정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도 안내서(2024.07) 공부 (1)

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(2018.11)의 시행으로 ISMS와 PIMS 인증제도가 통합되었다.

그리고 인증제도 안내서(2024.07)가 발행되었다.

 

그래서, ISMS-P를 공부할 겸 내용을 하나씩 뜯어보기로 했다.

 

일단 고시의 내용을 한번 숙지하기로 했다.

개인적으로 필요한 내용만 정리했다.

---

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(2024.07)

https://www.law.go.kr/행정규칙/정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시/(2024-8,20240724)

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시

 

인증심사원

- 인증심사원은 심사원보, 심사원, 선임심사원으로 구분한다.

등급별 자격 요건은 다음과 같다.

심사원보 : 인증심사원 자격 신청 요건 만족 + 한국인터넷진흥원이 수행하는 인증심사원 양성과정 통과하여 자격을 취득한 자

심사원 : 심사원보 자격 취득 + 인증심사에 4회 이상 참여 + 심사일수의 합이 20일 이상인 자

선임심사원 : 심사원 자격 취득 + ISMS-P 인증심사 3회 이상 참여 + 심사일수의 합이 15일 이상인 자

 

- 인증심사원의 자격 유효기간은 자격을 부여 받은 날로부터 3년이다.

* 자격유지를 위해 자격 유효기간 만료 전까지 KISA가 인정하는 보수교육을 수료하여야 한다.

* KISA는 자격 유효기간 동안 1회 이상의 인증심사를 참여한 인증심사원에 대하여 보수교육 시간 중 일부를 이수한 것으로 인정할 수 있다.

* KISA는 자격유지를 충족한 인증심사원에 한해서 자격 증명서를 갱신하여 발급하고, 자격 유효기간을 3년 연장한다.

 

ISMS-P 인증을 취득하고자 하는 자(신청인)

- 인증을 신청하기 전에 인증기준에 따른 ISMS 또는 ISMS-P를 구축하여 최소 2개월 이상 운영하여야 한다.

다만 제18조의2(가상자산사업자에 대한 인증) 제1항제1호에 따른 예비인증의 경우에는 그러지 아니한다.

 

 

---

# Ref. 예비인증 vs 본인증

ISMS-P 인증의 유형은 세 가지이다.

출처 : ISMS-P 인증제도 안내서(2024.07).pdf - KISA

 

가상자산사업자는 예비인증과 본인증으로 구분하여 인증을 받는다.

 

예비인증은 가산자산사업자 중 본인증을 신청하기 전에 인증기준에 따른 ISMS를 구축하여 2개월 이상 운영하지 못한 자가 실제 서비스 운영 전 임시적으로 관련 시스템을 구축하고 운영하여 받는 인증이다.

본 인증을 받기 위한 조건부 인증이다.

KISA의 ISMS-P 인증제도 안내서에 따르면 "2개월 이상의 운영 이력이 없어서 ISMS 인증 심사를 진행할 수 없는 신규 가상자산사업자"라고 한다.

 

본인증은 예비인증을 취득한 자로서 인증을 신청하기 전에 인증기준에 따른 정보보호 관리체계를 구축하여 2개월 이상 운영한 자를 대상으로 하는 인증이다.

(출처 : 고시 제18조의2)

 

가상자산사업자는 금융정보분석원(FIU)에 신고 요건을 갖추어 신고하여야 가상자산서비스 운영이 가능한데,

예비인증을 취득하고 3개월 내로 FIU 신고접수를 하고 서비스를 운영하게 되고,

FIU 신고 완료 후 6개월 내에 본인증 취득을 하여야 한다.

 

---

- 신청인은 인증심사를 위해서 아래의 사항을 인증심사 실시 전에 준비해야한다.

1. 인증심사를 위한 문서 및 증거자료

2. 인증심사 수행에 필요한 장소, 시설, 장비, 기자재 등의 확보

3. 그 밖에 인증심사를 원활하게 수행하기 위하여 심사수행기관이 요구하는 사항

 

- 신청인은 ISMS 혹은 ISMS-P 인증 선택에 따라 인증 신청서를 심사수행기관에 제출하여야 한다.

- 심사수행기관은 신청인의 인증심사 사전준비사항을 확인할 수 있고, 신청인의 준비가 미흡한 경우에는 신청인에 이를 보완할 것을 요구할 수 있다.

 

인증 의무대상자

- 정보보호 관리체계 인증 의무대상자가 있다.

출처 : ISMS-P 인증제도 안내서(2024.07).pdf - KISA

- 의무대상자는 ISMS 인증을 받아야 한다. 

- 의무대상자에 해당하는 자는 다음 해 8월 31일까지 인증을 받아야 한다.

 

- 만약 ISMS 혹은 ISMS-P 인증 중 하나를 신청한 자가 아래의 인증을 받거나, 정보보호 조치를 취한 경우에는 "별표5(인증심사 일부 생략의 범위)"에 나와있는 범위 내에서 인증 심사의 일부를 생략할 수 있다.

1. ISO/IEC 27001 인증을 받은 경우

2. 주요정보통신기반시설의 취약점 분석.평가 조치를 취한 경우

 

- 인증심사의 일부를 생략하려는 경우에는 아래의 요건을 모두 충족하여야 한다.

1. ISMS 혹은 ISMS-P 인증의 범위 내에 해당 국제표준 정보보호 인증 또는 정보보호 조치의 범위가 포함되어야 함

2. ISMS 혹은 ISMS-P 인증 신청 및 심사 시에 해당 국제표준 정보보호 인증이나 정보보호 조치가 유효하게 유지되고 있어야 함

 

- 인증심사 일부 생략을 신청할 때는 별지의 인증심사 일부 생략 신청서를 심사수행기관에 제출하여야 한다.

