정보 보호 관리 체계란 무엇인가?
정보 보호 관리 체계(ISMS)는 조직이 정보 자산을 안전하게 보호하기 위해 수립한 일련의 조치와 절차를 말합니다.
ISMS 인증은 정보통신망법 및 개인정보보호법에 근거하여 기업과 기관이 자사의 정보보호와 개인정보보호 역량을 평가받고 인증을 받는 제도입니다.
이 인증을 통해 기업은 신뢰성과 비즈니스 안전성을 높이고, 법적 준거성을 확보하며, 사이버 침해사고에 효과적으로 대응할 수 있습니다.
이번 포스트에서는 ISMS-P 인증의 세부 내용과 절차, 기대 효과 등에 대해 자세히 알아보겠습니다.
목차
정보 보호 관리 체계란?
정보 보호 관리 체계(ISMS)는 정보통신망의 안전성을 확보하고 개인정보를 보호하기 위해 조직이 수립한 일련의 조치와 절차를 의미합니다.
이는 정보 보호 정책 수립, 위험 관리, 보안 통제, 정보보호 교육 등 다양한 활동을 포함하며, 조직의 정보보호 역량을 종합적으로 평가받아 인증을 획득하는 것을 목표로 합니다.
ISMS-P는 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합한 통합 인증제도로, 2018년 11월부터 시행되었습니다.
ISMS-P 인증의 법적 근거
ISMS-P 인증은 정보통신망법 및 개인정보보호법에 의해 규정됩니다.
주요 법적 근거는 다음과 같습니다:
- 정보통신망 이용촉진 및 정보보호에 관한 법률 제47조
- 정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제47조~제54조
- 개인정보보호법 제32조의2
이 법적 근거에 따라 ISMS-P 인증은 과학기술정보통신부와 개인정보보호위원회의 관리 하에 진행됩니다.
ISMS-P 인증 절차
ISMS-P 인증 절차는 다음과 같이 진행됩니다:
- 인증심사 신청
- 인증기관의 예비점검 및 계약
- 인증심사팀 구성
- 인증심사
- 보완조치 결과 제출
- 심사결과 보고서 제출
- 인증위원회의 심의 및 의결
- 인증서 발급
- 사후관리
이 과정을 통해 조직은 체계적인 정보보호 관리체계를 구축하고, 그에 대한 인증을 받게 됩니다.
인증기준과 대상
ISMS-P 인증기준은 다음과 같이 구분됩니다:
- 관리체계 수립 및 운영
- 보호대책 요구사항
- 개인정보 처리단계별 요구사항
인증대상은 의무대상자와 자율신청자로 나뉘며, 의무대상자는 일정한 매출액 이상의 기업, 상급종합병원, 일정 규모 이상의 학교 등이 포함됩니다.
자세한 기준과 대상에 대한 내용은 여기에서 확인할 수 있습니다.
ISMS-P 인증의 기대 효과
ISMS-P 인증을 받으면 다음과 같은 기대 효과를 얻을 수 있습니다:
- 신뢰성과 이미지 향상: 기업과 기관의 정보보호 신뢰성과 이미지가 향상됩니다.
- 비즈니스 안전성 제고: 정보보호 위험관리 및 개인정보보호 역량 강화를 통한 비즈니스 안전성을 높일 수 있습니다.
- 법적 준거성 확보: 정보보호와 개인정보보호의 법적 준거성을 확보할 수 있습니다.
- 사이버 침해사고 대응: 융합화·고도화되는 사이버 침해위협에 효과적으로 대응할 수 있습니다.
결론
정보 보호 관리 체계(ISMS-P)는 정보보호와 개인정보보호를 위한 필수적인 제도입니다.
기업과 기관은 ISMS-P 인증을 통해 정보보호 역량을 강화하고, 신뢰성과 비즈니스 안전성을 높일 수 있습니다.
또한, 법적 준거성을 확보하여 윤리 경영을 실현하고, 사이버 침해사고에 효과적으로 대응할 수 있습니다.
정보보호와 개인정보보호에 대한 중요성이 점점 커지고 있는 현대 사회에서 ISMS-P 인증은 매우 중요한 역할을 하고 있습니다.