ISMS-P(Information Security Management System & Personal Information Protection)는 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합한 한국의 인증 제도 입니다. 이는 기업이나 기관이 정보보호 및 개인정보보호를 적절히 관리하고 있는지를 평가하여 인증을 부여하는 제도입니다.
ISMS-P는 ISMS와 PIMS가 합쳐지며 탄생한 인증 제도입니다. 서로 필요에 의해 보완이 되다 하나로 합쳐졌으며, 맨 아래쪽에 설명을 추가했으니 꼭 읽어보시기 바랍니다.
ISMS-P 개요
목적 : 기업 및 기관의 정보보호 및 개인정보보호 수준을 체계적으로 관리 하고 이를 인증관리 대상 : 정보보호(ISMS)와 개인정보보호(PIMS)를 동시에 다룸법적 근거 :
「개인정보 보호법」 제32조(개인정보 영향평가)
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조(정보보호 관리체계의 인증)
「전자금융거래법」 제21조(전자금융업자의 정보보호 및 안전성 확보)
ISMS-P 인증 대상
정보통신서비스 제공자 : 일정 규모 이상의 정보통신서비스 사업자(연 매출 100억 원 이상 또는 100만 명 이상의 이용자 보유)공공기관 : 중앙행정기관, 지자체 등일반 기업 : 개인정보를 대량으로 처리하는 기업 및 단체
ISMS-P 인증 요건
관리체계 요구사항(16개 항목)
관리적 보호 조치 (정보보호 정책, 조직 구성 등)
물리적 보호 조치 (출입 통제, 보안 구역 관리 등)
기술적 보호 조치 (암호화, 접근 통제 등)
정보보호 요구사항(64개 항목)
정보보호 정책 및 조직 운영
접근제어, 암호화 및 보안 솔루션 운영
개인정보보호 요구사항(22개 항목)
개인정보 처리 및 파기
개인정보 영향평가 및 안전성 확보 조치
ISMS-P 인증의 장점
보안 및 개인정보보호 수준 향상
법적 요구사항 준수(법적 의무 준수 시 과태료 회피 가능)
기업의 신뢰도 및 브랜드 이미지 강화
정보 유출 사고 예방 및 보안 사고 대응 능력 향상
ISMS-P vs ISMS 차이점 항목 ISMS ISMS-P 적용 범위 정보보호 정보보호 + 개인정보보호 대상 모든 기업, 기관 개인정보를 다루는 기업, 기관 관리체계 요구사항 있음 있음 정보보호 요구사항 있음 있음 개인정보보호 요구사항 없음 있음
ISMS-P는 개인정보보호 요건이 추가되었기 때문에, 개인정보를 많이 처리하는 기업이나 기관 이라면 ISMS가 아닌 ISMS-P 인증을 받는 것이 일반적입니다.
ISMS-P 인증 절차 사전 준비 : 내부 정책 및 보안 수준 점검심사 신청 : 한국인터넷진흥원(KISA) 또는 지정된 인증기관에 신청심사 수행 : 문서 심사 (보안정책 및 절차 검토) 현장 심사 (실제 운영 실태 점검) 인증 심사 결과 검토 및 인증 결정 사후 관리 : 인증 후 정기 심사 및 갱신(3년 주기) ISMS-P 인증 기관 한국인터넷진흥원(KISA) 한국정보통신진흥협회(KAIT) 한국산업기술시험원(KTL) ISMS-P 명칭의 유래 ISMS(Information Security Management System, 정보보호 관리체계) 정보 보호의 체계적인 관리 를 목적으로 하는 국제 및 국내 표준 관리체계에서 유래기존 ISMS는 기업 및 기관이 정보 자산을 보호 하고, 정보 보안 위험을 최소화 하는 데 중점을 둠 PIMS(Personal Information Management System, 개인정보보호 관리체계) 개인정보의 안전한 보호 및 관리체계를 의미 개인정보 보호법에 따른 개인정보 처리 기업 및 기관 이 준수해야 할 사항을 포함과거 한국에서 별도로 운영되던 PIMS 인증 이 있었음 ISMS-P의 탄생 (ISMS + PIMS 통합) 2018년, 한국인터넷진흥원(KISA) 주도로 ISMS(정보보호 관리체계)와 PIMS(개인정보보호 관리체계)가 통합 됨 정보보호(ISMS)와 개인정보보호(PIMS)를 동시에 관리하는 인증 으로 발전여기서 P는 Personal Information Protection(개인정보 보호)를 의미 공식 명칭: Information Security Management System & Personal Information Protection ISMS-P 라는 새로운 명칭이 탄생 ISMS-P 이름의 의미 정리 ISMS : 정보보호 관리체계PIMS : 개인정보보호 관리체계ISMS-P : 두 개의 관리체계를 하나로 묶은 정보보호 및 개인정보보호 통합 인증 체계 즉, ISMS-P는 기존 ISMS와 PIMS의 인증 체계를 합쳐 정보보호와 개인정보보호를 모두 관리하는 인증 제도 라는 의미를 담고 있습니다.