이때 심사수행기관은 인증심사 일부 생략의 범위를 생략하여 심사하게 되고, 인증을 부여할 때는 그 사실을 인증서에 표기하여야 한다.

 

인증심사의 기준

- ISMS 인증이냐, ISMS-P 인증이냐 등 인증의 구분에 따라 "별표7(인증기준)"의 인증기준을 적용한다.

# 이 부분은 나중에 ISMS-P 인증제도 안내서를 알아볼 때 자세하게 읽고 정리해보자.

 

- 아래의 어느 하나에 해당하는 자는 인증기준 및 절차 등을 완화하여 적용할 수 있다. (인증 특례 대상)

1. 중소기업기본법 제2조제2항에 따른 소기업

2. 그 밖에 정보통신서비스의 규모 및 특성 등에 따라 대통령령으로 정하는 기준에 해당하는 자

3. 중소기업기본법 제2조제2항에 따른 중기업이면서, 정보통신서비스 부문 전년도 매출액이 300억원 미만인 자

4. 중소기업기본법 제2조제2항에 따른 중기업이면서,정보통신서비스 부문 전년도 매출액이 300억원 이상인 자 + 주요 정보통신설비를 직접 설치/운영하지 않는 자이면서 호스팅서비스 혹은 클라우드 컴퓨팅서비스를 이용하는 자

# 단, 가상자산사업자, 금융회사 등 일부는 위의 인증 특례 대상에서 제외한다.

 

 

# 고시에서 말하는 기준이 너무 어려워서, 개인정보보호위원회의 보도자료를 가지고 왔다.

출처 : 중소기업의 정보보호 인증부담 완화를 위한 「정보보호 및 개인정보보호관리체계 간편인증」 제도 시행 보도자료, 개인정보보호위원회 자율보호정책과

 

 

인증심사 방법

- 인증심사는 신청을 방문하여 서면심사, 현장심사를 병행한다.

- 서면심사는 인증심사 기준에 적합한지에 대해서 ISMS-P 구축/운영 관련 정책, 지침, 절차, 이행의 증거자료를 검토하고 정보보호 대책 및 개인정보 처리단계별 요구사항 적용 여부 확인 등의 방법으로 관리적 요소를 심사한다.

- 현장심사는 서면심사의 결과와 기술적.물리적 보호대책 이행여부를 확인하기 위해서 담당자 면담, 관련 시스템 확인 및 취약점 점검 등의 방법으로 기술적 요소를 심사한다.

# 관리적 요소는 서면심사로, 기술적 요소는 현장심사로 진행한다는 것을 고시를 읽으면서 알게 되었다..!

 

 

- 심사수행기관은 인증심사에서 발견된 결함에 대해서 심사종료 다음날부터 최대 100일(재조치 요구 60일 포함) 이내에 보완조치를 완료하도록 신청인에게 요청할 수 있다.

- 심사수행기관은 인증위원회 심의결과에 따라 인증위원회 종료 다음날부터 30일 이내에 신청인에서 추가 보완조치를 요구할 수 있다.

 

 

심사중단

- 심사수행기관은 아래의 사유가 발생한 경우 인증심사를 중단할 수 있다.

1. 신청인이 고의로 인증심사의 실시를 지연, 방해하거나 신청인의 귀책사유로 인하여 인증심사팀장이 인증심사를 계속 진행하기가 곤란하다고 판단하는 경우

2. 신청인이 제출한 관련 자료 등을 검토한 결과 인증심사를 받을 준비가 되었다고 볼 수 없는 경우

3. 인증심사 후 보완조치를 최대 100일(재조치 요구 60일 포함) 이내로 완료하지 않은 경우

4. 재난의 발생 또는 경영환경 변화 등으로 인하여 인증심사 진행이 불가능하다고 판단되는 경우

 

- 인증심사를 중단하는 때에는 그 사유를 신청인에 서면으로 통보하여야 한다.

- 만약 인증심사 중단 사유가 해소되거나, 이의신청 처리결과에 따라 인증심사를 재개하거나 종결 수 있다.

 

 

사후관리

- 인증을 취득한 자는 인증서 유효기간 중 연 1회 이상 심사수행기관에 사후심사를 신청하여야 한다.

- 인증 취득한 범위와 관련하여 침해사고, 개인정보 유출사고 등이 발생한 경우 KISA는 필요에 따라 인증 관련 항목의 보안향상을 위한 필요한 지원 등을 할 수 있다.

 

인증 갱신

- 인증을 취득한 자는 인증서 유효기간 만료 3개월 전에 갱신심사를 신청하여야 한다.

- 만약 인증의 갱신을 신청하지 않고 인증의 유효기간이 경과한 때에는 인증의 효력은 상실된다.

 

인증서 발급

- 인증서의 유효기간은 3년으로 한다.

 

이의신청

- 신청인 또는 인증을 취득한 자가 인증심사 결과 또는 인증 취소처분에 관하여 이의가 있으면, 그 결과를 통보받은 날부터 15일 이내에 이의신청서를 인터넷진흥원 또는 인증기관에 제출하여야 한다.

- 인터넷진흥원 또는 인증기관은 이의신청이 이유가 있다고 인정되는 경우에는 인증위원회에 재심의를 요청할 수 있다.

 

재검토 기한

- 과기정통부 장관과 보호위원회는 "행정규제기본법" 및 "훈령.예규 등의 발령 및 관리에 관한 규정"에 따라 이 고시에 대하여 2019년 1월 1일을 기준으로 매3년이 되는 시점(매 3년째의 12월 31일까지)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.

 

---

생각보다 새롭게 알게된 내용이 좀 있었다.

고시는 어느정도 봤으니까 이제 인증제도 안내서를 하나씩 뜯어서 공부해봐야겠다.