• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

ISMS-P 통합 인증, 10월 안에 시행된다 2018.10.01

ISMS-P 의무 인증 취득기간, 매년 1월~12월에서 차년도 8월 31일로 개정
인증기준의 경우 유사·중복 통합, 최신 기술과 이슈, 법 개정 요구사항 등 반영

[보안뉴스 김경애 기자] 정보보호 관리체계(ISMS) 인증과 개인정보보호 관리체계(PIMS) 인증이 합쳐진 ISMS-P의 가닥이 잡혔다. △ISMS 의무대상자 인증 취득기간은 매년 1월~12월에서 차년도 8월 31일까지로 연장돼 개정하고 △인증기준은 유사·중복항목은 통합하되, 최신 기술과 이슈, 그리고 법 개정 요구사항 등을 반영해 변경됐다. 또한, △보완조치 기간도 기존 30일에서 40일로 확대됐다.

▲ISMS 인증 마크와 ISMS-P 인증 마크[인증마크=한국인터넷진흥원]


1. ISMS 의무 인증 취득기간, 신규는 차년도 8월 31일로 개정
먼저 ISMS 인증 의무 대상자는 정보보호 관리체계 인증(ISMS)과 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 선택해 취득할 수 있다. 개인정보의 흐름을 갖고 있어 처리단계별 보안 강화가 필요할 경우에는 ISMS-P를, 정보 서비스의 안전성과 신뢰성 확보를 위한 종합적인 체계를 갖추기 원하는 경우에는 ISMS 인증을 취득하면 된다.

ISMS 의무대상자 중 한 번도 인증을 취득한 적이 없는 신규 대상 기업의 경우 매년 1월~12월에서 차년도 8월 31일까지 취득할 수 있도록 개정됐으며, 2019년 의무 대상자부터 적용된다. 신규 대상자의 경우 예산 확보와 인증 준비기간이 필요하다는 의견이 반영됐기 때문이다. 다만 고시 시행 이전의 의무대상자가 된 자로서 최초의 인증신청을 신규 인증기준으로 하는 경우에는 개정 규정을 적용된다.

하지만 인증 취득 기업이 인증의무기간 유예를 위해 고의로 인증을 취소하고 다시 신청하면 과태료 대상이 될 수 있다. 이에 대해 한국인터넷진흥원(KISA) 보안수준인증팀 김선미 팀장은 “2018년 의무대상 기업이 기존 인증을 취소하고 신규 인증으로 받으려면 2018년 12월 31일까지 인증을 취득해야 한다”고 설명했다.

2. 인증 기준, 유사·중복은 통합하고 최신 기술 등 반영해 변경
먼저 유사·중복 항목이 하나로 통합하거나 재배치됐다. 통합된 부분은 정책의 유지 및 관리와 비밀번호 관리, 정보주체 권리 보장 등이 합쳐졌다.

이와 관련 김선미 팀장은 “정책의 유지관리는 정책의 공표와 정책의 검토, 정책문서 관리 등이 하나로 통합됐고, 비밀번호 관리는 사용자 패스워드 관리와 이용자 패스워드 관리가 통합됐다”며 “또한, 주민번호 처리 제한의 경우 주민번호 수집 이용제한과 주민번호 대체수단이 합쳐졌다. 정보주체 권리 보장은 권리행사의 방법 및 절차와 개인정보 열람, 개인정보 정정, 삭제와 개인정보 처리정지 등이 통합 및 재배치됐다”고 밝혔다.

최신 기술과 이슈도 반영됐다. 최근 클라우드가 확산 보급됨에 따라 클라우드 서비스, 핀테크, 외부자 관리, 침해사고 탐지 강화 등을 반영해 신규기준을 개발하고 기존 항목이 개선됐다. 신규 항목은 △현황 및 흐름분석 △클라우드 보안 △외부자 현황 관리 등이 신규 기준으로 포함됐다.

기존 항목은 이상행위 분석 및 모니터링과 전자거래 및 핀테크 보안 부문이 개선됐다.

다음으로 법 개정에 따른 요구사항으로 △개인정보보호법, 정보통신망법의 개정에 따른 추가 △강화된 보호조치 반영 필요 △법 개정에 따른 추가된 인증기준 △홍보 및 마케팅 목적 활용 시 조치 △이용자 단말기 접근 보호 △개인정보의 국외 이전 △처리목적 달성 후 보유 시 조치 △휴면 이용자 관리 등이 반영됐다.

이에 대해 KISA 김선미 팀장은 “개인정보보호 부문을 많이 반영했다”며 “기존보다 인증 기준 항목을 늘리기 보단 가급적 녹여내는 방향으로 변경했다”고 답변했다.

관리체계 수립 및 운영 16개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 22개 총 102개 항목으로 결정됐다.

관리체계 수립 및 운영은 △관리체계 기반 마련 △위험관리 △관리체계 운영 △관리체계 점검 및 개선으로 구성된다.

보호대책 요구사항은 △정책, 조직, 자산관리 △인적보안 △외부자 보안 △물리 보안 △인증 및 권한관리 △접근통제 △암호화 적용 △정보 시스템 도입 및 개발보안 △시스템 및 서비스 운영관리 △시스템 및 서비스 보안관리 △사고 예방 및 대응 △재해복구 등이 포함돼 있다.

개인정보 처리단계별 요구사항은 △개인정보 수집 시 보호조치 △개인정보 보유 및 이용 시 보호조치 △개인정보 제공시 보호조치 △개인정보 파기 시 보호조치 △정보주체 권리보호 등 항목으로 이뤄졌다.

3. 보완조치 기간, 40일로 확대
보완조치 기간도 기존 30일에서 40일로 확대됐다. 보완조치 미흡시 재조치 요구기간은 60일로 기존과 동일하게 유지됐다.

다만 아직까지 인증심사 및 인증서를 발급하는 인증기관과 인증심사를 수행하는 심사기관이 아직 정해지지 않았다.

본격적인 제도 시행 및 인증 적용과 관련해 김선미 팀장은 “인증기관과 심사기관은 과기부, 행안부, 방통위 3개 부처가 참여한 협의체와의 협의를 통해 조만간 결정될 것이며, 고시는 10월 1일까지가 의견 수렴 기간이라 의견 수렴 후 10월 안으로 추진될 것이다. 고시되는 즉시 ISMS-P 인증 제도는 바로 시행된다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>