안녕하세요. 저는 중소기업에서 20년 가까이 프로그램 개발과 서버 운영 업무를 하다가 회사가 ISMS 의무기업이 되면서 보안담당자라는 직무까지 맡게 되었습니다. 쉽지 않았던 ISMS 인증 과정을 돌아보며 이 글을 쓰게 되었습니다. 먼저 ISMS 심사기관이나 심사위원과는 약간의 입장 차이가 있을 수 있음을 말씀드립니다.
몇 년 전 과기부로부터 ISMS 인증의무기업에 해당한다는 공문을 받았습니다.
주요 내용은 다음과 같았습니다:
1. 회사가 ISMS 인증 의무기업 기준(매출 100억 이상)에 해당하므로, 공문 수령 후 다음 해 8월까지 인증을 완료해야 함
2. 의무기업이 아니라고 판단되면 이의제기 가능
3. ISMS 또는 ISMS-P 중 선택하여 인증 가능
회사 매출이 100억을 넘은 지 몇 년이 지났고, ISMS 인증에 대해 이미 알고 있었기에 이런 공문이 올 것이라 예상했습니다. 그래서 KISA의 ISMS 소개 웹사이트를 먼저 찾아보게 되었습니다.
제도소개
1. ISMS-P 인증의 개요
정보보호 및 개인정보보호 관리체계 인증 ( ISMS-P )
정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
정보보호 관리체계 인증 ( ISMS )
정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
2. ISMS-P 법적근거
정보통신망 이용촉진 및 정보보호에 관한 법률 제47조
정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제47조~제54조
정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제3조
개인정보보호법 제32조의 2
개인정보보호법 시행령 제34조의 2~제34조의 8
정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
3. 인증체계
4. 인증기준
| ISMS-P | ISMS | 1.관리체계 수립 및 운영(16) | 1.1 관리체계 기반 마련(6) 1.3 관리체계 운영(3) | 1.2 위험관리(4) 1.4 관리체계 점검 및 개선(3) |
| 2.보호대책 요구사항(64) | 2.1 정책, 조직, 자산 관리(3) 2.3 외부자 보안(4) 2.5 인증 및 권한 관리(6) 2.7 암호화 적용(2) 2.9 시스템 및 서비스 운영관리(7) 2.11 사고 예방 및 대응(5) | 2.2 인적보안(6) 2.4 물리보안(7) 2.6 접근통제(7) 2.8 정보시스템 도입 및 개발 보안(6) 2.10 시스템 및 서비스 보안관리(9) 2.12 재해복구(2) | ||
| - | 3.개인정보 처리단계별 요구사항(21) | 3.1 개인정보 수집 시 보호조치(7) 3.3 개인정보 제공 시 보호조치(4) 3.5 정보주체 권리보호(3) | 3.2 개인정보 보유 및 이용 시 보호조치(5) 3.4 개인정보 파기 시 보호조치(2) |
신청절차
1. ISMS-P 인증심사 절차
| - 신청 단계 : 신청공문 + 인증신청서, 관리체계운영명세서, 법인/개인 사업자 등록증 - 계약 단계 : 수수료 산정 > 계약 > 수수료 납부 - 심사 단계 : 인증심사 > 결함보고서 > 보완조치내역서 - 인증 단계 : 최초/갱신심사 심의 의결(인증위원회), 유지(인증기관) |
2. 인증신청 방법
인증심사 신청 시 다음의 서류들을 준비하여 인증 또는 심사기관에 제출한다.
· 인증 신청 공문 1부
· 인증 신청서 1부
· 인증 명세서 1부
· 법인/개인 사업자 등록증 1부
※ 신청서 및 명세서 양식은 홈페이지 자료실에서 다운로드 가능
3. 인증범위
| 구분 | 내용 | |
| ISMS-P | 정보보호 및 개인정보보호 관리체계 인증 | - 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산 - 개인정보 처리를 위한 수집, 보유, 이용, 파기에 관여하는 개인정보처리 시스템, 취급자를 포함 |
| ISMS | 정보보호 관리체계 인증 | - 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산을 포함 |
4. 심사종류
| 구분 | 실행 |
| 최초심사 | 인증을 처음으로 취득할 때 진행하는 심사이며, 인증의 범위에 중요한 변경이 있어 다시 인증을 신청할 때에도 실시한다. 최초심사를 통해 인증을 취득하면 3년의 유효기간이 부여 |
| 사후심사 | 사후심사는 인증을 취득한 이후 정보보호 관리체계가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 시행하는 심사이다. |
| 갱신심사 | 갱신심사는 정보보호 관리체계 인증 유효기간 연장을 목적으로 심사를 말한다. |
5. 인증의 홍보
· 인증 표시를 사용하는 경우 인증의 범위와 유효기간을 함께 표시하여야 하며, 고시에 지정된 색상 등 사용 방법을 준수해야 한다.
