정보보호 및 개인정보보 관리체계, 제도 이해하기
1. 통합인증제도 개요
정보보호 관리체계 인증
2001 : ISMS 인증제도 도입
2002 : 인증기준 고시 제정
2013 : 인증 의무화
2014 : 인증 심사기관 추가 지정
2015 : 인증 의무대상 확대
개인정보보호 관리체계 인증
2010 : 방통위 의결 기반 PIMS 시행
2012 : 법률적 근거 마련(정보통신망법)
2013 : 개인정보보호법 기반 PIPL 시행
2016 : PIMS, PIPL 인증제도 통합
정보보호 및 개인정보보호 연계 필요
- 융합화, 고도화되는 침해위협의 효과적 대응 목적
심사항목 유사, 개별 운영에 따른 기업혼란 및 재정 인력상 부담 발생
1.2 기대효과
인증제도 통합 통해 복수의 인증제도 운영에 따른 기업 혼란 해소
→ 융합화 고도화되는 침해위협에 효과적으로 대응 가능 → 신청기관이 인증에 소요되는 비용 해정 인력 부담 절감
1.3 법령과의 관계
과학기술정보통신부
방송통신위원회
행정안전부
정보보호 관리체계 인증등에 관한 고시
개인정보보호 관리체계인증등에 관한 고시
1.4 통합인증 범위
통합인증제도
2. 통합인증제도 인증 체게 및 인증 기준
2.1 담당 기관 및 체계
2.2 인증기준 변경사항
법개정에 따른 요구사항 반영
개인정보보호법. 정보통신망법 개정에 따라 추가. 강화된 보호조치 반영 필요
법개정에 따라 추가된 인증기준
3.1.7 홍보 및 마케팅 목적 활용 시 조치
3.2.4 이용자 단말기 접근 보호
3.3.4 개인정보의 국외이전
3.4.2 처리목적 달성 후 보유 시 조치
3.4.3 휴면 이용자 관리
2.3 통합 인증 기준
2.3.1 관리체계 수립 및 운영 (16개)
1.1 관리체계 기반 마련
- 1.1.1 경영진참여
- 1.1.2 최고책임자 지정
- 1.1.3 조직구성
- 1.1.4 범위설정
- 1.1.5 정책수립
- 1.1.6 자원할당
1.2 위험관리
- 1.2.1 정보자산식별
- 1.2.2 현황 및 흐름분석
- 1.2.3 위험 평가
- 1.2.4 보호대책 선정
1.3 관리체계 운영
- 1.3.1 보호대책 구현
- 1.3.2 보호대책 공유
- 1.3.3 운영현황 관리
1.4 관리체계 점검 및 개선
- 1.4.1 법적 요구사항 준수 검토
- 1.4.2 관리체계 점검
- 1.4.3 관리체계 개선
2.3.2 보호대책 요구사항(64개)
위험평가 결과 와 조직서비스 및 정보시스템 특성 등 반영하여 체계적 보호대책 수립 및 이행
2.2 인적보안
- 2.2.1 주요 직무자 지정 및 관리
- 2.2.2 직무 분리
- 2.2.3 보안 서약
- 2.2.4 인식제고 및 교육훈련
- 2.2.5 퇴직 및 직무변경 관리
- 2.2.6 보안 위반 시 조치
2.3 외부자 보안
- 2.3.1 외부자 현황 관리
- 2.3.2 외부자 계약 시 보안
- 2.3.3 외부자 보안 이행 관리
- 2.3.4 외부자 계약 변경 및 만료 시 보안
2.4 물리 보안
- 2.4.1 보호구역 지정
- 2.4.2 출입통제
- 2.4.3 정보시스템 보호
- 2.4.4 보호설비 운영
- 2.4.5 보호구역 내 작업
- 2.4.6 반출입 기기 통제
- 2.4.7 업무환경 보안
2.5 인증 및 권한 관리
- 2.5.1 사용자 계정 관리
- 2.5.2 사용자 식별
- 2.5.3 사용자 인증
- 2.5.4 비밀번호 관리
- 2.5.5 특수 계정 및 권한 관리
- 2.5.6 접근권한 검토
2.6 접근통제
- 2.6.1 네트워크 접근
- 2.6.2 정보시스템 접근
- 2.6.3 응용프로그램 접근
- 2.6.4 데이터베이스 접근
- 2.6.5 무선 네트워크 접근
- 2.6.6 원격접근 통제
- 2.6.7 인터넷 접속 통제
2.7 암호화 적용
- 2.7.1 암호정책 적용
- 2.7.2 암호키 관리
