정보보호 및 개인정보보호관리체계 인증: Difference between revisions
From IT위키
No edit summary |
No edit summary |
||
| Line 1: | Line 1: | ||
[[분류:개인정보보호]][[분류:컴플라이언스]][[분류:인증/평가]] | [[분류:개인정보보호]] | ||
[[분류:컴플라이언스]] | |||
[[분류:인증/평가]] | |||
;ISMS-P; Personal Information & Information Security Management System | ;ISMS-P; Personal Information & Information Security Management System | ||
;정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도 | ;정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도 | ||
* [[ISMS]](정보보호 관리체계 인증)와 PIMS(개인정보보호 관리체계 인증)의 중복을 해소하고자 만들어진 통합인증 제도 | *[[ISMS]](정보보호 관리체계 인증)와 PIMS(개인정보보호 관리체계 인증)의 중복을 해소하고자 만들어진 통합인증 제도 | ||
== 근거 법령 == | ==근거 법령== | ||
{| class="wikitable" | {| class="wikitable" | ||
! | !구분 | ||
! 과학기술정보통신부 | !과학기술정보통신부 | ||
! | !행정안전부 | ||
|- | |||
|근거법령 | |||
|정보통신망법 제47조 | |||
|개인정보보호법 | |||
|- | |||
|법률 | |||
|제47조와 제47조의2 | |||
|제32조의2 | |||
|- | |- | ||
| | |시행령 | ||
| | |제47조부터 제54조 | ||
| | |제34조의2부터 제34조의8 | ||
|- | |- | ||
| | |시행규칙 | ||
| | |시행규칙 제3조 | ||
| | | - | ||
|- | |- | ||
| 고시 | |대상 | ||
| colspan=" | |정보보호관리체계(ISMS) | ||
|개인정보보호 관리체계(PIMS) | |||
|- | |||
|고시 | |||
| colspan="2" |정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(ISMS-P) | |||
|} | |} | ||
[[파일:ISMS-P 법령-고시와의 관계.png|600x600픽셀]] | |||
== 인증 체계 == | == 추진 경과 == | ||
[[파일:ISMS-P 인증제도 추진경과.png|750x750픽셀]] | |||
* '''(2001년 7월 시행)''' 정보보호 관리체계(이하 ‘ISMS’) 인증제도는 국내 기업 스스로 정보보호 관리체계를 구축·운영 하는데 활용할 수 있도록 관리체계 모델을 개발하고, 「정보통신망법」 개정을 통하여 도입 | |||
* '''(2013년 2월 시행)''' 개인정보보호 관리체계(이하 ‘PIMS’) 인증제도는 2010년 11월, 방송통신위원회 의결 (제2010-66-273호)로 2011년부터 주요 정보통신서비스 제공 사업자 대상으로 인증심사를 우선 시행하였으며, 이후 PIMS 인증제도의 법률적 근거를 마련 | |||
* '''(2013년 2월 시행)''' 정보통신망서비스제공자(ISP), 집적정보통신시설(IDC)사업자, 정보통신서비스제공자 중 매출액, 이용자 수 등 일정 기준에 해당하는 기업들은 ISMS 인증을 의무적으로 받도록 「정보통신망법」 개정 | |||
* '''(2013년 11월 시행)''' 「개인정보 보호법」 개정을 통해 개인정보보호 인증(PIPL, Personal Information Protection Level) 제도 시행의 법적 근거 마련 | |||
* '''(2014년 ~ 2015년)''' 인증 의무제도 시행 이후 인증 대상 기업이 늘어남에 따라 한국정보통신진흥협회(KAIT, 2014년 4월), 한국정보통신기술협회(TTA, 2015년 2월)를 ISMS 심사기관으로, 금융보안원(FSI, 2015년 7월)을 ISMS 인증기관으로 추가 지정 | |||
* '''(2016년 1월 시행)''' 개인정보보호 관련 인증제도의 이원화 운영에 따른 기업의 혼란 해소를 위해 행정안전부와 방송통신 위원회가 공동고시를 마련하여 개인정보보호 인증(PIPL) 제도와 PIMS 인증제도를 통합 | |||
* '''(2016년 6월 시행)''' 정보통신망에 대한 의존도가 높고 개인정보 등 다량의 민감정보를 다루는 기관들이 ISMS 인증대상 에서 제외되는 문제를 해결하기 위해 연간 매출액 또는 세입 등이 1,500억 원 이상인 자 중 일정 요건에 해당하는 기업들이 인증 의무대상에 포함되도록 「정보통신망법」 개정 | |||
* '''(2018년 11월 시행)''' 정보보호 및 개인정보보호 영역에서 각각의 인증제도 운영에 따른 기업의 혼란 해소 및 융합·고도화 되는 침해위협에 효과적으로 대응하기 위해 과학기술정보통신부와 행정안전부 및 방송통신위원회가 공동고시를 마련하여 ISMS 인증제도와 PIMS 인증제도를 통합 | |||
* '''(2020년 8월)''' 행정안전부, 방송통신위원회로 분산되어 있던 개인정보보호 기능이 개인정보보호위원회로 일원화 됨에 따라 인증제도 소관부처가 과학기술정보통신부와 개인정보보호위원회로 변경 | |||
==인증 체계== | |||
{| class="wikitable" | {| class="wikitable" | ||
! rowspan="2" | 정책기관 | ! rowspan="2" |정책기관 | ||
! colspan=" | ! colspan="2" |정책협의회 | ||
