[관리 진단] ISMS-P

1 ISMS-P란?

• ISMS-P : Personal information & Information Security Management System
• 개인정보보호 관리체계 인증(PIMS)'과 '정보보호 관리체계 인증(ISMS)'를 통합한 제 '통합인증제도'
• 법적 근거 : 개인정보보호법 제32조의2(개인정보 보호 인증)

KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 자료실

 

2 ISMS-P 인증기준

1. 관리체계 수립 및 운영 (16개)
   • 1.1. 관리체계 기반 마련 : 경영진 참여, 최고책임자 지정, 조직 구성, 범위 설정, 정책 수립, 자원 할당
   • 1.2. 위험 관리 : 정보 자산 식별, 위험 평가, 보호대책 선정
   • 1.3. 관리체계 운영 : 보호 대책 구현, 보호 대책 공유, 운영 현황 관리
   • 1.4. 관리체계 점검 및 개선 : 법적 요구사항 준수 검토, 관리체계 점검, 관리체계 개선
2. 보안대책 요구사항 (64개) 
   • 2.1. 정책, 조직, 자산 관리 : 정책의 유지관리, 조직의 유지관리, 정보자산의 관리
   • 2.2. 인적 보안 : 주요 직무자 지정 및 관리, 직무 분리, 보안 서약, 인식제고 및 교육훈련, 퇴직 및 직무변경, 보안위반 조치
   • 2.3. 외부자 보안 : 외부자 현황 관리, 외부자 계약 시 보안, 외부자 보안 이행 관리, 외부자 계약 변경 및 만료시 보안
   • 2.4. 물리보안 : 보호구역, 출입통제, 정보시스템 보호, 보호설비 운영, 보호설비 운영, 보호구역 내 작업, 반출입 기기 통제 등
   • 2.5. 인증 및 권한관리 : 사용자 계정 관리, 사용자 식별, 사용자 인증, 비밀번호 관리, 특수계정 및 권한 관리, 접근제한 검토
   • 2.6. 접근통제
   • 2.7. 암호화 적용
   • 2.8. 정보시스템 도입 및 개발 보안
   • 2.9. 시스템 및 서비스 운영관리
   • 2.10. 시스템 및 서비스 보안관리
   • 2.11. 사고 예방 및 대응
   • 2.12. 재해복구
3. 개인정보 처리 단계별 요구사항
   • 3.1. 개인정보 수집 시 보호조치
   • 3.2. 개인정보 보유 및 이용 시 보호조치
   • 3.3. 개인정보 제공 시 보호조치
   • 3.4. 개인정보 파기 시 보호조치
   • 3.5. 정보주체 관리보호

 

3 ISMS-P 인증심사

1. ISMS-P 인증심사 절차
2. 인증범위
   • ISMS-P : 정보보호 및 개인정보보호 관리체계 인증
     • 정보 서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산
     • 개인정보 처리를 위한 수집, 보유, 이용, 제공, 파기에 관리하는 개인정보처리 시스템, 취급자 포함
   • ISMS : 정보보호 관리체계 인증
     • 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산을 포함
3. 인증 심사 종류
   • 최초 심사 > 사후심사 > 사후심사 > 갱신심사
   • 최초심사 : 인증 취득 시 진행하는 심사, 최초 심사 통과 시 3년 간의 유효기간 부여
   • 사후심사 : 인증 취득 후 지속적으로 유지되고 있는지 확인하는 것, 유효기간 중 매년 1회
   • 갱신심사 : 정보보호 관리체계 인증 유효기간 연장을 목적으로 하는 심사

kisa