ISMS-P(Information Security Management System & Personal Information Protection)

by

ISMS-P(Information Security Management System & Personal Information Protection)는 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합한 한국의 인증 제도입니다. 이는 기업이나 기관이 정보보호 및 개인정보보호를 적절히 관리하고 있는지를 평가하여 인증을 부여하는 제도입니다.

ISMS-P는 ISMS와 PIMS가 합쳐지며 탄생한 인증 제도입니다. 서로 필요에 의해 보완이 되다 하나로 합쳐졌으며, 맨 아래쪽에 설명을 추가했으니 꼭 읽어보시기 바랍니다.

ISMS-P 개요

  • 목적: 기업 및 기관의 정보보호 및 개인정보보호 수준을 체계적으로 관리하고 이를 인증
  • 관리 대상: 정보보호(ISMS)와 개인정보보호(PIMS)를 동시에 다룸
  • 법적 근거:
    • 「개인정보 보호법」 제32조(개인정보 영향평가)
    • 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조(정보보호 관리체계의 인증)
    • 「전자금융거래법」 제21조(전자금융업자의 정보보호 및 안전성 확보)

ISMS-P 인증 대상

  1. 정보통신서비스 제공자: 일정 규모 이상의 정보통신서비스 사업자(연 매출 100억 원 이상 또는 100만 명 이상의 이용자 보유)
  2. 공공기관: 중앙행정기관, 지자체 등
  3. 일반 기업: 개인정보를 대량으로 처리하는 기업 및 단체

ISMS-P 인증 요건

  • 관리체계 요구사항(16개 항목)
    • 관리적 보호 조치 (정보보호 정책, 조직 구성 등)
    • 물리적 보호 조치 (출입 통제, 보안 구역 관리 등)
    • 기술적 보호 조치 (암호화, 접근 통제 등)
  • 정보보호 요구사항(64개 항목)
    • 정보보호 정책 및 조직 운영
    • 접근제어, 암호화 및 보안 솔루션 운영
  • 개인정보보호 요구사항(22개 항목)
    • 개인정보 처리 및 파기
    • 개인정보 영향평가 및 안전성 확보 조치

ISMS-P 인증의 장점

  • 보안 및 개인정보보호 수준 향상
  • 법적 요구사항 준수(법적 의무 준수 시 과태료 회피 가능)
  • 기업의 신뢰도 및 브랜드 이미지 강화
  • 정보 유출 사고 예방 및 보안 사고 대응 능력 향상

ISMS-P vs ISMS 차이점

항목ISMSISMS-P
적용 범위정보보호정보보호 + 개인정보보호
대상모든 기업, 기관개인정보를 다루는 기업, 기관
관리체계 요구사항있음있음
정보보호 요구사항있음있음
개인정보보호 요구사항없음있음

ISMS-P는 개인정보보호 요건이 추가되었기 때문에, 개인정보를 많이 처리하는 기업이나 기관이라면 ISMS가 아닌 ISMS-P 인증을 받는 것이 일반적입니다.

ISMS-P 인증 절차

  1. 사전 준비: 내부 정책 및 보안 수준 점검
  2. 심사 신청: 한국인터넷진흥원(KISA) 또는 지정된 인증기관에 신청
  3. 심사 수행:
    • 문서 심사 (보안정책 및 절차 검토)
    • 현장 심사 (실제 운영 실태 점검)
  4. 인증 심사 결과 검토 및 인증 결정
  5. 사후 관리: 인증 후 정기 심사 및 갱신(3년 주기)

ISMS-P 인증 기관

  • 한국인터넷진흥원(KISA)
  • 한국정보통신진흥협회(KAIT)
  • 한국산업기술시험원(KTL)

ISMS-P 명칭의 유래

  1. ISMS(Information Security Management System, 정보보호 관리체계)
    • 정보 보호의 체계적인 관리를 목적으로 하는 국제 및 국내 표준 관리체계에서 유래
    • 기존 ISMS는 기업 및 기관이 정보 자산을 보호하고, 정보 보안 위험을 최소화하는 데 중점을 둠
  2. PIMS(Personal Information Management System, 개인정보보호 관리체계)
    • 개인정보의 안전한 보호 및 관리체계를 의미
    • 개인정보 보호법에 따른 개인정보 처리 기업 및 기관이 준수해야 할 사항을 포함
    • 과거 한국에서 별도로 운영되던 PIMS 인증이 있었음
  3. ISMS-P의 탄생 (ISMS + PIMS 통합)
    • 2018년, 한국인터넷진흥원(KISA) 주도로 ISMS(정보보호 관리체계)와 PIMS(개인정보보호 관리체계)가 통합
    • 정보보호(ISMS)와 개인정보보호(PIMS)를 동시에 관리하는 인증으로 발전
    • 여기서 P는 Personal Information Protection(개인정보 보호)를 의미
    • 공식 명칭: Information Security Management System & Personal Information Protection
    • ISMS-P라는 새로운 명칭이 탄생

ISMS-P 이름의 의미 정리

  • ISMS: 정보보호 관리체계
  • PIMS: 개인정보보호 관리체계
  • ISMS-P: 두 개의 관리체계를 하나로 묶은 정보보호 및 개인정보보호 통합 인증 체계

즉, ISMS-P는 기존 ISMS와 PIMS의 인증 체계를 합쳐 정보보호와 개인정보보호를 모두 관리하는 인증 제도라는 의미를 담고 있습니다.

Leave a Comment