ISMS-P 개념 및 기준 정리

개념 설명:

정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
KISA 공식문서 링크

ISMS-P(Information Security Management System – Personal Information & Privacy Protection)는 기업이나 기관이 보유한 정보 자산과 개인정보를 보호하기 위한 관리체계임
ISMS-P는 기존 ISMS(정보보호 관리체계)와 PIMS(개인정보보호 관리체계)를 통합한 것으로, 정보보호 + 개인정보보호를 함께 다루는 것이 특징

• ISMS: 정보보호 중심, 개인정보 처리 내용은 없음
• PIMS: 개인정보 보호 중심, 정보보호까지 포괄적이지 않음

  → ISMS-P는 통합형 인증으로, 둘을 아우르는 상위 개념

• 요구되는 환경:
  • 개인정보를 수집, 저장, 처리, 파기하는 모든 조직 (서비스 기획사, 플랫폼 사업자 등)
  • 연 매출 500억 이상이거나, 하루 100만명 이상 서비스하는 기업
  • 공공기관, 금융기관 등 보안 민감 환경
  1. 준비 단계
     • 현황 조사: 개인정보 처리 시스템 및 흐름 파악
     • GAP 분석: 현행 운영 상태와 ISMS-P 기준 간 차이 분석
  2. 관리체계 수립
     • 정보보호 정책, 개인정보처리방침 수립
     • 위험관리, 자산 식별, 접근통제 등 도입
  3. 인증 심사
     • 사전 심사 → 본 심사 → 보완 조치 → 인증 획득
     • 한국인터넷진흥원(KISA) 주관

  예시 커맨드/문서 흐름 (문서 시스템 도입 시):

  enginrect.com/docs/security-policy
  enginrect.com/docs/privacy-policy
  enginrect.com/system-assets
  enginrect.com/data-flow-map
  

인증 기준 구성

• 관리체계 수립 및 운영: 16개
• 보호대책 요구사항 (관리적/기술적/물리적): 64개
• 개인정보 처리단계별 요구사항: 22개