정보보호 및 정보보호 관리체계(ISMS-P) 제도이해 - 1차시 내용 정리
정보보호 및 정보보호 관리체계(ISMS-P) 제도 알아보기
KISA의 온라인 강의 '정보보호 및 정보보호 관리체계(ISMS-P) 제도이해' 중 2차시 '정보보호 및 개인정보보호 관리체계, 절차 이해하기' 기반 내용 정리
ISMS 인증을 준비하는 담당자는 꼭 알아야 하는 인증 절차 내용이다.
ISMS 인증절차
우선 인증 절차는 크게 아래와 같은 순으로 진행된다.
인증심사 준비 - 인증심사 진행 - 인증심사 마무리
이후에 인증 유지를 위한 사후심사 및 갱신심사를 진행한다.
각각의 단계를 세분화해서 보면 다음과 같다.
1. 인증심사 준비
1.1 구축 운영
인증신청 준비사항
- 인증 기준에 따라 ISMS 또는 ISMS-P 관리체계 구축
- 최소 2개월 이상 운영한 증적
1.2 인증심사 신청 및 접수
신청서류 : 인증신청 공문 1부, 인증신청서 1부, 인증 명세서 1부, 법인/개인 사업자 증록증 1부
신청 방법 : 메일 제출(isms-p@kisa.or.kr)
- 신청서류 미비로 인증기관의 보완요청이 있을 경우, 신청서류 재구비하여 제출
- 심사희망일 기준 최소 8주 전 신청
1.3 예비 점검
심사팀장이 심사 전 직접 방문하여 다음의 항목을 확인한다.
관리체계 운영상황 확인
인증심사 가능여부 판단
심사일정 조정
담당자는 인증범위 설명, 요청받은 증적자료 준비 등을 한다.
- 인증심사에 필요한 기초자료 구비 유무(업무소개, 인증범위 소개, 관리체계운영현황 등)
- 인증심사 준비상태 및 운영여부 확인
1.4 계약 및 수수료 납부
인증 범위, 심사기간, 심사인원, 심사팀 구성, 인증수수료 협의 후 계약 체결
인증심사 수수료는 인증심사 이전(계약 후 1개월 이내) 심사수수료를 완납한다.
(수수료 납부하지 않은 경우, 인증심사를 실시하지 않을 수 있음)
신청기관이 인증기관에 납부하는 비용에는 다음 항목을 포함한다.
- 인증심사 신청접수 및 계약, 예비점검, 심사원 자문료 등에 소요되는 제비용
- 직접인건비, 직접경비, 제경비, 기술료의 합으로 산정
- 최초심사, 사후심사, 갱신심사 각각의 별도 수수료가 발생
2. 인증심사 진행하기
2.1 시작회의
인증심사팀, 회사 담당자, 회사
임원진 회의 참여
참석 명단 : CISO 또는 CPO,
정보보호 및 개인정보보호 책임자와 담당자, 조직도상 관련 직무자, 유관부서 관련자(총무, 인사
등)
2.2 인증심사
가. ISMS-P 인증기준을 적절이행하고 있는지 확인
서면심사와 현장심사를 병행하며, 현장심사의 경우 서면심사 진행 현황에
맞춰 일정을 조율
서면심사 : 성보보호 및 개인정보보호 관리체계 관련 정책, 지침, 매뉴얼(절차) 등 내부규정 존재 여부 및 해당 내부 규정이 인증기준을 충족하는지 심사
나. 제출한 증적자료 확인을 통해 운영의 적정성 확인
현장심사 : 서면심사의 결과와 기술적 물리적 보호대책 이행 여부를
확인하기 위하여 담당자 면담, 관련 시스템 확인 등의 방법으로 심사
2.3 결함보고서
인증심사 후 - 서면심사 및 현장심사를 통해 도출된 문제점을 심사원들과
회의를 통해 상호간 결과 확인
결함보고서 작성 - 신청기관 및 기업의 미흡한 사항 작성
2.4 종료회의
결함보고서에 대한 설명
보완조치 기간, 인증위윈회 개최 등에 대한 확인
2.5 보완조치 제출
보완조치 기간 : 보완조치 요청서 받은 날로부터 40일 이내
보완조치 내역서 작성 후 인증기관에 제출
보완조치 기간 연장 관련
인증기관이 신청기관이 제출한 보완조치 결과가 미흡하다고 판단한 경우
신청기관 스스로 보완조치 기간이 추가로 필요하다고 판단한 경우
공문을 통해 최대 60일까지 보완조치 기간 연장 가능(보완조치 내역서(보완조치요약서, 완료된 결함사항)를 공문과 같이 제출해야 한다.
보완조치 내역 작성 시 유의사항
보완조치 전 후 내용을 확인할 수 있도록 작성
보완조치의 이행계획은 보완조치가 완료되지 않은 것으로 판단
보완조치 결과 확인
심사팀장이 문서 및 현장확인을 통해 확인
보완조치 완료 확인서에 서명 날인하는 것으로 보완조치 결과 확인 및 마무리
3. 인증심사 마무리
3.1 인증위원회 심의.의결
가. 결과보고서 상정
최초 또는 갱신심사의 경우
심사
결과 보고서 상정(인증기관 ->인증 위원회)
- 심사결과에 대한 객관성 확보
- 공정성 확보
- 일정수준 이상의 품질 확보
나. 적합여부 심의
판단의 적합성, 보완조치 확인의 적절성
다. 보완조치
해당사항 및 보완조치 기한 전달 및 수정된 보완조치 내역서 제출
라. 의결완료
인증심의 결과서 및 심의 의견서
3.2 인증결과 통보
심의 의결 결과 통보
적합 시 - 인증서 발급 부적합 시 - 이의 신청
여기까지가 전체 한 싸이클이다.
유효기간 동안 ISMS-P 관리체계 지속적으로 유지 및 관리를 진행한다.
사후심사 및 갱신심사
사후심사 – 운영중인 ISMS-P가
인증기준에 적합한 수준으로 유지되는지 여부 확인
인증 유효 기간 중 매년 1회 이상 심사 시행
인증 발급일 기준 매 1년 전에 심사 완료
인증 유효기간 내 인증 받지 않을 경우 인증 취소
갱신심사
인증기간이 만료되는 연도에 유효기간의 연장을 목적으로 수행 (유효기간 :3년)
인증유효기간 내 심사를 받지 않을 경우, 인증 효력 상실(만료 3개월 전 신청 필요)
