ISMS-P 인증 기준
From IT위키
Revision as of 23:42, 31 January 2024 by 61.77.208.197 (talk) (→인증유형에 따른 인증기준: 3.4 개인정보 파기 시 보호조치 항목 수 3 -> 2)
- 상위 문서: 정보보호 및 개인정보보호관리체계 인증
ISMS-P 인증기준은 1.관리체계 수립 및 운영(16개), 2.보호대책 요구사항(64개), 3.개인정보 처리 단계별 요구사항(21개)으로 구성
구성[edit | edit source]
- 관리체계 수립 및 운영
- 요구사항 개수: 16개
- 관리체계의 메인프레임으로서 전반적인 관리체계 운영 라이프사이클을 구성
- 보호대책 요구사항
- 요구사항 개수: 64개
- 총 12개 분야에 대한 인증기준
- 정책, 조직, 자산, 교육 등 관리적 부문과 개발, 접근통제, 운영·보안관리 등 물리적·기술적 부문의 보호대책에 관한 사항으로 구성
- 개인정보 처리 단계별 요구사항
- 요구사항 개수: 21개
- 개인정보 생명주기에 따른 보호조치 사항으로 구성
인증유형에 따른 인증기준[edit | edit source]
ISMS, ISMS-P 인증의 구분에 따라 인증심사 시 주안점에 차이가 있으므로, 아래의 예시를 참고하여 관리체계 수립 필요
- 단, ISMS 인증을 취득하고자 하는 신청기관의 경우에도 개인정보보호와 관련한 법적요구사항을 준수하여 개인정보를 안전하게 관리·운영 필요
| 인증 영역 | 인증기준 | 항목 수 | 적용 여부 | |
|---|---|---|---|---|
| ISMS | ISMS-P | |||
| 관리체계
수립 및 운영 |
1.1 관리체계 기반마련 | 6 | ○ | ○ |
| 1.2 위험 관리 | 4 | ○ | ○ | |
| 1.3 관리체계 운영 | 3 | ○ | ○ | |
| 1.4 관리체계 점검 및 개선 | 3 | ○ | ○ | |
| 보호대책
요구사항 |
2.1 정책, 조직, 자산관리 | 3 | ○ | ○ |
| 2.2 인적 보안 | 6 | ○ | ○ | |
| 2.3 외부자 보안 | 4 | ○ | ○ | |
| 2.4 물리 보안 | 7 | ○ | ○ | |
| 2.5 인증 및 권한 관리 | 6 | ○ | ○ | |
| 2.6 접근통제 | 7 | ○ | ○ | |
| 2.7 암호화 적용 | 2 | ○ | ○ | |
| 2.8 정보시스템 도입 및 개발보안 | 6 | ○ | ○ | |
| 2.9 시스템 및 서비스 운영관리 | 7 | ○ | ○ | |
| 2.10 시스템 및 서비스 보안관리 | 9 | ○ | ○ | |
| 2.11 사고 예방 및 대응 | 5 | ○ | ○ | |
| 2.12 재해복구 | 2 | ○ | ○ | |
| 개인정보 처리
단계별 요구사항 |
3.1 개인정보 수집 시 보호조치 | 7 | - | ○ |
| 3.2 개인정보 보유 및 이용 시 보호조치 | 5 | - | ○ | |
| 3.3 개인정보 제공 시 보호조치 | 4 | - | ○ | |
| 3.4 개인정보 파기 시 보호조치 | 2 | - | ○ | |
| 3.5 정보주체 권리보호 | 3 | - | ○ | |
| 합계 | 101 | 80 | 101 | |
인증의 구분에 따른 심사 주안점 차이[edit | edit source]
| 항목 | 인증기준 | ISMS 심사 주안점 | ISMS-P 심사 주안점 |
|---|---|---|---|
| 1.1.2 최고 책임자 지정 | 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인 정보보호책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다. | 정보보호 최고책임자 지정에 대해 확인 | 정보보호 최고책임자, 개인정보보호 책임자 지정에 대해 확인 |
| 1.1.3 조직 구성 | 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다. | 정보보호 관련 조직 구성 및 운영 현황에 대해 확인 | 정보보호와 개인정보보호 관련 조직 구성 및 운영 현황에 대해 확인 |
| 1.2.1 정보자산 식별 | 조직의 업무특성에 따라 정보자산 분류 기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. | 정보자산 식별·분류의 기준 및 현황에 대해 확인 | 정보자산 식별·분류의 기준 및 현황에 대해 확인하며, 정보자산 중 개인정보 현황 및 분류기준을 필수로 확인 |
| 1.2.2 현황 및 흐름분석 | 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. | 정보서비스의 처리에 관한 현황 및 흐름분석 | 정보서비스 및 개인정보처리에 관한 현황 및 흐름분석 |
