ISMS-P 인증제도 소개 (ISMS 유형, 의무대상자, 인증체계, 인증소개, 인증심사 생략 대상 등)

 

ISMS-P 인증제도 개요

 

조직의 비즈니스 연속성 확보를 위한 체계적이고 지속적인 프로세스 개선 활동

 

 

---

 

1. 일반적 정보보호 관리과정

1. 정책, 계획, 세무 목표, 프로세스 및 절차 수립
2. 정책, 통제, 프로세스 및 절차의 구현 및 운영
3. 프로세스 성과 평과 측정 결과의 경영자 검토
4. 검토 결과에 따른 시정 및 예방조치

 

---

2. ISMS-P 인증의 유형

인증심사 시 취득하고자 하는 인증에 따라 ISMS 단일 인증, ISMS-P 단일 인증, 다수 인증, 예비인증, 인증의 특례 중 하나를 정하여 신청할 수 있음

 

---

3. ISMS-P 인증체계

• 인증협의회 : 법/제도 개선 및 정책 결정, 인증기관 및 심사기관 지정(과기정통부, 개보위)
• 인증기관 : 제도 운영, 인증심사 수행, 인증서 발급, 인증심사원 양성 및 자격관리(KISA, FSI)
• 심사기관 : 인증심사 수행 (KAIT, TTA, OPA, NISC) // KISA 및 FSI도 심사기관에 포함되어 있음

---

4.  인증기관/심사기관 지정

• 신규지정 절차 : 정책협의회 절차 협의 → 개별 부처 공고 →  신청서 제출 →  최후 결정 →  지정서 발급 
• 재지정 절차 : 기존 인증기관 유효기간 종료 6개월 전부터 종료일 까지 재지정 신청
• 공정성 및 독립성 확보 : 인증심사의 공정성 및 독립성 확보를 위해 관련 컨설팅 수행, 인증절차 생략, 심사에 영향력 행사 등 금지 노력

---

5.  관련 법령

 

---

6.  의무 대상자

ISP	「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
IDC	정보통신망법 제46조에 따른 집적정보통신시설 사업자
다음의 조건 중 하나라도 해당하는 자	연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 - 「의료법」 제3조의4에 따른 상급종합병원 - 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
	정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
	전년도 일일평균 정보통신서비스 이용자 수가 100만 명 이상인 자

 

---

7.  인증심사 생략 대상 및 요건

• ISMS 일부 심사 생략을 받을 수 있는 대상
  -  ISO27001 혹은 주요정보통신기반시설의 취약점 점검을 수행한 경우 (20% 감면)
  -  ISMS단일 인증만 가능하며, ISMS-P / 혼합인증은 일부 생략을 할 수 없음
  - 생략은 최초 및 갱신 심사 시점에 신청이 원칙이며, 사후 심사 때 생략 시 인증서 변경 등의 절차 필요
• 생략 요건
  - ISO27001 범위와 ISMS인증의 범위가 일치하여야 함
  - 생략 범위 : 2.1~2.3(관리), 2.4(물리), 2.12(재해복구)