ISMS

ISMS 인증 절차

 

정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 "정보통신망법"이라 한다)에 PIMS와 ISMS 에 대한 내용 有

 

개인정보보호 법에 PISMS 대한 내용 有

 

정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 이란 인증 신청인의 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원 또는 인증기관이 증명하는 것을 말한다.

 

정보보호 관리체계 인증(ISMS) 이란 인증 신청인의 정보보호 관련 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 것을 말한다. 

 

인증기관 이란 인증에 관한 업무를 수행할 수 있도록 정보통신망법 제47조제6항과 제47조의3제3항, 개인정보 보호법 시행령 제34조의6제1항제2호 및 제2항에 따라 과학기술정보통신부장관, 행정안전부장관 및 방송통신위원회가 지정하는 기관을 말한다.

 

심사기관이란 인증심사 업무를 수행할 수 있도록 정보통신망법 제47조제7항과 제47조의3제3항, 개인정보 보호법 시행령 제34조의6제1항제2호 및 제2항에 따라 과학기술정보통신부장관, 행정안전부장관 및 방송통신위원회가 지정하는 기관을 말한다.

 

업무수행 요건 능력 심사란 인증기관 또는 심사기관으로 지정받고자 신청한 법인 또는 단체의 업무수행 요건 능력을 심사하는 것을 말한다.

 

인증심사란 신청기관이 수립하여 운영하는 관리체계가 인증기준에 적합한지의 여부를 인터넷진흥원 인증기관 또는 심사기관이 서면심사 및 현장심사의 방법으로 확인하는 것을 말한다.

 

인증위원회란 인터넷진흥원 또는 인증기관의 장이 인증심사 결과 등을 심의 의결하기 위해 설치 운영하는 기구로서 위원장과 위원으로 구성된다.

 

인증심사원이란 인터넷진흥원으로부터 인증심사를 수행할 수 있는 자격을 부여받고 인증심사를 수행하는 자를 말한다.

 

최초심사란 처음으로 인증을 신청하거나 인증범위에 중요한 변경이 있어서 다시 인증을 신청한 때 실시하는 인증심사를 말한다.

 

사후심사란 인증(인증이 갱신된 경우를 포함한다)을 받고난 후 매년 사후관리를 위하여 실시하는 인증심사를 말한다.

 

갱신심사란 유효기간 만료로 유효기간 갱신을 위해 실시하는 인증심사를 말한다.

 

 

 

 

협의회의 구성

과학기술정보통신부장관, 행정안전부장관 및 방송통신위원회는 정보보호 및 개인정보보호 관리체계 인증 운영에 관한 정책 사항을 협의하기 위하여 정보보호 및 개인정보보호 관리체계 인증 협의회를 운영한다.

 

 

지정공고

과학기술정보통신부장관, 행정안전부장관 및 방송통신위원회는 인증기관 또는 심사기관을 지정할 필요가 있는 때에는 협의회에서 지정대상 기관의 수, 업무의 범위, 신청방법 등을 미리 협의하고 관보 또는 인터넷 홈페이지에 20일 이상 공고해야 한다.

※ PIA는 관보 또는 인터넷 홈페이지에 15일 이상 공고

 

인증기관과 심사기관은 매년 1월 31일까지 다음 각 호의 서류를 작성하여 과학기술정보통신부장관, 행정안전부장관 및 방송통신위원회에 제출하여야 한다.

- 인증 실적 보고서 (해당 시)

- 인증심사실적 보고서 (해당 시)

 

인증기관 및 심사기관 지정의 유효기간은 3년이며 유효기간이 끝나기 전 6개월부터 끝나는 날까지 재지정을 신청할 수 있으며 제6조제2항 각 호의 서류를 과학기술정보통신부장관, 행정안전부장관 및 방송통신위원회에 제출하여야 한다. 이 경우 재지정의 신청에 대한 처리결과를 통지받을 때 까지는 그 지정이 계속 유효한 것으로 본다.

