ISMS-P 인증 심사 종류
포스팅 뷰68
ISMS-P 인증 심사란?
ISMS-P(정보보호 및 개인정보보호 관리체계) 인증심사는 조직이 수립한 정보보호 및 개인정보보호 관리체계가 지속적으로 유지되고 있는지를 평가하는 과정입니다. ISMS-P 인증을 받은 기관은 보안 수준을 유지하고 지속적으로 개선하기 위해 정기적으로 심사를 받아야 합니다.
ISMS-P 인증심사는 최초심사, 사후심사, 갱신심사로 구분되며, 각 심사는 인증의 취득, 유지, 갱신을 위해 수행됩니다.
최초심사
대상
-
ISMS-P 인증을 처음 취득하는 조직
-
기존 인증기관이 아닌 다른 인증기관에서 인증을 다시 신청하는 조직
-
인증 범위에 중요한 변경이 발생하여 새로운 인증이 필요한 조직
설명
-
최초심사를 통해 인증을 취득하면 3년의 유효기간이 부여됩니다.
-
조직의 정보보호 및 개인정보보호 관리체계가 인증 기준을 충족하는지 평가합니다.
-
심사 과정에서 관리체계의 설계 및 운영 적정성을 검토하며, 인증 기준을 충족하지 못한 항목에 대해서는 보완 조치를 요구할 수 있습니다.
주요 심사 항목
-
정보보호 및 개인정보보호 정책의 수립 여부
-
위험 관리 체계의 운영 실태
-
개인정보 보호법 및 정보통신망법 준수 여부
-
침해사고 대응 체계 및 정보보호 인력 배치 현황
사후심사
대상
-
ISMS-P 인증을 취득한 모든 기관
설명
-
인증 유효기간(3년) 동안 매년 1회 이상 필수적으로 수행해야 합니다.
-
인증을 유지하는 동안 관리체계가 지속적으로 운영되고 있는지를 점검하는 심사입니다.
-
조직이 최초심사에서 설정한 정보보호 및 개인정보보호 대책을 충실히 이행하고 있는지 확인합니다.
-
고시 제27조(사후관리) 제3항에 따라, 인증을 취득한 범위와 관련하여 침해사고 또는 개인정보 유출 사고가 발생하면, 한국인터넷진흥원(KISA)은 필요에 따라 해당 조직의 보안 강화를 위한 추가 지원을 제공할 수 있습니다.
-
고시 제35조(인증의 취소)에 따라, 사후심사를 수행하지 않으면 인증위원회 심의·의결을 거쳐 인증이 취소될 수 있습니다.
주요 심사 항목
-
정보보호 및 개인정보보호 정책의 지속적인 운영 여부
-
기존 보안 조치의 효과성 점검
-
최신 보안 위협 및 법적 요구사항 반영 여부
-
개인정보 유출 사고 발생 여부 및 대응 현황
갱신심사
대상
-
ISMS-P 인증 유효기간이 만료되는 조직
설명
-
인증 유효기간 만료 전에 갱신심사를 수행해야 하며, 갱신심사를 받지 않으면 인증의 효력이 상실됩니다.
-
갱신심사를 통해 인증 유효기간이 3년 연장됩니다.
-
갱신심사는 최초심사와 동일한 절차로 진행되며, 조직이 기존 인증 요건을 지속적으로 준수하고 있는지를 평가합니다.
-
인증위원회의 심의·의결을 통해 인증의 유효기간 연장이 결정됩니다.
주요 심사 항목
-
인증 이후 변경된 조직의 정보보호 및 개인정보보호 정책 검토
-
지난 3년간의 보안 사고 및 대응 조치 확인
-
내부 보안 감사 및 개선 노력 평가
-
갱신심사를 위한 추가 보완 요구사항 이행 여부
ISMS-P 인증심사 일정 예시
조직이 ISMS-P 인증을 유지하려면 정해진 주기에 따라 심사를 수행해야 합니다. 인증 심사 절차는 다음과 같은 주기로 진행됩니다.
-
최초심사: ISMS-P 인증을 최초 취득하는 과정
-
1년 차 사후심사: 인증 취득 후 1년 내 사후심사 진행
-
2년 차 사후심사: 인증 취득 후 2년 내 사후심사 진행
-
3년 차 갱신심사: 인증 유효기간이 만료되기 전에 갱신심사 진행
갱신심사를 통해 인증이 연장되면 다시 3년간 사후심사를 매년 1회 수행해야 하며, 이후 갱신심사를 진행해야 합니다.
ISMS-P 인증을 취득한 기관은 정보보호 및 개인정보보호 체계를 지속적으로 운영하고 관리해야 합니다.
단순히 한 번 인증을 받는 것으로 끝나는 것이 아니라, 지속적인 심사를 통해 보안 수준을 유지하고 강화해야 하죠.
인증을 유지하지 않으면 법적 책임이 증가할 수 있으며, 고객 및 파트너사의 신뢰를 잃을 수도 있어요.😔
따라서 ISMS-P 인증을 받은 기관은 사후심사 및 갱신심사를 철저히 준비하여 정보보호 관리체계를 안정적으로 유지하는 것이 중요합니다.