1. 신뢰할 수 있는 디지털 사회의 안전판, ISMS/ISMS-P의 개요
정의: 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 인증기준에 적합한지 심사하여 인증하는 제도.
통합 배경: 기존 정보보호 중심의 ISMS와 개인정보 중심의 PIMS가 중복 운영됨에 따라, 기업의 수검 부담을 완화하고 효율성을 제고하기 위해 ISMS-P로 통합(2018.11).
2. ISMS와 ISMS-P의 주요 차이점 분석
가. 인증 영역 및 심사 항목 비교
| 구분 | ISMS (정보보호 관리체계) | ISMS-P (정보보호 및 개인정보보호 관리체계) |
| 인증 목적 | 정보자산의 기밀성, 무결성, 가용성 확보 | 정보보호 + 개인정보 흐름별 보안성 확보 |
| 심사 영역 | 2개 영역 (관리체계, 보호대책) | 3개 영역 (관리체계, 보호대책, 개인정보 처리) |
| 인증 항목 | 총 80개 항목 | 총 102개 항목 (ISMS 80개 + 개인정보 22개) |
| 법적 근거 | 정보통신망법 제47조 | 정보통신망법 및 개인정보 보호법 |
나. 관리체계 구성의 차이 (도식)
ISMS: 기업 전반의 보안 관리체계와 물리적/기술적 보호대책에 집중.
ISMS-P: ISMS 기반 위에 개인정보의 수집 → 보유/이용 → 제공 → 파기 등 생애주기(Life-cycle) 전반의 보호 요건 추가.
3. ISMS 인증 의무 대상자 기준 (정보통신망법 제47조 제2항)
아래 조건 중 하나라도 해당되는 경우 ISMS 인증을 반드시 취득해야 하며, 미취득 시 과태료(최대 3천만 원)가 부과됩니다.
| 구분 | 세부 대상 기준 | 비고 |
| ISP | 정보통신망 서비스를 제공하는 자 (상용망 서비스 제공자) | 지역 불문 |
| IDC | 집적정보통신시설 사업자 (타인의 정보통신서비스 제공을 위해 시설 임대) | 전산실 임대 등 |
| 대형 병원/대학 | 상급종합병원 및 직전 연도 매출액 1,500억 원 이상인 학교(대학) | 의료/교육 정보 보호 |
| 매출액/이용자수 | 정보통신서비스 부문 매출액 100억 원 이상인 자 | 일반 기업 포함 |
| 전년도 말 기준 직전 3개월간 일일 평균 이용자 수 100만 명 이상인 자 | 플랫폼 등 |
4. 기업의 효율적 인증 대응을 위한 기술사적 제언
범위 선정의 전략화: 의무 대상 서비스뿐만 아니라 연관된 인프라를 포함하여 보안 사각지대를 최소화하는 자율 인증 확대 필요.
간이 인증 제도 활용: 중소기업(SME)의 부담 완화를 위해 항목을 간소화한 'ISMS 간이 인증' 제도를 검토하여 보안 격차 해소.
결언: ISMS/ISMS-P는 단순한 '인증 취득'이 목적이 아니라, **'지속적인 거버넌스 유지'**가 핵심임. 기술사는 인증 유지 과정을 자동화하고, 클라우드 환경(Shared Responsibility Model)에 최적화된 관리체계 수립을 가이드해야 함.
댓글 없음:
댓글 쓰기