정보보호 및 정보보호 관리체계(ISMS-P) 제도이해 - 2차시 내용 정리
정보보호 및 정보보호 관리체계(ISMS-P) 절차 알아보기
KISA의 온라인 강의 '정보보호 및 정보보호 관리체계(ISMS-P) 제도이해' 중 1차시 '정보보호 및 개인정보보호 관리체계, 제도 이해하기' 기반 내용 정리
ISMS-P
정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에
적합한지 심사하여 인증을 부여하는 제도
 |
ISMS
정보보호를 위한 일련의 조치와 활동이 인증기준에 적합한지 심사하여 인증을 부여하는 제도
 |
1. 통합 인증제도 개요
1.1 인증제도
통합 추진 배경
정보보호 및 개인정보보호 연계 필요
융합화, 고도화되는 침해위협의 효과적 대응 목적
심사항목 유사, 개별 운영에 따른 기업 혼란 및 재정,인력상 부담
1.2 기대효과
복수의 인증제도 운영에 따른 기업 혼란 해소
융합화, 고도화되는 침해위협의 효과적 대응
-
정보시스템(ISMS) 안정성 및 개인정보 흐름(PIMS) 상에서의 위험성 함께 고려
신청기관이 인증에 소요되는 비용,행정, 인력부담 절감
1.3 법령과의
관계
과학기술정보통신부 -정보통신망법 제47조
방송통신위원회 - 정보통신망법 제 47조의
3
행정안전부 - 개인정보보호법 제32조의 2
정보보호 관리체계 인증 등에 관한 고시(ISMS)
개인정보보호 관리체계 인증 등에 관한 고시(PIMS)
이 둘을 통합하여
정보보호 및 개인정보보호 관리체계 인증 등에 대한 고시(ISMS-P)
(과기정통부, 방통위, 행안부
공동고시)
1.4 통합인증
범위
중요정보와 개인정보를 단일제도에서 체계적으로 보호할 수 있도록 인증제도 통합
ISMS 항목
서비스 및 개인정보 처리를 위한 조직 및
인력
-
시스템 운영팀, 정보보안팀, 인사팀 등
-
관제, 재해복구
서비스 운영을 위한 장소
-
시스템 운영장소
-
정보서비스 운영 관련 부서
서비스 및 개인정보 처리를 위한 정보시스템
+
ISMS-P를 위한 추가 항목
개인정보 처리를 위한 조직 및 인력
-
고객센터, 영업점, 물류센터
-
개인정보보호팀 등
개인정보 처리를 위한 물리적 장소
-
개인정보 취급 부서
- 개인정보 취급 수탁사
2. 통합인증제도 인증체계 및 인증기준
2.1 담당 기관 및 체계
2.2 인증기준 변경사항
유사.중복 항목 통합 및 재배치
최신 기술 및 이슈 반영(클라우드 서비스, 핀테크, 외부자 관리, 침해사고
탐지 강화 등)
법 개정에 따른 요구사항 반영
2.3 통합 인증기준
가.
관리체계 수립 및 운영(16개 항목, ISMS, ISMS-P)
정보보호 및 개인정보보호 관리체계 운영 동안 Plan, Do, Check,
Act 사이클에 따라 지속적, 반복적 실행
나.
보호대책 요구사항(64개 항목, ISMS, ISMS-P)
위험평가 결과와 조직서비스 및 정보시스템 특성 등 반영하여 체계적인 보호대책 수립 및 이행
다.
개인정보 처리 단계별 요구사항(22개 항목, ISMS-P)
개인정보 흐름분석 바탕으로 적용 받는 법규 및 세부 조항 명확히 파악 및 준수
