[정보보호] ISMS-P 인증제도의 구성

본 포스팅은 한국인터넷진흥원에서 발간된 '정보보호 및 개인정보보호 관리체계 인증기준 안내서'를 바탕으로 작성되었습니다.

 ISMS-P 인증제도란?

  정보통신망의 안정성 확보를 위해 수립해야 하는 기술적, 물리적, 관리적 보호조치 등 정보보호 관리체계에 대한 인증제도이다. 정보통신망법 제47조 및 개인정보 보호법 제32조의 2에 법적 근거를 두고 있으며, 3가지 영역 (관리체계 수립 및 운영, 보호대책 요구사항, 개인정보처리 단계별 요구사항) 총 102개의 인증기준 충족해야 한다.

 인증 의무대상자(정보통신망법 제47조 2항)

구분	의무대상자 기준
ISP (Internet Service Provider)	「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 ex) KT, SKT, LG U+ 등
IDC (Internet Data Center)	「정보통신망법」 제46조에 따른 집적정보통신시설 사업자 ex) KT Cloud, NHN Cloud 등
매출액 또는 이용자수 조건	연간 매출액 또는 세입이 1,500억원 이상인 자 중에서    - 「의료법」 제3조의 4에 따른 상급종합병원    -  직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
	정보통신서비스 부문 전년도 매출액이 100억원 이상인 자
	전년도 직전 3개월간 정보통신서비스 일일평균 이용자수가 100만명 이상인 자

 인증기준 구성

정보보호 및 개인정보보호 관리체계 인증기준 안내서, 2022

1. 관리체계 수립 및 운영

관리체계 기반 마련, 위험 관리, 관리체계 운영, 관리체계 점검 및 개선의 4개 분야 16개 인증으로 구성된다. 이러한 관리체계 수립 및 운영은 지속적이고 반복적으로 실행되어야 한다.

1.1 관리체계 기반 마련

 1.1.1 경영진의 참여

 1.1.2 최고책임자의 지정

 1.1.3 조직 구성

 1.1.4 범위 설정

 1.1.5 정책 수립

 1.1.6 자원 할당

1.2 위험관리

 1.2.1 정보자산 식별

 1.2.2 현황 및 흐름분석

 1.2.3 위험 평가

 1.2.4 보호대책 선정

1.3 관리체계 운영

 1.3.1 보호대책 구현

 1.3.2 보호대책 공유

 1.3.3 운영현황 관리

1.4 관리체계 점검 및 개선

1.4.1 법적 요구사항 준수 검토

1.5.1 관리체계 점검

1.4.3 관리체계 개선

2. 보호대책 요구사항

보호대책 요구사항은 12개 분야 64개 인증기준으로 구성된다. 신청기관은 관리체계 수립 운영과정에서 수행한 위험평가 결과와 조직의 서비스 및 정보시스템 특성 등을 반영하여 체계적으로 보호대책을 수립 이행해야 한다.

2.1 정책, 조직, 자산 관리

2.1.1 정책의 유지관리

2.1.2 조직의 유지관리

2.1.3 정보자산 관리

2.2 인적 보안

2.2.1 주요 직무자 지정 및 관리

2.2.2 직무 분리

2.2.3 보안 서약

2.2.4 인식 제고 및 교육훈련

2.2.5 퇴직 및 직무 변경 관리

2.2.6 보안 위반 시 조치

2.3 외부자 보안

2.3.1 외부자 현환 관리

2.3.2 외부자 계약 시 보안

2.3.3. 외부자 보안 이행 관리

2.3.4 외부자 계약 변경 및 만료 시 보안

2.4 물리 보안

2.4.1 보호구역 지정

2.4.2 출입통제

2.4.3 정보시스템 보호

2.4.4 보호설비 운영

2.4.5 보호구역 내 작업

2.4.6 반출입 기기 통제

2.4.7 업무환경 보안

2.5 인증 및 권한 관리 (이후 기술적 보안요건 매칭 多)

