◇통합 인증 ISMS-P란
통합에 따라 기업은 80개 보안 항목을 기본으로 'ISMS 인증'을 받는다. 여기에 추가 신청해서 20개 개인 정보 보호 항목까지 인증 받으면 'ISMS-P(가칭)' 인증이 된다. 본래 ISMS 의무화 기업은 80개 항목만 받으면 된다. 개인 정보 보호까지 더욱 강화된 인증을 받고 싶은 기업은 20개를 추가해서 ISMS-P를 받는다.
(http://www.etnews.com/20180117000201)
■ ISMS-P 인증기준 세부점검항목(2018.11.04)
1. 관리체계 수립 및 운영(16개) / 세부항목(42개)
1.1 관리체계 기반 마련
1.2 위험 관리
1.3 관리체계 운영
1.4 관리체계 점검 및 개선
2. 보호대책 요구사항(64개) / 세부항목(192개)
2.1 정책, 조직, 자산 관리
2.2 인적 보안
2.3 외부자 보안
2.4 물리 보안
2.5 인증 및 권한관리
2.6 접근통제
2.7 암호화 적용
2.8 정보시스템 도입 및 개발 보안
2.9 시스템 및 서비스 운영관리
2.10 시스템 및 서비스 보안관리
2.11 사고 예방 및 대응
2.12 재해복구
3. 개인정보 처리단계별 요구사항(22개) / 세부항목(91개)
3.1 개인정보 수집 시 보호조치
3.2 개인정보 보유 및 이용 시 보호조치
3.3 개인정보 제공 시 보호조치
3.4 개인정보 파기 시 보호조치
3.5 정보주체 권리보호
정보보호 및 개인정보보호 관리체계 인증제도(ISMS-P)
정보보호·개인정보보호 관리체계 통합인증, ‘ISMS-P’ 시행 속도낸다
기존의 ISMS 인증기준 104개, PIMS 인증기준 86개를 통합, ISMS-P 인증기준은 102개로 일원화된다. 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리단계별 요구사항 3개 영역으로 구분된다.
인증체계는 기본 80개 보안항목으로 ISMS 인증을 실시하되, 추가로 22개 개인정보 항목까지 인증 받으면 ISMS-P 인증을 부여키로 했다.
방통위와 행안부, 과기정통부가 참여하는 협의회를 구성해 인증·심사기관 지정 등 제도 전반에 관한 정책사항 등을 결정하며 부처 공동의 지정서를 발급해 운영·관리를 일원화한다.
(https://byline.network/2018/07/4-21/)
정보보안과 개인정보보호 제도간 연계성 강화 및 기업부담 완화 기대
▲ 통합 정보보호 인증 단일화
(http://www.pedien.com/news/articleView.html?idxno=195)
정보보호-개인정보보호 인증 통합 시행
- ISMS 인증-PIMS 인증 통합 고시 11월 7일 시행 -
정보보호 관리체계(ISMS) 인증*과 개인정보보호 관리체계(PIMS) 인증**을 통합한 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’ 가 11월 7일부터 시행된다.
* 정보보호 관리체계(Information Security Management System) 인증 : 정보보호 관리과정, 보안대책 등 정보보호 관리체계의 적정성을 심사하여 인증하는 제도
** 개인정보보호 관리체계(Personal Information Security Mamagement System) 인증 : 개인정보의 수집‧이용‧파기 등 개인정보보호 관리체계의 적정성을 심사하여 인증하는 제도
행정안전부(장관 김부겸), 과학기술정보통신부(장관 유영민), 방송통신위원회(위원장 이효성)는 ISMS 인증과 PIMS 인증 통합을 위한 고시 안을 마련하여 행정예고(9월 10일~10월 1일)를 거쳤고, 제출된 의견을 일부 반영하여 최종 시행안을 마련하였다.
이번 개정은 중복 인증으로 인한 부담 완화가 필요하다는 업계의 의견을 고려하여 기존 두 인증간 인증체계, 인증기준, 인증․심사기관 등 제도 전반의 실질적인 통합을 이루기 위한 것으로, 기업들은 새롭게 개편된 102개 통합 인증기준 중 정보보호 관련 80개 인증항목으로 기본적인‘정보보호 관리체계(ISMS) 인증’을 받을 수 있고, 개인정보 관련 22개 인증항목을 추가하면 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’ 인증도 받을 수 있다.
다만, 기존 인증기준으로 인증을 준비하던 기업들은 고시 시행 후 6개월까지는 개정 이전의 인증기준에 따라 기존 인증·심사기관에서 심사를 받을 수 있으며, 기존 인증기준에 따라 인증을 취득한 경우에는 인증 유효기간까지 기존 인증기준으로 사후심사를 받을 수 있다.
기존 인증기관 및 심사기관은 유효기간 내에 새로운 기준에 맞춰 지정 심사를 다시 받게 되며, 인증심사원도 변경된 인증기준으로 심사에 참여하기 위해서는 유효기간 내에 전환교육을 이수해야 한다.
* ISMS 인증기준 : 80개(관리체계 수립 운영 16개 + 보호대책 요구사항 64개)
ISMS-P 인증기준 : 101개(ISMS 인증기준 80개 + 개인정보 요구사항 21개)
https://www.digitaltoday.co.kr/news/articleView.html?idxno=526466
'03.Security' 카테고리의 다른 글
정보보안 - 보안관제, 침해사고 대응 - 정보통신망법 및 시행령 개정 (0) | 2024.08.15 |
---|---|
정보보안 - 정보보안/정보보호 인증 - ISMS-P 간편인증 (1) | 2024.08.03 |
SAML(Single Assertion Markup Language) (0) | 2024.07.29 |
사회공학 - 피싱 (Phishing) - 크라우드 스트라이크 (CrowdStrike) (2) | 2024.07.22 |
디지털 저작권 관리 기술 - AI 워터마킹 (0) | 2024.07.17 |