ISMS-P에 대해 알아보겠습니다.

Ⅰ. ISMS-P 란?

ISMS-P는 "Information Security Management System - Personal Information Protection Management System"의 약자로, 정보보호 및 개인정보보호 관리체계 인증 제도를 의미합니다. 이는 기업이나 기관이 정보보호와 개인정보보호를 체계적으로 관리하고 있는지를 인증해주는 제도입니다. 한국인터넷진흥원(KISA)과 개인정보보호위원회에서 주관하며, 정보보호와 개인정보보호를 통합 관리하는 체계를 구축하고 유지하는 것을 목표로 합니다.

Ⅱ. ISMS-P 역사

'정보보호 및 개인정보보호 관리체계 인증'(ISMS-P : Personal information & Information Security Management System)은 '개인정보보호 관리체계 인증(PIMS)'과 '정보보호 관리체계 인증(ISMS)'으로 개별 운영되던 인증체계를 하나로 통합한 '통합인증제도'로 2018년 11월 7일부터 시행되었습니다.

Ⅲ. ISMS-P 특징

ⅰ) 통합 관리체계
ISMS-P는 정보보호와 개인정보보호를 통합적으로 관리할 수 있도록 설계되었습니다. 이를 통해 조직은 두 가지 영역을 효율적으로 관리할 수 있습니다.
 ⅱ) 법적 준수
ISMS-P는 국내 정보보호 및 개인정보보호 관련 법규를 준수하도록 설계되어 있습니다. 이는 조직이 법적 요구 사항을 충족하도록 도와줍니다.
 ⅲ) 체계적 접근
ISMS-P는 리스크 기반 접근 방식을 통해 정보보호 및 개인정보보호 활동을 체계적으로 관리할 수 있도록 합니다. 이를 통해 조직의 보안 수준을 지속적으로 개선할 수 있습니다.
 ⅳ) 인증 절차
ISMS-P 인증을 받기 위해서는 엄격한 심사 과정을 거쳐야 합니다. 이는 조직의 보안 및 개인정보 보호 수준을 외부적으로 검증받는 과정입니다.

 

Ⅳ. ISMS-P 감사항목

1. 정보보호 관리체계
    ⅰ. 관리적 보호대책
           1) 정보보호 정책 수립 및 운영
           2) 정보보호 조직 구성
           3) 정보보호 교육 및 훈련
           4) 자산 관리
           5) 인적 보안
           6) 외부자 보안
    ⅱ.  기술적 보호대책
           1)  접근 통제
           2)  암호화
           4)  침입 탐지 및 방지
           5)  네트워크 보안
           6)  시스템 보안
           7)  응용 프로그램 보안
    ⅲ. 물리적 보호대책
           1)  물리적 접근 통제
           2)  환경 보안
           3)  설비 보호
2. 개인정보보호 관리체계
    ⅰ. 관리적 보호대책
           1) 개인정보 처리 방침 수립 및 공개
           2) 개인정보 보호 조직 구성
           3) 개인정보 보호 교육 및 훈련
           4) 개인정보 보호 관리 체계 운영
    ⅱ. 기술적 보호대책
           1) 개인정보 암호화
           2) 접근 통제
           3) 로그 및 접속 기록 관리
           4) 개인정보 파기
    ⅲ. 물리적 보호대책:
           1) 개인정보 처리 장소의 출입 통제
           2) 개인정보 저장 매체의 안전한 보관
3. 통합 관리체계
    ⅰ. 정보보호 및 개인정보보호 관련 법적 요구 사항의 준수 여부
    ⅱ.  정보보호 및 개인정보보호 목표 설정 및 성과 관리
    ⅲ.  리스크 평가 및 관리
    ⅳ.  사고 대응 및 복구
    ⅴ.  감사 및 모니터링
    ⅵ.  개선 활동

Ⅴ. ISMS-P 감사 절차

  1. 사전 준비
    ⅰ. 자가 진단
    ⅱ. 내부 감사
  2. 서면 심사
    ⅰ. 문서 검토
    ⅱ. 관련 자료 요청
 3. 현장 심사
   ⅰ. 실사
   ⅱ. 인터뷰
 4. 결과 평가
   ⅰ. 심사 결과 보고서 작성
   ⅱ. 개선 사항 제안
 5. 인증 발급
   ⅰ. 최종 평가 후 인증서 발급

Ⅴ. ISMS-P 요약

구분		통합인증	분야(인증기준 개수)
ISMS-P	ISMS	1. 관리체계 수립 및 운영(16)	1.1 관리체계 기반 마련(6) 1.2 위험관리(4) 1.3 관리체계 운영(3) 1.4 관리체계 점검 및 개선(3)
		2. 보호대책 요구사항(64)	2.1 정책, 조직, 자산 관리(3) 2.2 인적보안(6) 2.3 외부자 보안(4) 2.4 물리보안(7) 2.5 인증 및 권한 관리(6) 2.6 접근통제(7) 2.7 암호화 적용(2) 2.8 정보시스템 도입 및 개발 보안(6) 2.9 시스템 및 서비스 운영관리(7) 2.10 시스템 및 서비스 보안관리(9) 2.11 사고 예방 및 대응(5) 2.12 재해복구(2)
	PIMS	3. 개인정보 처리단계별 요구사항(22)	3.1 개인정보 수집 시 보호조치(7) 3.2 개인정보 보유 및 이용 시 보호조치(5) 3.3 개인정보 제공 시 보호조치(3) 3.4 개인정보 파기 시 보호조치(4) 3.5 정보주체 권리보호(3)