정보보호 및 개인정보보호 인증제도

문제6) 정보보호 및 개인정보보호 인증제도(ISMS, Information Security Management System)에 대하여 다음을 설명하시오.

 

가. ISMS 와 ISMS-P 차이점

나. ISMS 의무 대상 기준

 

답)

 

1. 정보서비스와 개인정보의 통합 보안인증 ISMS-P 개요

 

개념	기존 정보보호 관리체계 인증제도(ISMS)와 개인정보보호 관리체계 인증제도(PIMS)를 단일제도에서 체계적으로 보호할 수 있도록 통합한 인증제도
법 조항	[정보통신망법] 제23조 인증기준 통합 고시됨(제 47조, 32조 조항 근거)
ISMS-P 인증	정보보호 및 개인정보보호 관리체계 모두 인증하는 경우 채택
ISMS 인증	정보보호 중심 인증하는 개인정보 미보유 및 불필요 조직 채택

 

2. ISMS 와 ISMS-P 차이점

 

구분	ISMS-P	ISMS
인증마크	대표	대표
대상	보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어, 개인정보 처리 단계별 보안강화가 필요한 조직	기존의 ISMS 의무대상 기업 및 기관, 개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등
선택기준	보호하고자 하는 정보 서비스가 개인정보의 흐름을 갖고 있어 처리 단계 별 보안을 강화할 필요가 있는 경우	정보서비스의 안전성, 신뢰성 확보를 위한 종합적인 체계를 갖추기 원하는 경우
범위	정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산, 개인정보처리를 위한 수집, 보유 및 이용, 제공, 파기에 관여하는 개인정보처리시스템 및 취급자	정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산
기업들은 인증 범위 내 개인정보를 보유하더라도 다음과 같은 특성을 참고하여 기업의 자율 판단으로 ISMS, ISMS-P를 선택할 수 있음

 

3. ISMS 의무 대상 기준

 

인증 의무 대상자		설명
자율 신청자		의무 대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있음
정보통신망법 제47조 2항	ISP	전기통신사업법 제 6조 제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
	IDC	정보통신망법 제46조에 따른 집적정보통신시설 사업자
	다음의 조건 중 하나라도 해당하는 자	연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우	의료법 제3조의 4에 따른 상급종합병원 직전연도 12월31일 기준으로 재학생 수가 1만명 이상인 고등교육법 제2조에 따른 학교
		정보통신서비스 부분 전년도(법인인 경우에는 전 사업연도를 말한다)매출액이 100억원 이상인 자 전년도 직전 3개월간 정보통신서비스 일일 평균 이용자 수가 100만명 이상인 자

 

 

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