Site icon

ISMS-P를 준비하는 앱 사업자를 위한 가이드

보보호 및 개인정보보호 관리체계 인증 (ISMS-P) 인증이란

ISMS는 Personal information & Information Security Management System의 약자로 정보보호 관리체계입니다. 현재 스마트폰, 앱, 클라우드 등 다양한 정보통신기술은 지속적으로 발전하고 있는 반면 해킹 및 유출과 같은 위협역시 지속적으로 증가하고 있습니다. ISMS인증은 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도로서 인증 대상이 되는 기업이 정보보호를 위한 충분한 보안요건을 충족하는지 심사하고 인증해주는 제도입니다. 그렇다면 여기서 인증 대상 기업으로는 어떤 기업을 의미하는 것일까요?

ISMS-P인증 대상

ISMS-P의 의무 대상자는 다음과 같습니다.

ISP(Internet Service Provider)

KT, SK와 같이 전국적으로 정보통신망서비스를 제공하는 기업

IDC (Internet Data Center)
서비스 호스팅 사업자와 같은 집적정보통신시설 사업자

병원 | 학교

연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 「의료법」 제3조의4에 따른 상급종합병원 또는 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교

이용자수 요건에 따른 대상자: 

  1. 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자
  2. 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자
  3. 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액 또는 세입 등이 1,500억원

위의 4가지 항목에 포함되지 않더라도 기업의 정보보호 및 개인정보보호를 위해 개별적으로 받을 수 있습니다. 하지만 해당 항목에 포함되는 의무 인증 대상자는 만약 인증을 받지 않는다면 3천만원의 과태료가 부과되기 때문에 의무 인증 대상에 해당되면 필수로 ISMS-P를 인증 받아야합니다. 그렇다면 인증 절차는 어떻게 될까요?

 

ISMS-P 인증 심사절차

ISMS-P인증 절차는 크게 4단계로 구성되어 있으며 심사 완료까지 약 4개월이 소요됩니다. 

  1. 준비단계: 인증기준에 따른 관리체계 구축 및 운영을 준비하는 단계입니다. 
  2. 신청단계: 신청서류 공문 접수 및 예비 점검, 그리고 수수료 납부하는 단계입니다. 
  3. 심사단계: 본격적으로 기업이 ISMS-P 인증 사항을 이행하고 관리하고 있는지 심사하는 단계입니다.  
  4. 인증단계: 인증위원회의 심사결과 검토 및 심의하고 인증서가 발급되는 기간입니다. 

 

인증 유지

인증서 발급이 완료되었다고 ISMS-P인증이 모두 끝난것이 아닙니다. 인증서는 3년간 유효하며 1년 간격으로 정보보호 관리체계가 지속적으로 유지되고 있는지 확인하기 위해 사후 심사를 받게 됩니다. 그리고 인증이 만료되는 3년이 지난 후에는 인증 갱신을 받아야합니다. 이 때문에 준비단계부터 철저히 준비를 하고 지속적으로 관리체계를 유지해야 합니다.

 

ISMS-P 인증 기준

ISMS-P인증은 총 3개 영역, 내의 102개 인증 기준으로 구성되어 있습니다. 인증기준은 관리체계 수립 및 운영 16개, 보호대책 요구사항 64개 그리고 개인정보 처리 단계별 요구사항 22개로 이루어져 있습니다. 자세한 인증 기준은 하단 이미지 또는 KISA에서 배포한 22년도 ISMS-P 인증기준 안내서를 통해 확인해보실 수 있습니다. 

 

앱실링이 해결해 줄 수 있는 보안 요구사항

앱실링은 ISMS-P를 준비하는 앱사업자들에게 도움을 주고 있습니다. 실제로 국내 여러 기업이 앱실링을 활용하여 준비하고 인증을 받았습니다. 그렇다면 앱실링은 어느 항목에서 ISMS-P인증에 도움을 주는 것일까요? 앱실링은 정보시스템의 도입·개발·변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 하는 2.8.1 보안 요구사항 정의 항목, 그리고  사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립·이행하고, 발견된 문제점에 대한 개선조치를 수행하여야하는 2.8.2 보안 요구사항 검토 및 시험 항목에 도움을 주고 있습니다. 

앱실링을 도입하여 앱을 안전하게 보호하는 동시에 ISMS-P인증에 도움을 받아보세요

 


참조

ISMS-P 인증 안내 KISA

main image was created using image by rawpixel.co from freepik

Exit mobile version