ISMS-P(정보보호 및 개인정보보호 관리체계 인증), 어떻게 변했을까?

2019. 07. 13.

안녕하세요, 보안클라우입니다.

2018년도 11월 시행 이후, 얼마 전 최초의 1호 ISMS-P 인증 기업이 나왔는데요, 그 기업은 바로 “삼성증권”입니다!

삼성증권은 2014년 ISMS, 이어 2018년에는 PIMS를 받은 바 있는데, 그 외 이번 상반기 관리체계 인증이 발급된 기업 및 기관만 50건 가까이 된다고 하니, 많은 기업들이 정보보호 인증심사에 대해 많은 관심을 보이고 있음을 알 수 있습니다.

허나 이러한 정보보호 관리체계 인증심사 체계가 얼마전 통합됨에 따라 심사종류, 기준, 절차 등의 심사 내용들이 변화하여 적지 않은 혼선을 빚고 있는 듯 합니다. 그래서 이런 포스팅에서는 새로 개편된 ISMS-P 인증심사에 대하여 간단히 작성해볼까 합니다.

2018년 11월부터 기존 ISMS 심사제도와 PIMS 심사제도가 통합되어 ISMS-P 심사과정으로 개편.

과거 ISMS와 PIMS 인증심사 관련 규정은 1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)과 2.개인정보보호법, 각 자 이 두 가지 법률에 근간을 두고 있었습니다. “일반적인 정보보호”와 “개인정보 유출방지”라는 두 가지 개념이 보안이라는 공통의 목표를 두고 있고, 두 심사과정 모두 수많은 심사기준을 두고 진행되다보니, 실제 기업 및 기관 입장에서는 둘 중 어느 것을 준비해서 심사를 받아야 할지 적지 않은 고민과 연구가 필요했습니다. 실제로 ISMS나 PIMS 인증을 취득하여 준비하여 최종 발급 시점까지 최소 10개월

이상이 걸린다고 하니, 기업에 입장에서는 마음먹고 심사를 준비하기가 많이 부담스러웠던 것이 사실입니다.

개편된 "정보보호 및 개인정보보호 관리체계 인증" 심사 절차

이러한 기업의 혼란과 부담을 해소하고, 더 많은 인증심사 발급을 위해 2018년 11월, 정부는 “정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시”를 제정 및 시행하였고, 기존의 ISMS와 PIMS를 ISMS-P라는 심사과정으로 통합하게 됩니다. 허나 앞서 말했듯이 심사과정이 오래 걸리는 이유로, 이미 (구)심사과정(ISMS나 PIMS)를 준비하고 있던 기업들을 위해 바로 폐지시킬 수는 없었고, 몇 달간의 유예기간을 두고 ISMS와 ISMS-P를 병행하여 올해 상반기 심사를 진행 하였으나, 2019년 5월 7일부터는 기존 ISMS와 PIMS를 아예 취득할 수 없게 되어 (구)심사과정은 이제 역사 속으로 묻히게 되었습니다.

이러한 과정으로 통합된 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)은 3개의 영역, 자그마치 102개의 심사기준을 두고 진행됩니다.

정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 기준 분야(3개) 및 기준(102개), ISMS-P 인증기준 안내서(2019.01)

첫 번째 영역인 “관리체계 수립 및 운영”은 16개의 기준으로, 기관 내 인력구성 및 조직 구성, 보안정책 적용을 위핸 대책과 법적 요구사항들을 주로 심사하게 되며, 두 번째 영역 “보호대책 요구사항”에서는 기존의 ISMS 심사 기준에 맞춰 자산관리 뿐만아니라 인적, 물리 보안과 같은 본격 정보보안 내용에 대해 심사합니다. 진단 기준도 64개 기준을 세 가지 영역 중 가장 많은 비중을 차지하고 있습니다.

마지막으로 세 번째 영역인 “개인정보 처리 단계별 요구사항”에서는 22개의 인증기준을 두고 심사가 진행되며, 개인정보 생명주기에 따른 개인정보 수집 시 보호조치, 개인정보 보유 및 이용 시 보호조치, 개인정보 제공 시 보호조치, 개인정보 파기 시 보호조치와 정보주체 권리보호를 포함하여 총 5개 분야로 나누어 심사가 진행됩니다. 이 영역은 대부분 법적 요구사항과 직결된 항목들이 많아, 조직이 적용받는 법규 및 세부 조항을 더더욱 명확히 파악해야 된다고 하니, 심사를 준비하고 있으신 기업 담당자분들께서는 이점 유의하시길 바랍니다.