· 인증받은 내용을 거짓으로 표시하거나 홍보한 자는 과태료 부과
※ 정보통신망법 : 1천만 원, 개인정보보호법 : 3천만 원
6. 연락처
| 구분 | 기관명 | 이메일 | 전화번호 | |
| 법정 | 인증기관 | 한국인터넷진흥원(KISA) | isms-p@kisa.or.kr | 1544-3770 |
| 지정 | 인증기관 | 금융보안원(FSEC) | isms@fsec.or.kr | 02-3495-9838 |
| 심사기관 | 한국정보통신진흥협회(KAIT) | isms@kait.or.kr | 02-580-0621 | |
| 한국정보통신기술협회(TTA) | isms@tta.or.kr | 010-5110-2748 010-5111-1357 | ||
| 개인정보보호협회(OPA) | Isms-p@opa.or.kr | 02-550-9541~2 | ||
| 차세대정보보안인증원(NISC) | isms@nisc.kr | 02-2081-1339 | ||
인증대상
1. 자율신청자
의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있다.
2. ISMS인증 의무대상자(정보통신망법 제47조 2항)
인증 의무대상자는 「전기통신사업법」 제2조 제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 표에서 기술한 의무대상자 기준에 하나라도 해당되는 자이다.
| 구분 | 의무대상자 기준 |
| ISP | 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 |
| IDC | 정보통신망법 제46조에 따른 집적정보통신시설 사업자 |
| 다음의 조건 중 하나라도 해당하는 자 | 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 - 「의료법」 제3조의4에 따른 상급종합병원 - 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 |
| 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 | |
| 전년도 일일평균 정보통신서비스 이용자 수가 100만 명 이상인 자 |
3. ISMS-P 인증 의무 기업 기준
- 의무대상자는 ISMS, ISMS-P 인증 중 선택 가능
- 의무대상자가 되어 인증을 최초로 신청하는 경우 다음 해 8월 31일까지 인증 취득
※ 이미 인증을 취득한 기업의 경우 해당 없음
4. ISMS-P 인증 의무 불이행 시 제재
ISMS 인증을 받아야 하는 기업이 이를 이행하지 않을 경우, 법적으로 과태료 부과 등 제재를 받을 수 있습니다. 과태료는 기업 규모와 위반 횟수에 따라 달라질 수 있으며, 최대 수천만 원에 이를 수 있습니다. 또한, 정보보호 관리 부실로 인해 발생하는 보안 사고 시, 법적 책임과 더불어 기업 신뢰도가 심각하게 훼손될 수 있으므로 인증을 철저히 준비하는 것이 중요합니다.
과기부 웹사이트 공지사항에 직접 들어가 보면 ISMS 인증 의무 불이행 시 과태료 부과에 대한 공시송달내역을 쉽게 찾아볼 수 있는데 대부분 법적근거에 의해 3천만 원 내외의 과태료가 부과되는 것을 알 수 있습니다.
결론적으로, ISMS 인증은 보안의 전부가 아닌 시작점이며, 법적 요건을 충족하는 동시에 기업의 정보 보호 능력을 강화하는 중요한 수단이라고 생각합니다.
결론
1. 인증항목 : ISMS-P 인증 - 101개, ISMS 인증 - 80개
2. 신청절차 : 최초심사 >> 사후심사 1차 >> 사후심사 2차 >> 갱신심사
3. 인증대상 : 100억 이상의 정보통신서비스 관련 사업매출 또는 100만 명 이상의 이용자를 보관 중인 정보통신서비스 사업자가 ISMS 인증 의무 대상입니다. ( 예, 온라인 쇼핑몰 사업자 )
4. 추가사항 - ISMS 의무기업이 인증 의무를 불이행했을 때에는 3천만 원 내외의 과태료 부과됩니다.