ISMS-P 인증심사
- 주요사업
- ISMS-P 인증심사
- 링크복사
- 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 등의 법률에 따라 지정된 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 심사기관으로서 기업 및 기관의 정보보호 및 개인정보보호 관리체계를 객관적이고 공정성·신뢰성 있게 심사하는 업무를 진행하고 있습니다.
- 이메일 : isms-p@opa.or.kr
- 내용문의 : 02-550-9540~2 (평일 09:00~18:00)
세부내용
개요
- 기업 및 기관의 홈페이지, 대고객 서비스 등의 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합한지의 여부를 인증기관 또는 심사기관이 심사하는 제도
법적근거
| 법 | 정보통신망법 제47조 | 정보통신망법 제47조의 3 | 정보통신망법 제32조의 2 |
| 하위법령 | 시행령 제47조~제54조 시행규칙 제3조 | 시행령 제54조의 2 | 시행령 제34조의 2~제34조의 7 |
| 고시 | 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
(과학기술정보통신부, 방송통신위원회, 행정안전부 공동고시) |
||
인증대상
- 자율신청자
의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사 진행 - ISMS 인증 의무대상자 (정보통신망법 제47조 2항)
ISMS 인증 의무대상자 구분 의무대상자 기준 ISP 「전기통신사업법」 제6조 제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 IDC 정보통신망법 제46조에 따른 집적정보통신시설 사업자 다음의 조건 중 하나라도 해당하는 자 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당하는 경우
- 「의료법」 제3조의4에 따른 상급종합병원
- 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 전년도 직전 3개월간 정보통신서비스 일일 평균 이용자 수가 100만명 이상인 자 - 의무대상자는 ISMS, ISMS-P 인증 중 선택 가능
- 의무대상자가 되어 인증을 최초로 신청하는 경우 다음 해 8월 31일까지 인증 취득
심사종류
| 구분 | 설명 |
| 최초심사 | 인증을 처음으로 취득할 때 진행하는 심사이며, 인증의 범위에 중요한 변경이 있어 다시 인증을 신청할 때에도 실시한다. 최초심사를 통해 인증을 취득하면 3년의 유효기간이 부여 |
| 사후심사 | 사후심사는 인증을 취득한 이후 정보보호 관리체계가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 시행하는 심사이다. |
| 갱신심사 | 갱신심사는 정보보호 관리체계 인증 유효기간 연장을 목적으로 심사를 말한다. |
인증구성
| 구분 | ISMS-P | ISMS |
| 인증마크 |  |
 |
| 대상 | 보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어, 개인정보 처리 단계별 보안강화가 필요한 조직 | 기존의 ISMS 의무대상 기업 및 기관, 개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등 |
| 선택기준 | 보호하고자 하는 정보서비스가 개인정보의 흐름을 갖고 있어 처리 단계별 보안을 강화할 필요가 있는 경우 | 정보서비스의 안전성, 신뢰성 확보를 위한 종합적인 체계를 갖추기 원하는 경우 |
| 범위 | 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산, 개인정보처리를 위한 수집, 보유 및 이용, 제공, 파기에 관여하는 개인정보처리시스템 및 취급자 | 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산 |
인증기준
| 구분 | 통합인증 | 분야(인증 개수) | |
| ISMS-P | ISMS | 1.관리체계 수립 및 운영(16) | 1.1 관리체계 기반마련(6) 1.2 위험관리(4) 1.3 관리체계 운영(3) 1.4 관리체계 점검 및 개선(3) |
| 2.보호대책 요구사항(64) | 2.1 정책, 조직, 자산 관리(3) 2.2 인적보안(6) 2.3 외부자 보안(4) 2.4 물리보안(7) 2.5 인증 및 권한 관리(6) 2.6 접근통제(7) 2.7 암호화 적용(2) 2.8 정보시스템 도입 및 개발 보안(6) 2.9 시스템 및 서비스 운영관리(7) 2.10 시스템 및 서비스 보안관리(9) 2.11 사고 예방 및 대응(5) 2.12 재해복구(2) |
||
| - | 3.개인정보 처리단계별 요구사항(22) | 3.1 개인정보 수집 시 보호조치(7) 3.2 개인정보 보유 및 이용 시 보호조치(5) 3.3 개인정보 제공 시 보호조치(3) 3.4 개인정보 파기 시 보호조치(4) 3.5 정보주체 권리보호(3) |
|
인증심사 절차
- 인증(심사) 기관
-
신청방법
-
인증심사 신청 시 다음의 서류들을 준비하여 제출 (이메일, 우편, 방문접수 가능)
- - 인증 신청 공문 1부
- - 인증 신청서 1부
- - 인증 명세서 1부
- - 법인/개인 사업자등록증 1부
- 신청서 및 명세서 양식은 자료실에서 다운로드 가능 [신청양식 다운로드]
인증수수료
| 구분 | 내용 |
| 직접 인건비 | 인증심사에 투입되는 인증심사원에 대한 인건비로 산정 |
| 제경비 | 최대 (직접인건비 X 120%) |
| 기술료 | 최대 {(직접인건비 ┼ 제경비) X 40%} |
| 직접경비 | 교통비, 숙박비 및 식대 등 인증심사 업무에 소요되는 직접적인 경비 |
- 수수료를 청구받은 날부터 인증심사 시작일 이전까지 납부하여야 합니다.