1 ISMS-P란?
- ISMS-P : Personal information & Information Security Management System
- 개인정보보호 관리체계 인증(PIMS)'과 '정보보호 관리체계 인증(ISMS)'를 통합한 제 '통합인증제도'
- 법적 근거 : 개인정보보호법 제32조의2(개인정보 보호 인증)
KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 자료실
안녕하세요, 한국인터넷진흥원입니다. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 안내서를 게시합니다. - 세부점검항목 변경에 따른 관련 내용 수정 - 관계 법령 개정에 따른 수정 - 일
isms.kisa.or.kr
2 ISMS-P 인증기준
- 관리체계 수립 및 운영 (16개)
- 1.1. 관리체계 기반 마련 : 경영진 참여, 최고책임자 지정, 조직 구성, 범위 설정, 정책 수립, 자원 할당
- 1.2. 위험 관리 : 정보 자산 식별, 위험 평가, 보호대책 선정
- 1.3. 관리체계 운영 : 보호 대책 구현, 보호 대책 공유, 운영 현황 관리
- 1.4. 관리체계 점검 및 개선 : 법적 요구사항 준수 검토, 관리체계 점검, 관리체계 개선
- 보안대책 요구사항 (64개)
- 2.1. 정책, 조직, 자산 관리 : 정책의 유지관리, 조직의 유지관리, 정보자산의 관리
- 2.2. 인적 보안 : 주요 직무자 지정 및 관리, 직무 분리, 보안 서약, 인식제고 및 교육훈련, 퇴직 및 직무변경, 보안위반 조치
- 2.3. 외부자 보안 : 외부자 현황 관리, 외부자 계약 시 보안, 외부자 보안 이행 관리, 외부자 계약 변경 및 만료시 보안
- 2.4. 물리보안 : 보호구역, 출입통제, 정보시스템 보호, 보호설비 운영, 보호설비 운영, 보호구역 내 작업, 반출입 기기 통제 등
- 2.5. 인증 및 권한관리 : 사용자 계정 관리, 사용자 식별, 사용자 인증, 비밀번호 관리, 특수계정 및 권한 관리, 접근제한 검토
- 2.6. 접근통제
- 2.7. 암호화 적용
- 2.8. 정보시스템 도입 및 개발 보안
- 2.9. 시스템 및 서비스 운영관리
- 2.10. 시스템 및 서비스 보안관리
- 2.11. 사고 예방 및 대응
- 2.12. 재해복구
- 개인정보 처리 단계별 요구사항
- 3.1. 개인정보 수집 시 보호조치
- 3.2. 개인정보 보유 및 이용 시 보호조치
- 3.3. 개인정보 제공 시 보호조치
- 3.4. 개인정보 파기 시 보호조치
- 3.5. 정보주체 관리보호
3 ISMS-P 인증심사
- ISMS-P 인증심사 절차
- 인증범위
- ISMS-P : 정보보호 및 개인정보보호 관리체계 인증
- 정보 서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산
- 개인정보 처리를 위한 수집, 보유, 이용, 제공, 파기에 관리하는 개인정보처리 시스템, 취급자 포함
- ISMS : 정보보호 관리체계 인증
- 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산을 포함
- ISMS-P : 정보보호 및 개인정보보호 관리체계 인증
- 인증 심사 종류
- 최초 심사 > 사후심사 > 사후심사 > 갱신심사
- 최초심사 : 인증 취득 시 진행하는 심사, 최초 심사 통과 시 3년 간의 유효기간 부여
- 사후심사 : 인증 취득 후 지속적으로 유지되고 있는지 확인하는 것, 유효기간 중 매년 1회
- 갱신심사 : 정보보호 관리체계 인증 유효기간 연장을 목적으로 하는 심사
1 ISMS-P란?
- ISMS-P : Personal information & Information Security Management System
- 개인정보보호 관리체계 인증(PIMS)'과 '정보보호 관리체계 인증(ISMS)'를 통합한 제 '통합인증제도'
- 법적 근거 : 개인정보보호법 제32조의2(개인정보 보호 인증)
KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 자료실
안녕하세요, 한국인터넷진흥원입니다. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 안내서를 게시합니다. - 세부점검항목 변경에 따른 관련 내용 수정 - 관계 법령 개정에 따른 수정 - 일
isms.kisa.or.kr
2 ISMS-P 인증기준
- 관리체계 수립 및 운영 (16개)
- 1.1. 관리체계 기반 마련 : 경영진 참여, 최고책임자 지정, 조직 구성, 범위 설정, 정책 수립, 자원 할당
- 1.2. 위험 관리 : 정보 자산 식별, 위험 평가, 보호대책 선정
- 1.3. 관리체계 운영 : 보호 대책 구현, 보호 대책 공유, 운영 현황 관리
- 1.4. 관리체계 점검 및 개선 : 법적 요구사항 준수 검토, 관리체계 점검, 관리체계 개선
- 보안대책 요구사항 (64개)
- 2.1. 정책, 조직, 자산 관리 : 정책의 유지관리, 조직의 유지관리, 정보자산의 관리
- 2.2. 인적 보안 : 주요 직무자 지정 및 관리, 직무 분리, 보안 서약, 인식제고 및 교육훈련, 퇴직 및 직무변경, 보안위반 조치
- 2.3. 외부자 보안 : 외부자 현황 관리, 외부자 계약 시 보안, 외부자 보안 이행 관리, 외부자 계약 변경 및 만료시 보안
- 2.4. 물리보안 : 보호구역, 출입통제, 정보시스템 보호, 보호설비 운영, 보호설비 운영, 보호구역 내 작업, 반출입 기기 통제 등
- 2.5. 인증 및 권한관리 : 사용자 계정 관리, 사용자 식별, 사용자 인증, 비밀번호 관리, 특수계정 및 권한 관리, 접근제한 검토
- 2.6. 접근통제
- 2.7. 암호화 적용
- 2.8. 정보시스템 도입 및 개발 보안
- 2.9. 시스템 및 서비스 운영관리
- 2.10. 시스템 및 서비스 보안관리
- 2.11. 사고 예방 및 대응
- 2.12. 재해복구
- 개인정보 처리 단계별 요구사항
- 3.1. 개인정보 수집 시 보호조치
- 3.2. 개인정보 보유 및 이용 시 보호조치
- 3.3. 개인정보 제공 시 보호조치
- 3.4. 개인정보 파기 시 보호조치
- 3.5. 정보주체 관리보호
3 ISMS-P 인증심사
- ISMS-P 인증심사 절차
- 인증범위
- ISMS-P : 정보보호 및 개인정보보호 관리체계 인증
- 정보 서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산
- 개인정보 처리를 위한 수집, 보유, 이용, 제공, 파기에 관리하는 개인정보처리 시스템, 취급자 포함
- ISMS : 정보보호 관리체계 인증
- 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산을 포함
- ISMS-P : 정보보호 및 개인정보보호 관리체계 인증
- 인증 심사 종류
- 최초 심사 > 사후심사 > 사후심사 > 갱신심사
- 최초심사 : 인증 취득 시 진행하는 심사, 최초 심사 통과 시 3년 간의 유효기간 부여
- 사후심사 : 인증 취득 후 지속적으로 유지되고 있는지 확인하는 것, 유효기간 중 매년 1회
- 갱신심사 : 정보보호 관리체계 인증 유효기간 연장을 목적으로 하는 심사