2.8 정보시스템 도입 및 개발 보안
- 2.8.1 보안 요구사항 정의
- 2.8.2 보안 요구사항 검토 및 시험
- 2.8.3 시험과 운영 환경 분리
- 2.8.4 시험 데이터 보안
- 2.8.5 소스 프로그램 관리
- 2.8.6 운영환경 이관
2.9 시스템 및 서비스 운영관리
- 2.9.1 변경관리
- 2.9.2 성능 및 장애관리
- 2.9.3 로그 및 복구 관리
- 2.9.4 로그 및 접속 기록 관리
- 2.9.5 로그 및 접속기록 점검
- 2.9.6 시간 동기화
- 2.9.7 정보자산의 재사용 및 폐기
2.10 시스템 및 서비스 보안관리
- 2.10.1 보안시스템 운영
- 2.10.2 클라우드 보안
- 2.10.3 공개서버 보안
- 2.10.4 전자거래 및 핀테크 보안
- 2.10.5 정보전송 보안
- 2.10.6 업무용 단말기기 보안
- 2.10.7 보조저장매체 관리
- 2.10.8 패치관리
- 2.10.9 악성코드 통제
2.11 사고 예방 및 대응
- 2.11.1 사고 예방 및 대응체계 구축
- 2.11.2 취약점 점검 및 조치
- 2.11.3 이상행위 분석 및 모니터링
- 2.11.4 사고 대응 훈련 및 개선
- 2.11.5 사고 대응 및 복구
2.12 재해 복구
- 2.12.1 재해 재난 대비 안전조치
- 2.12.2 재해 복구 시험 및 개선
2.3.3 개인정보 처리 단계별 요구사항(22개)
3.1 개인정보 수집 시 보호 조치
- 3.1.1 개인정보 수집 제한
- 3.1.2 개인정보의 수집 동의
- 3.1.3 주민등록번호 처리 제한
- 3.1.4 민감정보 및 고유식별정보의 처리 제한
- 3.1.5 간접수집 보호조치
- 3.1.6 영상정보처리기기 설치 운영
- 3.1.7 홍보 및 마케팅 목적 활용 시 조치
3.2 개인 정보 보유 및 이용시 보호조치
- 3.2.1 개인정보 현황관리
- 3.2.2 개인정보 품질보장
- 3.2.3 개인정보 표시제한 및 이용시 보호조치
- 3.2.4 이용자 단말기 접근 보호
- 3.2.5 개인정보 목적 외 이용 및 제공
3.3 개인정보 제공 시 보호조치
- 3.3.1 개인정보 제3자 제공
- 3.3.2 업무 위탁에 따른 정보주체 고지
- 3.3.3 영업의 양수 등에 따른 개인정보의 이전
- 3.3.4 개인정보의 국외이전
3.4 개인정보 파기 시 보호조치
- 3.4.1 개인정보 파기
- 3.4.2 처리목적 달성 후 보유 시 조치
- 3.4.3 휴면 이용자 관리
3.5 정보주체권리보호
- 3.5.1 개인정보처리방침 공개
- 3.5.2 정보주체 권리보장
- 3.5.3 이용내역 통지
정보보호 및 개인정보보호 관리체계 절차 알아보기
인증절차 프로세스
- 인증심사 준비하기
- 구축운영
- 인증심사 신청 및 접수
- 예비점검
- 계약 및 수수료 납부
- 인증심사 진행하기
- 시작회의
- 인증심사
- 결함보고서
- 종료회의
- 보완조치 제출
- 인증심사 마무리하기
- 인증위원회 심의 의결
- 인증결과 통보
1. 준비 및 신청단계
구축 및 운영 → 인증 심사 신청 및 접수 → 예비점검 → 계약 및 수수료 납부
구축 및 운영
인증신청 준비사항
- 인증기준에 따라 ISMS 혹은 ISMS-P 관리체계를 구축
- 최소 2개월 이상 운영한 증적 준비
인증범위 고려사항
- ISMS
- 정보서비스의 운영 및 보호에 필요한 조직, 물리적위치, 정보자산
- ISMS-P
- 정보서비스의 운영 및 보호에 필요한 조직, 물리적위치, 정보자산
- 개인정보처리를 위한 수집, 보유, 이용, 제공, 파기에 관여하는 개인정보처리시스템 및 취급자
인증 심사 신청 및 접수
- 인증 신청 공문 1부
- 인증 신청서
- 인증 명세서
- 법인/개인 사업자 등록증 1부
신청 방법
- 이메일 신청
