닫기

세상 모든 보안 이야기

보안 백과사전

용어를 이해하면 보안이 보입니다

보안용어 백과사전

누구나 손쉽게 따라하는

보안 가이드

인증, 어렵지 않아요!

ISMS 체크인 가이드북

Coming Soon

보안 유출사고 대응전략

좌우로 움직여보세요

ISMS, ISMS-P 실전 대비

ISMS, ISMS-P 인증 분야

포스팅 뷰92

ISMS, ISMS-P 인증 분야

기업과 기관이 정보보호 관리체계를 구축하고 인증을 획득하기 위해서는 ISMS(정보보호 관리체계) 및 ISMS-P(개인정보보호 관리체계) 인증을 이해하고 준비하는 것이 중요합니다. 이 두 가지 인증은 정보보호 및 개인정보 보호를 위한 필수적인 기준을 제시하며, 각각의 인증 항목과 요구사항이 조직의 보안 수준을 결정하는 핵심 요소로 작용합니다. 이번 시간에는 ISMS와 ISMS-P 인증의 차이점과 각각의 주요 요구사항을 상세히 살펴보겠습니다.


1. ISMS vs ISMS-P 인증, 무엇이 다를까?

ISMS(정보보호 관리체계) 인증

ISMS 인증은 조직이 정보보호 관리체계를 적절히 수립하고 운영하고 있는지를 평가하는 인증 제도입니다.

정보보호 정책부터 물리적 보안, 접근 통제, 사고 대응까지 총망라하는 인증으로, 관리체계 수립 및 운영(16개 항목)과 보호대책 요구사항(64개 항목)을 포함하여 총 80개 항목으로 구성됩니다.


ISMS 인증이 필요한 조직

  • 대규모 기업 및 금융기관: 민감한 데이터를 관리하고 정보보호가 필수적인 조직

  • 공공기관 및 정부기관: 국가 및 공공 데이터를 보호하기 위한 필수 요건

  • IT 및 클라우드 서비스 제공업체: 고객의 데이터를 보호하고 신뢰도를 확보해야 하는 기업

  • e커머스 및 플랫폼 기업: 사용자 정보 보호와 보안 사고 예방을 위한 조치

ISMS-P(개인정보보호 관리체계) 인증

ISMS-P 인증은 ISMS 인증 체계를 기반으로 개인정보 보호 요구사항을 추가한 인증입니다.

개인정보를 수집, 저장, 이용, 제공, 파기하는 모든 과정에서 안전성을 확보하는 것을 목표로 하며,

ISMS 인증의 80개 항목에 개인정보 처리단계별 요구사항(21개 항목)을 포함하여 총 101개 항목으로 구성됩니다.


ISMS-P 인증이 필요한 조직

  • 개인정보를 대량으로 처리하는 기업 (예- 금융사, 의료기관, 통신사 등)

  • 온라인 서비스 및 플랫폼 운영사 (예- 전자상거래, SNS, 핀테크 기업)

  • 공공기관 및 교육기관 (예- 주민등록번호, 학생 정보 등을 보유하는 기관)

  • B2C 서비스 제공 기업 (예- 고객 데이터가 핵심인 기업)


2. ISMS 및 ISMS-P 인증 항목 상세 분석

(1) 보호대책 요구사항 (ISMS & ISMS-P 공통)

보호대책 요구사항은 조직의 전반적인 정보보호를 위한 핵심 기준이며, 다음과 같은 항목들로 구성됩니다.

  • 정책, 조직, 자산관리: 정보보호 정책 수립, 조직 구성, 자산 식별 및 보호

  • 인적 보안: 내부 직원 및 외부자의 보안 교육, 접근 권한 관리

  • 외부자 보안: 협력업체 및 외부 기관과의 보안 협약 및 통제 절차

  • 물리 보안: 데이터센터 및 주요 시설의 접근통제 및 환경 보호

  • 인증 및 권한 관리: 사용자 인증 방식, 계정 관리 및 권한 부여 기준

  • 접근통제: 네트워크 및 시스템 접근 권한 설정 및 운영

  • 암호화 적용: 주요 데이터의 암호화 저장 및 전송 보안

  • 정보시스템 도입 및 개발 보안: 보안 요구사항을 반영한 시스템 개발 및 운영

  • 시스템 및 서비스 운영관리: 보안 패치, 로그 관리, 취약점 점검

  • 시스템 및 서비스 보안관리: 침입 탐지 시스템(IDS), 방화벽 운영 등

  • 사고 예방 및 대응: 보안 사고 대응 계획 및 위기 관리 절차

  • 재해복구: 재해 발생 시 데이터 복구 및 서비스 연속성 보장

이러한 보호대책 요구사항은 모든 기업과 기관이 반드시 준수해야 하는 핵심 보안 조치이며, 정보보호 사고 예방 및 대응을 위한 필수 요건입니다.


(2) 개인정보 처리단계별 요구사항 (ISMS-P 전용)

ISMS-P 인증에서는 개인정보 보호를 강화하기 위해 개인정보 처리 단계별로 추가적인 요구사항이 적용됩니다.

이 요구사항들은 개인정보가 처리되는 전 과정에서의 보안 대책을 규정합니다.

  • 개인정보 수집 시 보호조치: 수집 최소화, 동의 절차 명확화, 목적 제한

  • 개인정보 보유 및 이용 시 보호조치: 저장 시 암호화, 접근통제, 최소 권한 원칙 준수

  • 개인정보 제공 시 보호조치: 제3자 제공 시 사전 동의 및 로그 관리

  • 개인정보 파기 시 보호조치: 파기 절차 명확화, 안전한 삭제 기술 적용

  • 정보주체 권리 보호: 열람, 정정, 삭제 요청 처리 절차 수립 및 운영

이러한 요구사항을 충족하는 것은 고객의 개인정보 보호뿐만 아니라, 법적 리스크를 최소화하고 기업의 신뢰도를 높이는 데 중요한 역할을 합니다.


3. ISMS & ISMS-P 인증을 준비하는 방법

ISMS 및 ISMS-P 인증을 효과적으로 준비하기 위해서는 체계적인 접근이 필요합니다. 다음과 같은 단계를 거쳐 준비할 수 있습니다.

  1. 현재 보안 수준 평가: 내부 보안 실태 진단 및 취약점 분석

  2. 정보보호 및 개인정보보호 정책 수립: 내부 정책을 인증 기준에 맞게 개정

  3. 기술적/관리적 보호대책 강화: 접근통제, 암호화, 침입탐지 시스템 구축 등

  4. 직원 교육 및 인식 제고: 전사적인 보안 인식 개선을 위한 교육 진행

  5. 사전 점검 및 내부 심사 수행: 외부 심사 전에 자체 점검을 통해 미비점 보완

  6. 공식 심사 신청 및 대응: 인증 기관과의 심사 일정을 조율하고 필요한 자료 제출


ISMS 및 ISMS-P 인증은 조직이 체계적인 정보보호 및 개인정보보호 체계를 운영하고 있음을 증명하는 중요한 지표입니다.

기업의 보안 수준을 강화하고 법적 리스크를 줄이는 동시에 고객 및 협력사로부터 신뢰를 얻는 효과도 기대할 수 있죠.


조직의 특성과 운영 방식에 따라 ISMS 또는 ISMS-P 인증을 선택하여 준비하고, 철저한 대비를 통해 인증을 성공적으로 획득하는 것이 중요합니다.

이를 통해 안전한 정보 환경을 구축하고, 지속적인 보안 강화를 실현해 나가시길 바랍니다.😆