정보보호 및 개인정보 보호관리체계 인증 - ISMS, PIMS, ISMS-P

오늘은 ISMS 에서 ISMS-P 으로 변경된 개인정보 통합인증 제도에 대해 알아보겠습니다~

 

[이미지 출처]KISA

ISMS 란?

정보통신망의 안전성 확보를 위하여 수립하는 기술적, 물리적, 관리적 보호조치 등 종합적인 정보보호 관리체계에 대한 인증 제도입니다.

이는 제 3의 인증기관이 객관적, 독립적으로 관리체계를 평가하여, 관련 기준에 대한 적합 여부를 보증합니다. ISMS인증과 관련하여 정책기관은 미래창조과학부, 인증기관은 한국인터넷진흥원으로 관련 업무를 주관하고 있습니다.

 

종합하자면, ISMS는 기업 및 조직이 보유하고 있는 기업정보, 산업기밀, 개인정보 등의 중요한 정보자산이 안전하고 신뢰성 있게 관리되고 있음을 국가로부터 인증 받는 국가공인 제도입니다.

ISMS 인증 체계입니다. 정책기관은 과학기술정보통신부에서 진행하며, 인증 기관은 한국인터넷진흥원입니다.

 

ISMS 구성 요소입니다. 위의 인증 기준수를 만족하는 것이며, 13가지 분야의 104개 항목을 가지고 있다. 104가지의 항목을 만족시키고, 이에 대한 증빙 및 문서를 가지고 있어야 인증이 가능하다.

PIMS 란?

기관 및 기업이 개인정보보호 관리체계를 갖추고 체계적 · 지속적으로 보호 업무를 수행하는지에 대해 객관적으로 심사하여 기준 만족 시 인증 부여

 

 

PIMS 인증체계입니다. 정책기관은 행정안전부 및 방송통신위원회에서 정책을 계획하고 있습니다.

인증 기관은 ISMS와 동일한 한국인터넷진흥원입니다.

 

PIMS 구성요소 입니다..

크게 관리과정,생명주기,보호대책

개인정보가 중요 하다지만 보여주기 식으로 되어 있는 항목도 있으며, 지키기 위해서는 수억의 돈이 들어가는 항목도 있습니다.

 

정답은 간단합니다.

개인정보에 대한 인식이 늦게 자리 잡힌 문제점으로 인해 기존에 ISMS 에 항목을 추가 할생각을 못하고 PIMS 라는 인증을 새로 만들었습니다. 대단하죠...

 

그래도 이번에 두가지 인증을 합쳐서

ISMS-P 라는 인증을 새로이 만들었습니다.

ISMS-P란?

 

ISMS-P 인증기준 입니다.

ISMS 와 PIMS 가 합쳐지는 인증이다보니, 개인정보 항목들과 정보보호 항목이 합쳐져 있습니다.

두가지 항목을 만족시켜서 인증을 받기란 쉽지 않아 보입니다. 하지만 따로 두번 받는 것보다는 한번에 해결 하는것이 더좋으니깐요...

잘했다고 칭찬해주어야 할듯합니다

 

 

인증 기관은 기존과 동일하게 KISA에서 진행 합니다.

기존에 ISMS, PIMS 에서 정책을 지휘하던 기관들이 전부 모여서 정책협의회 라는 이름으로 있습니다.

동일하게 진행 되는 인증 체계입니다. 기존의 체계 보다는 정책 기관이 늘어 남에 따라서, 시간이 지남에 따라 변경사항 및 추가 사항이 많아 질듯 합니다. 각 부처 간에 필요로 하는 항목들은 늘어나고 수정되기 마련이기 때문입니다.

 

 

심사종료또한 기존의 ISMS, PIMS 와 동일합니다. 최초심사후 3년, 매년1회별 사후심사, 매년1회 갱신심사 결국적으로 거의 매년 심사를 받아서 갱신, 사후심사 를 받아야 한다는 것입니다.

 

 

인증절차는 다음과 같습니다.

신청기관에서 KISA로 심사 신청을 하며, 기존과 동일하게 진행되지만, 더욱 복잡해진 심사과정이 남아있다.

 

 

ISMS-P 인증은 ISMS 와 PIMS 두가지 인증이 합쳐져 있는 인증 입니다. 그렇기 때문에 개인정보+정보보호 두가지 항목을 전부 인증 범위로 보고 있습니다.