2.5.1 사용자 계정 관리

2.5.2 사용자 식별

2.5.3 사용자 인증

2.5.4 비밀번호 관리

2.5.5 특수 계정 및 권한 고나리

2.5.6 접근권한 검토

2.6 접근통제

2.6.1 네트워크 접근

2.6.2 정보 세스템 접근

2.6.3 응용프로그램 접근

2.6.4 데이터베이스 접근

2.6.5 무선 네트워크 접근

2.6.6 원격 접근 통제

2.6.7 인터넷 접속 통제

2.7 암호화 적용

2.7.1 암호정책 적용

2.7.2 암호키 관리

2.8 정보시스템 도입 및 개발 보안

2.8.1 보안 요구사항 정의

2.8.2 보안 요구사항 검토 및 시험

2.8.3 시험과 운영 환경 분리

2.8.4 시험 데이터 보안

2.8.5 소스 프로그램 관리

2.8.6 운영환경 이관

2.9 시스템 및 서비스 운영관리

2.9.1 변경관리

2.9.2 성능 및 장애 관리

2.9.3 백업 및 복구 관리

2.9.4 로그 및 접속기록 관리

2.9.5 로그 및 접속기록 점검

2.9.6 시간 동기화

2.9.7 정보자산의 재사용 및 폐기

2.10 시스템 및 서비스 보안관리

2.10.1 보안시스템 운영

2.10.2 클라우드 보안

2.10.3 공개서버 보안

2.10.4 전자거래 및 핀테크 보안

2.10.5 정보 전송 보안

2.10.6 업무용 단말기기 보안

2.10.7 보조 저장매체 관리

2.10.8 패치 관리

2.10.9 악성코드 통제

2.11 사고 예방 및 대응

2.11.1 사고 예방 및 대응체계 구축

2.11.2 취약점 점검 및 조치

2.11.3 이상행위 분석 및 모니터링

2.11.4 사고 대응 훈현 및 개선

2.11.5 사고 대응 및 복구

2.12 재해 복구

2.12.1 재해, 재난 대비 안전조치

2.12.2 재해 복구 시험 및 개선

 

3. 개인정보 처리 단계별 요구사항

개인정보 생명주기에 따른 개인정보 수집 시 보호조치, 개인정보 보유 및 이용 시 보호조치, 개인정보 제공 시 보호조치, 개인정보 파기 시 보호조치와 정보주체 권리보호를 포함하여 5개 분야 22개의 인증기준으로 구성되어 있다.

3.1 개인정보 수집 시 보호조치

3.1.1 개인정보 수집 제한

3.1.2 개인정보의 수집 동의

3.1.3 주민등록번호 처리 제한

3.1.4 민감정보 및 고유 식별정보의 처리제한

3.1.5 간접 수집 보호조치

3.1.6 영상정보처리기기 설치, 운영

3.1.7 홍보 및 마케팅 목적 활용 시 조치

3.2 개인정보 보유 및 이용 시 보유 조치

3.2.1 개인정보 현황 관리

3.2.2 개인정보 품질보장

3.2.3 개인정보 표시제한 및 이용 시 보호조치

3.2.4 이용자 단말기 접근 보호

3.2.5 개인정보 목적 외 이용 및 제공

3.3 개인정보 제공 시 보호조치

3.3.1 개인정보 제3자 제공

3.3.2 업무 위탁에 따른 정보주체 고지

3.3.3 영업의 영수 등에 따른 개인정보의 이전

3.3.4 개인정보의 국외 이전

3.4 개인정보 파기 시 보호조치

3.4.1 개인정보의 파기

3.4.2 처리 목적 달성 후 보유 시 조치

3.4.3 휴면 이용자 관리

3.5 정보주체 권리보호

3.5.1 개인정보처리 방침 공개

3.5.2 정보주체 권리보장

3.5.3 이용내역 통지

---

참고자료

• '정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 안내서', 2022, 한국인터넷진흥원
• 인증대상, KISA 정보보호 및 개인정보보호관리체계 인증