안녕하세요 isms 에서 isms-p 으로 변경된 개인정보 통합인증 제도 에대해 알아보겠습니다
[이미지 출처]KISA
먼저 ISMS 에 대해 알아보겠습니다.
ISMS 란?
정보통신망의 안전성 확보를 위하여 수립하는 기술적, 물리적, 관리적 보호조치 등 종합적인 정보보호 관리체계에 대한 인증 제도입니다.
이는 제 3의 인증기관이 객관적, 독립적으로 관리체계를 평가하여, 관련 기준에 대한 적합 여부를 보증합니다. ISMS인증과 관련하여 정책기관은
미래창조과학부, 인증기관은 한국인터넷진흥원으로 관련 업무를 주관하고 있습니다.
종합하자면, ISMS는 기업 및 조직이 보유하고 있는 기업정보, 산업기밀, 개인정보 등의 중요한 정보자산이 안전하고 신뢰성 있게 관리되고 있음을 국가로부터 인증 받는 국가공인 제도입니다.
ISMS 인증 체계 입니다.
정책 기관 은 과학기술정보통신부 에서 진행하며,
인증 기관은 한국인터넷진흥원 입니다.
ISMS 구성 요소 입니다
위의 인증 기준수 를 만족해야 하는 것이죠.
13가지 분야의 104개 항목 어마어마한 양입니다.
104가지의 항목을 만족시키고,
이에 대한 증빙 및 문서를 가지고 있어야 인증이 가능합니다.
그럼 PIMS 란?
기관 및 기업이 개인정보보호 관리체계를 갖추고 체계적 · 지속적으로 보호 업무를 수행하는지에 대해
객관적으로 심사하여 기준 만족 시 인증 부여
PIMS 인증 체계 입니다
정책기관은 행정안전부 및 방송통신위원회 에서 정책을 계획하고 있으며,
인증기관은 ISMS 와 동일한 한국인터넷진흥원 입니다.
PIMS 구성요소 입니다.
크게 관리과정,생명주기,보호대책
세부적인 내용은 어마어마 합니다.
개인정보가 중요 하다지만 보여주기 식으로 되어 있는 항목도 있으며,
지키기 위해서는 수억의 돈이 들어가는 항목도 있습니다.
그럼여기서 궁금증이 생기지 않으신가요?
정부는 왜 두가지 항목으로 나누어서 인증을 하였을까?
정답은 간단합니다.
개인정보에 대한 인식이 늦게 자리 잡힌 문제점 으로 인해
기존에 ISMS 에 항목을 추가 할생각을 못하고
PIMS 라는 인증을 새로 만들었습니다.
대단하죠...
그래도 이번에 두가지 인증을 합쳐서
ISMS-P 라는 인증을 새로이 만들었습니다.
ISMS-P 인증기준 입니다.
ISMS 와 PIMS 가 합쳐지는 인증이다보니,
개인정보 항목들과 정보보호 항목이 합쳐져 있습니다.
두가지 항목을 만족시켜서 인증을 받기란 쉽지 않아 보입니다.
하지만 따로 두번 받는 것보다는 한번에 해결 하는것이 더좋으니깐요...
잘했다고 칭찬해주어야 할듯합니다
인증 기관은 기존과 동일하게 KISA 에서 진행 합니다.
기존에 ISMS, PIMS 에서 정책을 지휘하던 기관들이 전부 모여서 정책협의회 라는 이름으로 있습니다.
동일하게 진행 되는 인증 체계입니다.
기존의 체계 보다는 정책 기관이 늘어 남에 따라서,
시간이 지남에 따라 변경사항 및 추가 사항이 많아 질듯 합니다.
각 부처 간에 필요로 하는 항목들은 늘어나고 수정되기 마련이기 때문입니다.
심사종료또한 기존의 ISMS, PIMS 와 동일합니다.
최초심사후 3년, 매년1회별 사후심사, 매년1회 갱신심사
결국 적으로 거의 매년 심사를 받아서 갱신, 사후심사 를 받아야 한다는 것입니다.
인증 절차는 다음과 같습니다.
신청기관(신청회사) 에서 KISA 로 심사 신청을 하며,
기존과 동일하게 진행 되지만, 더욱 복잡해진 심사 과정이 남아 있습니다.
ISMS-P 인증은
ISMS 와 PIMS 두가지 인증이 합쳐져 있는 인증 입니다.
그렇기 때문에
개인정보+정보보호 두가지 항목을 전부 인증 범위로 보고 있습니다.
이많은 것들을 꼭해야 하느냐!!!
그렇지 않습니다^^
필수로 해야 하는 기업 혹은 업체는 다음과 같습니다.
ISP 업체(K*,L*,S*) 등과 같은 통신업체, IDC 센터,
연간 매출액 또는 세입이 1500억 이상, 상급종합병원, 재학생 수가 1만명 이상인 학교,
정보통신서비스 부문 매출액 100억이상, 일일 이용자 수가 100만명 이상인 곳
위 조건에 해당하는 업체는
ISMS 인증이 필수 입니다.
인증을 받지 않을 경우 법적 제재 를 받을수 있으니,
해당 사항에 가까워 지시는 분들은 미리 준비 하시는 것이 좋습니다.
ISMS-P 를 받느냐 ISMS 를 받느냐 PIMS 를 받느냐
선택을 하신다면
이왕이면 ISMS-P 를 받으시는 것이 좋습니다.
신규 인증이여서 조금은 쉽게 받으실수도 있을거 같다는
개인적인 생각이 있어서 그런것은 아닙니다.^^;
ISMS-P_인증기준_안내서.pdf
위자료는 ISMS-P 인증 안내서 입니다.
자료는 KISA 에서 받아온 자료 이며, 풀어서 정리 해드리기 보다는
직접 보시는 것이 좋을듯 하여 파일 첨부 드립니다.
그럼 인증 준비 하시는 분들은 한번에 좋은 소식 있기를 기원 하겠습니다.
'IT > 보안' 카테고리의 다른 글
| 중고거래 사이트 사기 주의/피싱 사이트 사기 주의 (0) | 2019.03.20 |
|---|---|
| Adobe 제품군 보안업데이트 권고/포토샵CC 업데이트 (0) | 2019.03.14 |
| 독일구매대행 테스트굿 개인정보 유출 사고 발생 (0) | 2019.03.12 |
| 크롬 취약점/크롬 제로데이/크롬 오류/크롬 업데이트 (0) | 2019.03.12 |
| [보안권고]알집(ALZip)보안 업데이트 권고 (0) | 2019.03.07 |
