어느덧 회사가 정보보호 관리체계를 도입한 지 3년 차에 접어들었습니다. 2024년 7월부터 간편 인증제도가 도입되면서 저희와 같이 중소기업에서는 조금이나마 한숨 돌릴 수 있게 되었습니다. 인증항목도 ISMS 인증기준으로 80개에서 41개로 대폭줄었습니다. 그렇다고 사내 정보보호를 소홀히 할 수는 없겠죠. 매달 정보보호의 날을 통해 로그기록에 대한 검토보고서를 통해 주기적으로 정책/지침/절차대로 정보보호가 이루어지고 있는지 점검하고 분기별/반기별/연별 점검해야 할 사항을 꼼꼼히 살펴보아 사내 정보보호를 실천하는 일을 게을리하지 않고 있습니다.
이번해는 KAIT 를 통해 사후 2년 차 인증을 받게 되었습니다. 2025년에 저희 회사의 ISMS 인증을 감당하시는 심사팀장님으로부터 일정조율이 2024년 12월에 이루어졌고 2025년 1월에 일정이 확정되었습니다. ISMS 운영신청서 및 그 외 서류를 심사기간 8주 전까지 전달드려야 합니다. 최근에 관련 서류를 준비하게 되었는데요. 저희 회사는 최초인증을 ISMS 인증으로 받았고 2년이 지난 올해는 간편 인증으로 사후인증을 진행하게 되었는데요. 관련서류는 아래와 같습니다.
ISMS 인증은 정보통신서비스 부문 매출액 확인서가 필요없지만 ISMS 간편 인증의 경우 매출액 기준으로 7의 2 또는 7의 3으로 구분되기 때문에 정보통신서비스 부문 매출액 확인서가 꼭 필요합니다. 정보통신서비스 부문 매출액 확인서는 100억 미만인 기업을 증명할 때에도 필요합니다.
ISMS-P 인증
- 대표자(CEO) 명의의 공문 ( 대표자 직인필요 )
- 사업자 등록증
- 정보보호 및 개인정보보호 관리체계 운영명세서
- 정보보호 및 개인정보보호 관리체계 운영신청서 ( 대표자 직인필요 )
ISMS-P 간편인증(7의2, 7의 3)
- 정보통신서비스 부문 매출액 확인서 ( 정보보호 및 개인정보보호 관리체계 운영신청서 안에 포함됨 )
정보통신서비스 부문 매출액 확인서는 정보통신서비스 매출액 합계와 비정보통신서비스 매출액 합계를 합친 회사가 서비스하고 있는 전체 총매출액을 작성해야하고요. 총무과(경영지원실)의 도움을 받아 진행하시면 됩니다. 중요한것은 관련 매출 증빙자료가 되겠는데요.
정보통신 매출액 부문 매출 구분(예시)를 잘 살펴보고 해당하는 증빙자료를 첨부하면 되겠습니다.
참고적으로 100억정도의 매출이 나는 규모의 기업이라면 대부분 쇼핑몰의 경우 자사몰을 운영하면서 중개쇼핑몰 이용(입점) 하는 경우가 많을 텐데요. 정보통신서비스 매출액 산정은 자사몰 관련 매출액만 포함하여 정보통신서비스 매출액으로 잡으면 됩니다.
중개쇼핑몰(입점) : 쿠팡, 네이버 스마트 스토어 등
ISMS 인증신청 서류제출시 총무과(경영지원실)의 상황에 따라 손익계산서등이 준비가 미비할수도 있을텐데요. 저도 우선 심사팀장님께 양해를 구하고 2023년도 손익계산서를 첨부해서 운영신청서를 접수 했고요. 2024년도 손익계산서는 4월이후에 별도로 추가접수하기로 했답니다.
아무튼, 아래와 같은 증빙자료를 첨부하였습니다.
- 손익계산서
- 상품매출1 : 자사몰 매출액 ( PG사 매출자료 화면 )
- 상품매출2 : 중개쇼핑몰(입점) 매출자료 화면
- 광고비매출 : 구글 애드센스 / 자사몰 광고 관련 매출자료 화면
(7의 2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의 3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)
심사기관 심사팀장을 통해서 들은내용으로는 ISMS 인증 심사기관은 대부분 3년에 한번씩 바뀐다고 들었습니다. 사후1년차부터 KAIT 와 함께 했으니 내년 ISMS 갱신심사까지는 KAIT와 함께 할것으로 예상합니다. 그런데 심사기관의 사정에 따라 변경될수도 있다고 하는데요. 저희같은경우 최초인증시 TTA 통해서 인증을 받았는데요. 바로 다음해에 KAIT를 통해 받았으니 3년에 한번 기관이 바뀐다는 이야기도 맞는 이야기도 아닐수 있을것 같아요.
마지막으로 기관들의 이메일주소 및 전화번호 남겨봅니다.
| 구분 | 기관명 | 이메일 | 전화번호 | |
| 법정 | 인증기관 | 한국인터넷진흥원(KISA) | isms-p@kisa.or.kr | 1544-3770 |
| 지정 | 인증기관 | 금융보안원(FSEC) | isms@fsec.or.kr | 02-3495-9838 |
| 심사기관 | 한국정보통신진흥협회(KAIT) | isms@kait.or.kr | 02-580-0621 | |
| 한국정보통신기술협회(TTA) | isms@tta.or.kr | 010-5110-2748 010-5111-1357 |
||
| 개인정보보호협회(OPA) | Isms-p@opa.or.kr | 02-550-9541~2 | ||
| 차세대정보보안인증원(NISC) | isms@nisc.kr | 02-2081-1339 | ||
다음 이야기는 ISMS 인증신청후 2~4주후에 진행되는 심사팀장님의 사전점검으로 돌아오겠습니다.
감사합니다. ^^
'ISMS-P 인증 준비' 카테고리의 다른 글
| ISMS-P 인증 준비, 보안 컨설팅을 받을 것인가? (3) | 2024.10.20 |
|---|---|
| ISMS-P 인증 준비, KISA에서 제공하는 온라인/오프라인 학습을 활용하자 (10) | 2024.10.19 |
| ISMS-P 인증 준비, 정부기관에서 제공하는 "안내서"부터 챙겨보자 (12) | 2024.10.19 |
| ISMS-P 인증의 제도소개, 신청절차 그리고 인증대상 (13) | 2024.10.18 |