RESOURCE | 컴플라이언스|  ISMS-P 인증 대응 가이드

ISMS-P 인증 대응 가이드

  • ISMS-P 인증 제도란

    • ISMS-P 인증, 왜 중요할까?

    기업이 정보보호와 개인정보보호를 동시에 만족해야 하는 시대, 그 해법 중 하나로 주목받는 것이 바로 ISMS-P 인증제도 입니다.
    ISMS-P의 개념부터 적용 대상, 보안 요구사항, 그리고 실제 보안 솔루션으로 어떻게 대응할 수 있는지 종합적인 가이드를 살펴보겠습니다.

     

    ISMS-P 인증 제도란

    ISMS-P(Information Security Management System & Personal Information Management System)는 국내 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합한 대표 인증 제도입니다.
    기존 ISMS와 PIMS가 별개로 운영되던 것을 2018년 11월부터 하나로 일원화해, 기업이 중복된 심사 부담을 덜고 정보보호·개인정보보호 역량을 동시에 평가받을 수 있도록 마련된 제도입니다.

    • 근거 법령: 정보통신망법 제47조 시행령, 개인정보보호법 제32조의2 시행령
    • 운영·관리 주체: 과학기술정보통신부와 방송통신위원회가 법령 총괄, 인증 심사와 운영은 한국인터넷진흥원(KISA)이 주관

  • ISMS-P 적용 대상

    • ISMS-P 적용 대상 

    ISMS-P가 의무화되는 기업은 법령에 명확히 정해져 있습니다.

    • 전기통신사업법의 전기통신사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자
    • 타인의 정보통신서비스 제공을 위하여 정보통신시설을 운영, 관리하는 사업자
    • 연간 매출액 또는 세입 등이 1,500억 원 이상이거나 정보통신서비스 매출액이 100억 원 이상, 또는 일일평균 이용자 수가 100만 명 이상인 사업자
    ※ 의무대상자 미인증 시 3,000만 원 이하의 과태료(정보통신망법 제76조)
    • 자율 신청: 기업 또는 기관이 정보보호 관리체계를 구축-운영하고 인증 취득을 희망할 경우, 자율적으로 신청하여 인증 심사 수행 가능

     

    ISMS-P 인증의 혜택은 다음과 같습니다. 

    • 과학기술정보통신부: 정보보호 전문서비스 기업 지정 시 ‘업무 수행능력 심사 평가표’의 정보보호인증기업 항목에 만점(5점) 부여, 보안관제 전문기업 지정 시 ‘업무수행능력 평가기준’의 정보보호 인증기업 항목에 만점(5점) 부여
    • KISA: 물품 구매-제조, 용역 및 공사 위탁연구 등에 있어 계약자 선정 평가 시 가점 부여
    • 보건복지부: 요양급여비용 심사청구 소프트웨어 보안기능 검사 시 ISMS 인증받은 경우 일부 생략 가능, ISMS 인증받은 의료기관의 경우 전자의무기록시스템(EMR) 인증제 보안성 영역 점검 면제
    • 개인정보보호위원회: 개인정보보호 법규 위반시 ISMS-P 인증받은 자에 한해 50% 이내 과징금 감경

    (출처) 개인정보 보호법 제32조, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조, KISA 『ISMS-P 인증제도 안내서』 2023

  • ISMS-P 요구사항

    • ISMS-P 요구사항

    ISMS-P 인증 기준의 구성

    ISMS-P 인증 기준은 크게 관리체계 수립 및 운영 영역과 보호대책 요구사항, 개인정보 처리 단계별 요구사항 영역으로 나뉩니다.

    • 관리체계 수립 및 운영: 조직의 전반적인 보안 정책, 책임·조직, 자산 식별, 위험관리, 내부 감사 등 보안 거버넌스를 아우르는 부분
    • 보호대책 요구사항: 실제로 기업이 취약점을 방어하고 데이터를 안전하게 관리하기 위한 기술·관리·물리·인적 보호조치
    • 개인정보 처리 단계별 요구사항: 개인정보를 수집부터 보유, 처리, 파기까지의 과정에서 안전하게 관리하는 보호조치

    세 영역을 합쳐 총 21개 분야, 세부적으로는 102개 통제항목을 만족해야 하며, 매해(또는 주기적으로) 변경/개정되는 고시에 따라 요구사항도 업데이트됩니다.

    1. 관리체계 수립 및 운영
    1-1. 보안 정책 수립
    • 조직은 정보보호·개인정보보호를 위한 최상위 정책문서를 갖춰야 합니다.
    • 보안정책에는 목표·범위·조직구성·지침·보고체계 등이 포함되어야 하며, 최고경영자의 승인·지지를 받아야 합니다.

    1-2. 조직 구성
    • 보안 업무를 전담할 인력·조직을 지정하고, 업무분장과 책임범위가 분명해야 합니다.
    • CISO(정보보호최고책임자)나 개인정보보호책임자, 보안관리자 등이 임명되고, 의사결정·보고 라인을 수립해야 합니다.