 

 

과학기술정보통신부장관, 행정안전부장관 및 방송통신위원회는 제1항에 따른 재지정 신청을 받은 때에는 별표 2 업무수행 요건 능력 심사에 관한 세부기준에 따른 적합 여부를 심사하여 신청을 받은 날 부터 3개월 이내에 그 결과를 신청기관에 통지하고, 인증기관 또는 심사기관으로 지정되는 신청기관에 제7조제4항의 지정서를 발급하여야 한다.

 

 

인증기관 및 심사기관은 인증심사의 공정성 및 독립성 확보를 위해 다음 각 호의 행위가 발생되지 않도록 노력하여야 한다.

1. 정보보호 및 개인정보보호 관리체계 구축과 관련된 컨설팅 업무를 수행하는 행위

2. 정당한 사유 없이 인증절차, 인증기준 등의 일부를 생략하는 행위

3. 조직의 이익 등을 위해 인증심사 결과에 영향을 주는 행위

4. 그 밖에 인증심사의 공정성 및 독립성을 훼손할 수 있는 행위

 

 

심사원보, 심사원, 선임심사원 자격요건

 

심사원보 : 인증심사원 자격 신청 요건을 만족하는 자로서

           KISA의 인증심사원 양성과정 통과하여 수료 후 자격을 취득한 자

심사원 :  심사원보 자격 취득자로서 ISMS-P / ISMS를 4회 이상,  심사일수 20일 이상

선임심사원 : 심사원 자격 취득자로서 ISMS-P를 3회 이상, 심사일 수 15일 이상

 

※ KISA는 인증심사 능력에 따라 매년 책임심사원을 지정할 수 있다.

 

인증심사원의 자격 유효기간은 자격을 부여 받은 날부터 3년으로 한다.

※ PIA는 인증서를 교부받은 후 매 2년이 경과한 경우

 

인증심사원은 자격유지를 위해 자격 유효기간 만료 전까지 인터넷진흥원이 인정하는 보수교육을 수료하여야 한다.

※ PIA는 보수교육이 아닌 계속교육

 

인터넷진흥원은 자격 유효기간 동안 1회 이상의 인증심사를 참여한 인증심사원에 대하여 제2항의 보수교육 시간 중 일부를 이수한 것으로 인정할 수 있다.

 

< 인터넷진흥원은 인증정보를 제공하는 홈페이지에 제2항의 보수교육 운영에 관한 세부내용을 공지하여야 한다. >

 

인터넷진흥원은 제2항의 요건을 충족한 인증심사원에 한하여 별지 제8호서식의 정보보호 및 개인정보보호 관리체계 인증심사원 자격 증명서를 갱신하여 발급하고 자격 유효기간을 3년 연장한다.

 

 

신청인의 사전 준비사항

정보보호 및 개인정보보호 관리체계 인증을 취득하고자 하는 자(이하 "신청인"이라 한다)는 인증을 신청하기 전에 인증기준에 따른 정보보호 및 개인정보보호 관리체계 또는 정보보호 관리체계를 구축하여 최소 2개월 이상 운영하여야 한다.

※ ISO 27001 / BS10012 는 최소 3개월 이상 운영해야함

 

신청인은 다음 각 호의 인증을 선택하여 신청할 수 있다.

1. 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)

2. 정보보호 관리체계 인증(ISMS)

※ PIMS 만 받을수는 없다

 

정보보호 관리체계 인증(ISMS) 의무대상자 

- ISP 전기통신사업법의 전기통신 사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자

- IDC 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자

- 정보통신서비스 부문 전년도 매출액 100억원 이상

- 정보통신서비스 부문 전년도 말 기준 직전 3개월 간 일일 평균 이용자수 100만명 이상

- 직전연도 12월 31일까지 재학생수가 10000명 이상인 병원, 고등교육법에 해당하는 학교

※ ISMS-P 인증 의무대상자는 없다.