|- | |- | ||
| 과학기술정보통신부 | |과학기술정보통신부 | ||
|행정안전부 | |||
| 행정안전부 | |||
|- | |- | ||
! rowspan="2" | 운영기관 | ! rowspan="2" |운영기관 | ||
! colspan=" | ! colspan="2" |한국인터넷진흥원 | ||
|- | |- | ||
| colspan=" | | colspan="2" |제도 운영 및 인증품질관리 | ||
신규·특수 분야 인증심사 | 신규·특수 분야 인증심사 | ||
인증서 발급 | 인증서 발급 | ||
인증심사원 양성 및 자격관리 | 인증심사원 양성 및 자격관리 | ||
|- | |- | ||
! rowspan="2" | 인증기관 | ! rowspan="2" |인증기관 | ||
! colspan=" | ! colspan="2" |한국인터넷진흥원, 금융보안원 | ||
|- | |- | ||
| colspan=" | | colspan="2" |인증심사 수행 | ||
인증서 발급 | 인증서 발급 | ||
|- | |- | ||
! 심사기관 | !심사기관 | ||
| colspan=" | | colspan="2" |인증심사 수행 | ||
|} | |} | ||
== 인증 기준 == | ==인증 기준== | ||
* 관리체계 수립 및 운영 16개 | |||
* 보호대책 요구사항 64개 | *관리체계 수립 및 운영 16개 | ||
* 개인정보 처리단계별 요구사항 22개 | *보호대책 요구사항 64개 | ||
*개인정보 처리단계별 요구사항 22개 | |||
Revision as of 17:49, 21 February 2022
- ISMS-P; Personal Information & Information Security Management System
- 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
- ISMS(정보보호 관리체계 인증)와 PIMS(개인정보보호 관리체계 인증)의 중복을 해소하고자 만들어진 통합인증 제도
근거 법령
| 구분 | 과학기술정보통신부 | 행정안전부 |
|---|---|---|
| 근거법령 | 정보통신망법 제47조 | 개인정보보호법 |
| 법률 | 제47조와 제47조의2 | 제32조의2 |
| 시행령 | 제47조부터 제54조 | 제34조의2부터 제34조의8 |
| 시행규칙 | 시행규칙 제3조 | - |
| 대상 | 정보보호관리체계(ISMS) | 개인정보보호 관리체계(PIMS) |
| 고시 | 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(ISMS-P) | |
추진 경과
- (2001년 7월 시행) 정보보호 관리체계(이하 ‘ISMS’) 인증제도는 국내 기업 스스로 정보보호 관리체계를 구축·운영 하는데 활용할 수 있도록 관리체계 모델을 개발하고, 「정보통신망법」 개정을 통하여 도입
- (2013년 2월 시행) 개인정보보호 관리체계(이하 ‘PIMS’) 인증제도는 2010년 11월, 방송통신위원회 의결 (제2010-66-273호)로 2011년부터 주요 정보통신서비스 제공 사업자 대상으로 인증심사를 우선 시행하였으며, 이후 PIMS 인증제도의 법률적 근거를 마련
- (2013년 2월 시행) 정보통신망서비스제공자(ISP), 집적정보통신시설(IDC)사업자, 정보통신서비스제공자 중 매출액, 이용자 수 등 일정 기준에 해당하는 기업들은 ISMS 인증을 의무적으로 받도록 「정보통신망법」 개정
- (2013년 11월 시행) 「개인정보 보호법」 개정을 통해 개인정보보호 인증(PIPL, Personal Information Protection Level) 제도 시행의 법적 근거 마련
- (2014년 ~ 2015년) 인증 의무제도 시행 이후 인증 대상 기업이 늘어남에 따라 한국정보통신진흥협회(KAIT, 2014년 4월), 한국정보통신기술협회(TTA, 2015년 2월)를 ISMS 심사기관으로, 금융보안원(FSI, 2015년 7월)을 ISMS 인증기관으로 추가 지정
- (2016년 1월 시행) 개인정보보호 관련 인증제도의 이원화 운영에 따른 기업의 혼란 해소를 위해 행정안전부와 방송통신 위원회가 공동고시를 마련하여 개인정보보호 인증(PIPL) 제도와 PIMS 인증제도를 통합
- (2016년 6월 시행) 정보통신망에 대한 의존도가 높고 개인정보 등 다량의 민감정보를 다루는 기관들이 ISMS 인증대상 에서 제외되는 문제를 해결하기 위해 연간 매출액 또는 세입 등이 1,500억 원 이상인 자 중 일정 요건에 해당하는 기업들이 인증 의무대상에 포함되도록 「정보통신망법」 개정
- (2018년 11월 시행) 정보보호 및 개인정보보호 영역에서 각각의 인증제도 운영에 따른 기업의 혼란 해소 및 융합·고도화 되는 침해위협에 효과적으로 대응하기 위해 과학기술정보통신부와 행정안전부 및 방송통신위원회가 공동고시를 마련하여 ISMS 인증제도와 PIMS 인증제도를 통합
- (2020년 8월) 행정안전부, 방송통신위원회로 분산되어 있던 개인정보보호 기능이 개인정보보호위원회로 일원화 됨에 따라 인증제도 소관부처가 과학기술정보통신부와 개인정보보호위원회로 변경
인증 체계
| 정책기관 | 정책협의회 | |
|---|---|---|
| 과학기술정보통신부 | 행정안전부 | |
| 운영기관 | 한국인터넷진흥원 | |
| 제도 운영 및 인증품질관리
신규·특수 분야 인증심사 인증서 발급 인증심사원 양성 및 자격관리 | ||
| 인증기관 | 한국인터넷진흥원, 금융보안원 | |
| 인증심사 수행
인증서 발급 | ||
| 심사기관 | 인증심사 수행 | |
인증 기준
- 관리체계 수립 및 운영 16개
- 보호대책 요구사항 64개
- 개인정보 처리단계별 요구사항 22개
