상세 컨텐츠

본문 제목

ISMS-P(정보 보호 및 개인정보 보호 관리 체계 인증) 인증 기준 항목

미래산업

by happyfuture 2021. 9. 10. 01:09

본문

반응형

최근 블록체인 및 핀테크 전문기업 두나무는 가장 신뢰받는 글로벌 표준 디지털 자산 거래소 업비트가 ‘정보보호 및 개인정보보호 관리체계 인증(Personal information & Information Security Management System, ISMS-P)’을 받았다고 밝혔어요.

 

오늘은 ISMS와 ISMS-P가 각각 무엇이고 이 둘의 차이는 무엇인지 살펴볼까 합니다. 그리고 인증 기준 항목은 어떻게 되는지 알아볼게요.

 

정보보호 및 개인정보보호 관리체계 인증 소개

ISMS, ISMS-P

정보보호 관리체계 인증(ISMS, Information Security Management System)은 정보통신망의 안전성 확보를 위하여 수립·운영하고 있는 기술적·물리적 보호조치 등 종합적인 관리체계에 대한 인증제도로 기업 기관의 정보보호 체계에 대한 인증을 말합니다.

 

정보보호 및 개인정보보호 관리체계 인증(ISMS-P, Personal information & Information Security Management System)은 기업, 기관의 정보보호 체계(ISMS)에다가 개인정보 보호 영역을 모두 인증하는 것을 말합니다.

 

[아래 사진]은 ISMS, ISMS-P 인증 종류입니다.

인증 증류, 출처: 한국인터넷 진흥원

그런데 이 둘은 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 (2018년 11월) 시행으로 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS) 인증제도가 통합되었습니다.

 

ISMS-P 인증기관

ISMS-P 인증기관에 대해 살펴봅니다.

법정 인증기관인 한국인터넷진흥원, 과학기술정보통신부장관과 개인정보보호위원회가 지정한 인증 기관은 인증에 관한 업무를 수행하는데요. 자세한 사항은 한국인터넷진흥원 참고하시기 바랍니다. 여기서 한국인터넷진흥원은 인증위원회 운영, 인증심사원 양성 및 자격관리, 인증 제도 및 기준 개선 등 ISMS-P 인증제도 전반에 걸친 업무를 수행합니다.

 

ISMS-P 인증 추진체계, 출처: 한국인터넷진흥원 누리집

인증기관은 신청기관이 수립·운영하는 관리체계를 인증기준에 따라 심사하고, 인증위원회를 운영하여 인증기준에 적합한 기관에게 인증서를 발급합니다. 과학기술정보통신부장관, 개인정보보호위원회가 2019년 7월 지정한 인증기관인 금융 보안원(FSI)은 금융 분야 인증위원회를 구성·운영하고, 인증심사 및 인증서 발급 업무를 수행하니 참고하시기 바랍니다.

 

ISMS-P 인증 기준 항목

ISMS-P 인증 기준 항목은 [아래 사진]과 같이 총 102개(ISMS 80, 개인정보 22)로 구성되었습니다.

ISMS-P 인증기준 항목

좀 더 세부적으로 살펴보면 

ISMS-P 인증기준은 ‘1. 관리체계 수립 및 운영(16개)’, ‘2. 보호대책 요구사항(64개)’, ‘3. 개인정보 처리 단계별 요구사항(22개)’으로 구성되어 있습니다.


‘1.관리체계 수립 및 운영’은 관리체계의 메인프레임으로서 전반적인 관리체계 운영 라이프사이클을 구성하고 있습니다.  ‘2.보호대책 요구사항’은 총 12개 분야에 대한 인증기준으로서 정책, 조직, 자산, 교육 등 관리적 부문과 개발, 접근통제, 운영·보안관리 등 물리적·기술적 부문의 보호대책에 관한 사항으로 구성되어 있습니다. 마지막으로 ‘3.개인정보 처리 단계별 요구사항’은 개인정보 생명주기에 따른 보호조치 사항으로 구성되어 있습니다.

ISMS-P 인증유형에 따른 인증 기준, 출처: 한국 인터넷 진흥원

지금까지 ISMS, ISMS-P에 대한 개념과 인증기준 항목에 대해 살펴봤는데요. 개념이 좀 잡혔나 모르겠네요. 저도 이 분야 전문가가 아니라 이 분야 관심 있는 사람으로서 사이다 같은 설명이 좀 어렵네요.

 

디지털 자산 거래소 업비트 자료에 따르면 인증 유효기간은 최초 심사를 통해 인증을 취득하면 3년의 유효기간이 부여되며, 인증 유효기간 중 매년 1회 이상 사후 심사가 시행된다고 하니 이 점도 참고하시기 바랍니다. 또한 업비트는 이미 "2018년 11월, 과학기술정보통신부가 의무 대상으로 지정한 4개 거래소 중 가장 먼저 ISMS 인증을 받았다."라고 하더군요. "같은 해 12월에는 정보보안(ISO 27001), 클라우드 보안(ISO 27017), 클라우드 개인정보 보안(ISO 27018)에 대한 ISO 3개 부문 인증을 획득하며 ISMS와 함께 ISO 27017, ISO 27018 인증까지 확보한 첫 디지털 자산 거래소로 이름을 올린 바 있다."라고도 보도자료에 덧붙였습니다.

 

소중한 디지털 자산 거래에 있어 해당 거래소가 "정보보호 인증"을 통과한 곳인지 꼭 확인을 해야 되겠습니다.

 

마지막으로 ISMS-P 인증제도에 대한 리플릿과 안내서 첨부합니다.

 

ISMS-P_인증제도_안내_리플릿 (1).pdf
1.12MB
ISMS-P_인증제도_안내서(2021.7).pdf
5.06MB

 

 

2021.07.09 - 가상자산 사업자 자금 세탁 위험 평가 항목 _ 은행연합회 공개 자료

2021.08.27 - 가상자산 거래업자 신고 진행 현황(2021년 8월 23일 기준)

728x90
반응형

관련글 더보기

댓글 영역

티스토리툴바