과학기술정보통신부와 행정안전부 및 방송통신위원회가 공동고시를 마련하여 ISMS 인증제도와 PIMS 인증제도를 통합
- (2020년 8월) 행정안전부, 방송통신위원회로 분산되어 있던 개인정보보호 기능이 개인정보보호위원회로 일원화 됨에 따라 인증제도 소관부처가 과학기술정보통신부와 개인정보보호위원회로 변경
인증 유형 및 종류[edit | edit source]
인증 유형[edit | edit source]
ISMS-P 인증은 정보보호 중심의 ‘ISMS 인증’과 개인정보의 흐름과 정보보호 영역을 모두 인증 하는 ‘ISMS-P 인증’ 두 가지 유형으로 구분
유형 | 설명 |
---|---|
ISMS | 정보보호 중심으로 인증하는 경우
|
ISMS-P | 개인정보의 흐름과 정보보호 영역을 모두 인증하는 경우
|
인증 종류[edit | edit source]
ISMS-P 인증심사의 종류는 ‘최초심사’, ‘사후심사’, ‘갱신심사’로 구분
- 최초심사
- ISMS-P 인증을 처음으로 취득하고자 할 때 수행하는 심사
- 인증범위에 중요한 변경이 있어 다시 인증을 신청할 경우에도 같은 심사를 받아야 함
- 최초심사를 통해 인증을 취득 하면 3년의 유효기간이 부여
- 사후심사
- 인증을 취득한 이후 ISMS-P가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 실시하는 인증심사
- 고시 제27조(사후관리)에 따라 인증 취득한 범위와 관련하여 침해사고 또는 개인정보 유출사고가 발생한 경우 KISA는 필요에 따라 인증관련 항목의 보안향상을 위한 필요한 지원 등을 할 수 있음
- 갱신심사
- ISMS-P 인증의 유효기간 갱신을 위해 실시하는 인증심사
- ISMS-P 인증은 인증 유효기간 만료 이전에 갱신심사를 통해 유효기간을 갱신하여야 하며, 유효 기간이 경과한 때에는 인증의 효력 상실
인증 추진체계[edit | edit source]
인증 기준[edit | edit source]
ISMS-P 인증기준은 1.관리체계 수립 및 운영(16개), 2.보호대책 요구사항(64개), 3.개인정보 처리 단계별 요구사항(21개)으로 구성
인증 대상[edit | edit source]
의무 대상자는 ISMS 인증을 필수적으로 받아야 한다. ISMS-P를 받은 경우에도 ISMS를 받은 것으로 (당연)인정해 준다.
- 의무 대상자
의무대상자 | 비고 |
---|---|
「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 | ISP |
「정보통신망법」제46조에 따른 집적정보통신시설 사업자 | IDC |
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
|
병원, 학교 |
정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 | 정보통신서비스제공자 |
전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 | 정보통신서비스제공자 |
- 임의 신청자
- 의무 대상자가 아니라도 기업·기관에선 자율적으로 ISMS든 ISMS-P든 신청해서 인증받을 수 있다.
- 인증 대상 상세 보기
인증 범위[edit | edit source]
ISMS-P 인증범위 | ||||
---|---|---|---|---|
정보통신서비스등을 위한
조직 및 인력 |
정보통신서비스등의 운영을 위한
물리적 장소 |
정보통신서비스등의 운영을 위한
설비 |
개인정보 처리를 위한
조직 및 인력 |
개인정보 처리를 위한
물리적 장소 |
ISMS 인증 범위 |
- 일반적으로 ISMS 인증범위는 정보통신서비스를 기준으로 관련된 정보시스템, 장소, 조직 및 인력을 포함
- ISMS-P 인증범위는 이에 더하여 해당 서비스에서 처리되는 개인정보의 흐름에 따라 해당 개인정보를 처리하는 정보시스템, 조직 및 인력, 물리적 장소 등을 모두 포함해야 함
- 이에 따라 ISMS 인증 의무대상자가 ISMS 의무인증 범위를 포함하여 ISMS-P 인증을 신청하는 경우 ISMS-P 단일심사로 진행 가능
- ISMS 의무인증 범위에 대해서는 ISMS 인증을 신청하고 일부 서비스에 대해서는 개인정보 영역을 포함한 ISMS-P 인증을 신청하여 2개의 인증심사 동시에 진행하는 것도 가능