※ 신청서류 미비로 인증기관의 보완요청이 있을 경우, 신청서류 재구비하여 제출, 희망심사일 기준 최소 8주전에 신청
예비점검
-
심사팀장
- 관리체계 운영상황 확인
- 인증심사 가능여부 판단
- 심사일정 조정
-
담당자
- 인증범위 설명
- 증적 자료 협조
계약 및 수수료 납부
-
인증심사 수수료
- 인증심사 이전(계약 후 1개월 이내) 심사 수수료 완납
- 수수료 납부하지 않은 경우, 인증심사를 실시하지 않을 수 있음
-
참고사항
- 신청기관이 인증기관에 납부하는 비용
- 인증심사 신청접수 및 계약, 예비점검, 심사원 자문료 등에 소요되는 제비용
- 직접인건비, 직접경비, 제경비, 기술료의 합으로 산정
- 최초심사, 사후심사 및 갱신심사 각각의 별도 수수료가 발생
2. 심사단계
시작회의 → 인증심사 → 결함보고서 → 종료회의 → 보완조치 제출
시작회의
- 인증기관
- 정보보호 및 개인정보보호 관리체계
- 심사원 소개
- 심사계획
- 신청기관
- 정보보호 및 개인정보보호 관리체계 구축현황
- 운영내역
※참석명단
CISO 또는 CPO 정보보호 및 개인정보보호 책임자와 담당자, 조직도상 관련 직무자, 유관부서 관련자(총무, 인사 등)
인증심사
-
정보보호 및 개인정보보호 관리체계 인증기준을 적적히 이행하고 있는지 확인
- 관리체계 수립 및 운영
- 보호대책 요구사항
- 개인정보 처리단계별 요구사항
-
서면심사와 현장심사를 병행하여 실시하며, 현장심사의 경우 서면심사 진행 현황에 맞춰 일정을 조율하여 진행
-
서면심사
- 정보보호 및 개인정보보호 관리체계 관련 정책, 지침, 메뉴얼 등
내부규정 존재 여부 및 해당 내부 규정이 인증기준을 충족하는지 심사 - 제출한 증적자료 확인을 통해 운영의 적정성 확인
- 정보보호 및 개인정보보호 관리체계 관련 정책, 지침, 메뉴얼 등
-
현장심사
- 서면심사의 결과와 기술적 물리적 보호대책 이행 여부를 확인하기 위하여 담당자 면담, 관제시스템 확인 등의 방법으로 심사.
결함보고서
인증심사후
- 서면심사 및 현장심사를 통하여 도출된 문제점을 심사원들과 회의를 통해 상호 간 결과 확인
결함보고서
- 신청 기관 및 기업의 미흡한 사항 작성
종료회의
- 결함보고서에 대한 설명
- 보완조치 기간, 인증위원회 개최 등에 대한 확인
보완조치 제출
보완조치 기간
- 보완조치 요청받는 받은 날로부터 40일 이내
- 보완조치 내역서 작성 후 인증기관에 제출
보완조치 기간 연장
- 인증기관이 신청기간이 제출한 보완조치 결과가 미흡하다고 판단한 경우
- 신청기간 스스로 보완조치 기간이 추가로 필요하다고 판단한 경우
- 공문을 통해 최대 60일까지 보완조치 기간 연장 가능
보완조치 내역 작성
- 보완조치 전 후 내용을 확인할 수 있도록 작성
- 보완조치의 이행계획은 보완조치가 완료되지 않은 것으로 판단
보완조치 결과 확인
- 심사 팀장이 문서 및 현장 확인을 통해 확인
- 보완조치 완료확인서에 서명 날인하는 것으로 보완조치 결과 확인 및 마무리
3. 인증 단계
인증위원회 심의 의결 → 인증결과 통보
결과보고서 상정 → 적합여부 심의 → 보완 조치 → 의결 완료
4. 사후심사 및 갱신심사
사후 심사
- 인증 유효 기간 중, 매년 1년이상 인증심사 시행
- 인증 발급일 기준 매 1년 이전에 심사완료
- 인증 유효기간 내 심사 받지 않을 경우 인증 취소
※ 사후심사를 하는 이유
운영중인 정보보호 및 개인정보보호 관리체계가 인증 기준에 적합한 수준으로 유지되는지 여부 확인
갱신 심사
-
인증 유효기간이 만료되는 연도에 유효기간의 연장을 목적으로 수행
→ 정보보호 및 개인정보보호 관리체계 인증 유효기간 = 3년 -
인증유효기간 내 심사를 받지 않을 경우, 인증 효력 상실
→ 갱신심사는 유효기간 만료 3개월 전에 신청 필요
