정보보호 정책, 지침, 가이드라인

정보보호인증체계란?

 

• 2018년 11월 7일 기존의 ISMS와 PIMS를 ISMS-P로 통합한 것
• 기관이나 인증은 두개의 인증(ISMS, ISMS-P) 중 하나를 선택 할 수 있음
• 이로 인해 이중 투자되는 비용, 행정비용 부담, 인력 등의 절감 효과 발생

정보보호 인증체계

 

• KISA : 공공과 민간분야에 대한 인증
• FSI : 금융관련 분야에 대한 인증
• 심사기관의 경우 현재 KAIT, TTA, CPA이나 변동될 수 있음

 

인증기준

인증기준은 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리 단계별 요구사항 3개의 항목으로 구성되어 있다.

 

1. 관리체계 수립 및 운영 - 16개 항목
   • 관리체계 기반마련
   • 위험관리
   • 관리체계 운영
   • 관리체계 점검 및 개선
2. 보호대책 요구사항 - 64개 항목
   • 정책, 조직, 자산관리
   • 인적보안
   • 외부자보안
   • 물리보안
   • 인증 및 권한관리
   • 접근통제
   • 암호화 적용
   • 정보시스템 도입 개발보안
   • 시스템 및 서비스 운영관리
   • 시스템 및 서비스 보안관리
   • 사고 예방 및 대응
   • 재해복구
3. 개인정보 처리 단계별 요구사항 -22개 항목
   • 개인정보 수집 시 보호조치
   • 개인정보 보유 및 이용 시 보호조치
   • 개인정보 제공 시 보호조치
   • 개인정보 파기 시 보호조치
   • 정보주체 권리 보호