ISMS-P 인증심사

  • 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 등의 법률에 따라 지정된 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 심사기관으로서 기업 및 기관의 정보보호 및 개인정보보호 관리체계를 객관적이고 공정성·신뢰성 있게 심사하는 업무를 진행하고 있습니다.
  • 내용문의 : 02-550-9540~2 (평일 09:00~18:00)

세부내용

개요

  • 기업 및 기관의 홈페이지, 대고객 서비스 등의 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합한지의 여부를 인증기관 또는 심사기관이 심사하는 제도

법적근거

법적근거
정보통신망법 제47조 정보통신망법 제47조의 3 정보통신망법 제32조의 2
하위법령 시행령 제47조~제54조 시행규칙 제3조 시행령 제54조의 2 시행령 제34조의 2~제34조의 7
고시 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
(과학기술정보통신부, 방송통신위원회, 행정안전부 공동고시)

인증대상

  • 자율신청자
    의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사 진행
  • ISMS 인증 의무대상자 (정보통신망법 제47조 2항)
    ISMS 인증 의무대상자
    구분 의무대상자 기준
    ISP 「전기통신사업법」 제6조 제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
    IDC 정보통신망법 제46조에 따른 집적정보통신시설 사업자
    다음의 조건 중 하나라도 해당하는 자 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당하는 경우
    - 「의료법」 제3조의4에 따른 상급종합병원
    - 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
    정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
    전년도 직전 3개월간 정보통신서비스 일일 평균 이용자 수가 100만명 이상인 자
  • 의무대상자는 ISMS, ISMS-P 인증 중 선택 가능
  • 의무대상자가 되어 인증을 최초로 신청하는 경우 다음 해 8월 31일까지 인증 취득

심사종류

심사종류 심사종류
심사종류
구분 설명
최초심사 인증을 처음으로 취득할 때 진행하는 심사이며, 인증의 범위에 중요한 변경이 있어 다시 인증을 신청할 때에도 실시한다. 최초심사를 통해 인증을 취득하면 3년의 유효기간이 부여
사후심사 사후심사는 인증을 취득한 이후 정보보호 관리체계가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 시행하는 심사이다.
갱신심사 갱신심사는 정보보호 관리체계 인증 유효기간 연장을 목적으로 심사를 말한다.

인증구성

인증구성
구분 ISMS-P ISMS
인증마크 isms-p 인증마크 isms 인증마크
대상 보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어, 개인정보 처리 단계별 보안강화가 필요한 조직 기존의 ISMS 의무대상 기업 및 기관, 개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등
선택기준 보호하고자 하는 정보서비스가 개인정보의 흐름을 갖고 있어 처리 단계별 보안을 강화할 필요가 있는 경우 정보서비스의 안전성, 신뢰성 확보를 위한 종합적인 체계를 갖추기 원하는 경우
범위 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산, 개인정보처리를 위한 수집, 보유 및 이용, 제공, 파기에 관여하는 개인정보처리시스템 및 취급자 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산

인증기준

인증기준
구분 통합인증 분야(인증 개수)
ISMS-P ISMS 1.관리체계 수립 및 운영(16) 1.1 관리체계 기반마련(6)
1.2 위험관리(4)
1.3 관리체계 운영(3)
1.4 관리체계 점검 및 개선(3)
2.보호대책 요구사항(64) 2.1 정책, 조직, 자산 관리(3)
2.2 인적보안(6)
2.3 외부자 보안(4)
2.4 물리보안(7)
2.5 인증 및 권한 관리(6)
2.6 접근통제(7)
2.7 암호화 적용(2)
2.8 정보시스템 도입 및 개발 보안(6)
2.9 시스템 및 서비스 운영관리(7)
2.10 시스템 및 서비스 보안관리(9)
2.11 사고 예방 및 대응(5)
2.12 재해복구(2)
- 3.개인정보 처리단계별 요구사항(22) 3.1 개인정보 수집 시 보호조치(7)
3.2 개인정보 보유 및 이용 시 보호조치(5)
3.3 개인정보 제공 시 보호조치(3)
3.4 개인정보 파기 시 보호조치(4)
3.5 정보주체 권리보호(3)

인증심사 절차

인증심사 절차
  • 인증(심사) 기관

신청방법

  • 인증심사 신청 시 다음의 서류들을 준비하여 제출 (이메일, 우편, 방문접수 가능)
    • - 인증 신청 공문 1부
    • - 인증 신청서 1부
    • - 인증 명세서 1부
    • - 법인/개인 사업자등록증 1부
  • 신청서 및 명세서 양식은 자료실에서 다운로드 가능 [신청양식 다운로드]

인증수수료

인증수수료 인증수수료
인증수수료
구분 내용
직접 인건비 인증심사에 투입되는 인증심사원에 대한 인건비로 산정
제경비 최대 (직접인건비 X 120%)
기술료 최대 {(직접인건비 ┼ 제경비) X 40%}
직접경비 교통비, 숙박비 및 식대 등 인증심사 업무에 소요되는 직접적인 경비
  • 수수료를 청구받은 날부터 인증심사 시작일 이전까지 납부하여야 합니다.