ISMS, ISMS-P 체크인

ISMS 인증 기관 및 기간

포스팅 뷰102

ISMS 인증 기관

ISMS(정보보호 관리체계) 인증은 정책기관, 인증기관, 심사기관이 각각의 역할을 수행하며 관리됩니다. 인증을 신청하는 기업이나 기관은 이들 기관의 역할을 이해하고, 인증 절차를 효과적으로 진행하는 것이 중요합니다.

ISMS 인증 기관의 분류

정책기관은 ISMS 인증과 관련한 법과 제도를 개선하고, 인증 정책을 결정하며, 인증기관 및 심사기관을 지정하는 역할을 합니다.

과학기술정보통신부: 정보보호 관리체계(ISMS) 인증 제도의 총괄 정책을 담당하며, 관련 법률을 제정 및 개정하는 역할을 수행합니다.
개인정보보호위원회: 개인정보 보호 관련 정책을 수립하고, ISMS-P(정보보호 및 개인정보보호 관리체계) 인증과 관련된 사항을 총괄합니다.

인증기관은 신청기관이 구축·운영하는 정보보호 관리체계를 인증 기준에 따라 심사하고, 인증위원회를 운영하여 적합한 기관에 인증서를 발급합니다.

한국인터넷진흥원(KISA):
- ISMS 인증위원회를 운영하며, 인증심사원 양성 및 자격 관리를 담당합니다.
- 인증 제도 및 기준을 개선하는 등 ISMS 인증제도의 전반적인 운영을 수행합니다.
금융보안원(FSI):
- 금융권에 특화된 ISMS 인증위원회를 구성하여 운영합니다.
- 금융권의 인증심사 및 인증서 발급 업무를 수행합니다.

심사기관은 정보보호 및 개인정보보호 관리체계가 인증 기준에 적합한지를 심사하는 역할을 수행합니다. 또한, 심사 과정에서 발견된 결함사항에 대한 보완 조치 이행 여부를 확인합니다.

각 기관은 정보보호 관리체계 심사를 수행하며, 기업이 ISMS 인증을 취득하고 유지할 수 있도록 지원합니다.

ISMS 인증을 받기 위해서는 여러 단계를 거쳐야 합니다. 기업은 준비 단계부터 인증 유지까지 철저한 계획을 수립해야 하며, 인증 절차를 효과적으로 진행하기 위해서는 각 단계별 소요 기간을 정확히 이해하는 것이 중요합니다.

ISMS 인증 기간

ISMS 인증을 받기 위해서는 먼저 조직의 정보보호 관리체계를 구축하고 일정 기간 운영해야 합니다.

관리체계 구축 및 운영: 최소 2개월 이상
- 조직의 정보보호 정책 및 지침을 수립하고, 정보자산을 식별한 후 보호대책을 적용해야 합니다.
- 최소 2개월 이상의 운영 기간이 필요하며, 이 기간 동안 정보보호 관리체계가 정상적으로 작동하는지를 점검해야 합니다.

ISMS 인증심사를 받기 위해 필요한 사전 준비 과정으로, 심사 신청부터 심사 전 보완 조치까지 포함됩니다.

심사 8주 전: 인증 신청
- 인증을 신청하는 기관은 인증 신청 공문을 제출해야 합니다.
심사 6주 전: 내부 점검 및 문서 정리
- 심사를 원활하게 진행하기 위해 내부 점검을 수행하고, 심사 대응을 위한 문서를 정리해야 합니다.

본 심사를 진행하며, 심사 결과에 따라 보완 조치 후 최종 인증이 결정됩니다.

본 심사(1~2주 소요)
- 조직의 정보보호 관리체계 운영 현황을 점검하며, 심사원이 현장 심사를 수행합니다.
보완 조치 및 조치 결과 확인(최대 100일 이내)
- 심사 과정에서 발견된 결함 사항을 보완해야 하며, 기본 보완 기간은 40일이며 필요 시 최대 60일까지 연장 가능합니다.
- 총 100일 이내에 보완 조치가 완료되지 않으면 인증이 취소될 수 있습니다.
심사결과 보고서 작성(30일 이내)
- 심사원은 심사 결과를 정리하여 인증위원회에 보고합니다.
인증위원회 심의(2~4주 소요)
- 인증위원회에서 심사 결과를 검토하며, 인증 적합 여부를 심의·의결합니다.
인증서 발급(심의·의결 후 2주 이내)

ISMS 인증을 취득하는 것은 단순한 1회성 절차가 아니라 지속적인 관리가 필요한 과정입니다.

인증을 받기 위한 준비 기간과 심사 과정에서의 주요 사항을 충분히 이해하고, 체계적인 접근 방식을 통해 원활한 인증 절차를 진행해보세요!