 

수수료의 산정

인증 수수료 = 직접인건비 + 제경비 + 기술료 + 직접경비

직접 인건비 : 인증심사에 투입되는 인증심사원에 대한 인건비

제경비 : 최대 직접 인건비 * 120%로 산정

기술료 : 최대 (직접인건비+제경비) * 40% 로 산정

직접 경비 : 인증심사업무의 수행에 따라 발생하는 교통비, 숙박비 및 식대 등 인증심사업무에 소요되는 직접적인 경비

 

 

ISMS-P는 인증기준 중 가, 나, 다 모두 적용

ISMS 는 인증기준 중 가, 나 적용

 

 

인증심사 방법

서면 심사는 별표 7의 인증기준에 적합한지에 대하여 정보보호 및 개인정보보호 관리체계 구축 운영 관련 정책, 지침, 절차 및 이행의 증적자료 검토, 정보보호대책 및 개인정보 처리단계뼐 요구사항 적용 여부 확인 등의 방법으로 관리적 요소를 심사한다.

 

현장 심사는 서면심사의 결과와 기술적 물리적 보호대책 이행여부를 확인하기 위하여 담당자 면담, 관련 시스템 확인 및 취약점 점검 등의 방법으로 기술적 요소를 심사한다.

 

 

심사수행기관은 인증심사에서 발견된 결함에 대해 심사종료 다음날부터 최대 100일(재조치 요구 60일포함) 이내에 보완 조치를 완료하도록 신청인에게 요구할 수 있다.

 

심사수행기관은 인증위원회 심의결과에 따라 인증위원회 종료 다음날부터 30일 이내에 신청인에게 추가 보완 조치를 요구할 수 있다.

 

 

 

심사중단 할 수 있는 경우

1. 신청인이 고의로 인증심사의 실시를 지연 또는 방해하거나 신청인의 귀책사유로 인하여 인증심사팀장이 인증심사를 계속 진행하기가 곤란하다고 판단하는 경우

2. 신청인이 제출한 관련 자료 등을 검토한 결과 인증심사를 받을 준비가 되엇다고 볼 수 없는 경우

3. 인증심사 후 제25조제4항에 따른 보완조치를 최대 100일(재조치 요구 60일 포함) 이내에 완료하지 않은 경우

4. 천재지변 및 경영환경 변화 등으로 인하여 인증심사 진행이 불가능하다고 판단되는 경우

 

 

 

사후관리

인증을 취득한 자는 인증서 유효기간(3년) 중 연 1회 이상 심사수행기관에 사후심사를 신청하여야 한다

 

인증의 갱신

인증을 취득한 자는 인증서 유효기간 만료 3개월 전에 갱신심사를 신청하여야 한다.

 

 

인증위원회의 구성

인터넷진흥원 또는 인증기관의 장은 다음 각 호의 사항을 심의 의결하기 위하여 인증위원회를 설치 운영하여야 한다.

1. 최초심사 또는 갱신심사 결과가 인증기준에 적합한지 여부

2. 제35조제1항에 따른 인증의 취소에 관한 사항

3. 제36조에 따른 이의신청에 관한 사항

4. 그 밖에 정보보호 및 개인정보보호 관리체계 인증과 관련하여 위원장이 필요하다고 인정하는 사항

 

인증위원회는 35인 이내의 위원으로 구성

 

인증위원회 회의는 인터넷진흥원 또는 인증기관의 요구로 개최하되, 회의마다 위원장과 인증위원의 전문분야를 고려하여 6인 이상의 인증위원으로 구성한다.

 

인너텟진흥원 또는 인증기관의 장은 인증위원회의 심의안건을 검토하여 위원회 개최 5일 전까지 인증위원회에 제출한다. 다만, 긴급한 경우나 부득이한 사유가 있는 경우에는 그러하지 아니한다.

 

인증서의 발급 등

인터넷진흥원 또는 인증기관의 장은 인증위원회에서 인증적합으로 판정된 경우 그 결과에 따라 신청인에게 별지 제11호서식의 정보보호 및 개인정보보호 관리체계 인증서 또는 별지 제12호서식의 정보보호 관리체계 인증서를 발급하여야 한다.

인증서의 유효기간은 3년으로 한다.

 

 

인증의 표시 및 홍보

인증의 표시를 사용하는 경우에는 인증범위 및 유효기간을 함께 표시하여야 한다.

인터넷진흥원은 인증정보를 제공하는 홈페이지를 통해 인증현황을 공개하여야 한다.

 

인증이 취소되는 경우 이의제기를 15일 이내에 신청할 수 있다.