    1-3. 자산 식별
    • 조직이 보호해야 할 정보자산(시스템, 데이터, 문서, 인프라 등)을 파악하고 분류하는 절차입니다.
    • 자산 목록을 최신화하고, 자산 가치나 중요도에 따라 보호 수준을 달리 적용할 수 있는 기반을 마련합니다.

    1-4. 위험관리
    • 잠재적 위협·취약점을 식별하고, 그에 따른 위험평가를 통해 대응방안을 수립하는 과정입니다.
    • 위험 평가 시 자산 가치, 위협의 발생 가능성, 보안 취약점, 영향도 등을 종합적으로 고려해 위험 우선순위를 설정합니다.

    1-5. 내부 감사 및 계속 개선
    • 관리체계가 실제로 제대로 작동하는지, 지속적으로 모니터링하고 개선점을 찾는 절차입니다.
    • 주기적으로 내부 감사를 진행하고, 이슈가 발견되면 시정조치와 재발 방지대책을 마련해 PDCA(Plan-Do-Check-Act) 사이클을 유지합니다.

    2. 보호대책 요구사항
    ISMS-P의 보호대책 요구사항은 상당히 광범위한 영역을 커버해야 합니다. 여기서는 대표적인 항목을 간략히 살펴보겠습니다.

    2-1. 인적 보안
    • 보안 사고의 상당수가 내부자 혹은 협력업체로부터 발생하므로, 인적 요소에 대한 통제·교육을 실시해야 합니다.

    2-2. 물리 보안
    • 서버실, 전산실, 문서 보관실 등 물리적 공간에 대한 출입통제, CCTV 설치와 더불어 화재·침수·정전 등 재해재난에 대한 대비책 마련이 필요합니다.

    2-3. 기술 보안
    • 기업이 사용하는 IT 인프라 전반에 네트워크 접근통제(방화벽, IDS, IPS, 웹방화벽 등), 시스템 계정·권한 관리, 운영체제·SW 패치, 악성코드 방지 대책, 암호화(데이터, 통신, 암호키 관리 등)를 적용해야 합니다.
    • 솔루션 도입뿐 아니라 구성·운영·로그 모니터링 등 체계화된 접근이 필요합니다.

    2-4. 사고 예방, 대응
    • 침해사고 모니터링 체계 구축부터 대응 매뉴얼 수립·교육, 사고 발생 시 보고·분석·재발 방지 프로세스 운용까지의 시스템이 필요합니다.

    3. 개인정보 처리 단계별 요구사항
    개인정보 처리 시스템의 접근권한 부여, 변경, 말소 등의 절차부터 개인정보 저장·전송 시 안전한 암호화, 개인정보 취급 이력(로그) 기록 및 정기 점검에 대한 조치가 필요합니다.

    각 분야를 다시 세분화하면 100개 이상의 통제항목을 만족해야 하지만, 실무적으로는  자사 환경에 맞추어 위험도 기반 우선순위를 정하고 하나씩 체계적으로 보완해 나가는 것이 중요합니다.

  • 보안 솔루션 대응 가이드

    • 보안 솔루션 대응 가이드

    적절한 보안 솔루션 도입

    ISMS-P 인증 기준은 단순히 ‘서류상 충족’이 아닌 실제 조직 보안 수준을 한 단계 끌어올리는 도구입니다.
    특히 관리체계와 보호대책 요구사항을 융합해 정보보호·개인정보보호 모두 균형 있게 다뤄야 하므로 처음에는 어렵고 복잡하게 느껴질 수 있습니다.
    그러나 체계적인 관리체계 수립, 정기적인 점검, 적절한 기술 보안 솔루션 도입을 통해 하나씩 완성해 나가면 그 자체가 곧 기업의 가치와 신뢰도를 높이는 발판이 됩니다.

    ISMS-P의 세부 조항에는 네트워크, 서버, 데이터, 인증, 개인정보 처리 등 다양한 영역에 대한 기술적·관리적 보호조치가 요구됩니다. WAF(웹방화벽), DB 암호화, 통합 인증(MFA) 등 기술 보안 요소는 필수적입니다.

    펜타시큐리티의 WAPPLES, D.AMO, iSIGN 등 솔루션을 통해 각각의 ISMS-P 조항을 충족 및 대응할 수 있습니다.

    ISMS, ISMS-P, 인증보안

    ISMS-P는 필수, Penta와 함께 종합 대응 필요

    ISMS-P는 기업의 정보 자산과 개인정보를 안전하게 보호하고 정부·기관으로부터 공식 인증을 받음으로써 대외 신뢰도도 높일 수 있는 중요한 제도입니다.
    다만 관리체계부터 인적·물리·기술적 보호조치까지 포괄하기 때문에, 한두 가지 솔루션만으로 전 항목을 충족하기는 어려울 수 있습니다.
    보안 담당자와 경영진이 충분한 사전 계획을 세우고 필요한 기술적 솔루션, 관리적 절차, 임직원 보안 교육을 종합적으로 마련해야 합니다.
    다가올 ISMS-P 인증 심사를 대비해 지금부터 꼼꼼하게 준비해 보시길 바랍니다.

     

    함께 보면 좋은 자료

    • KISA ISMS-P 공식 홈페이지: https://isms.kisa.or.kr
    • 개인정보보호위원회: https://www.pipc.go.kr
    • 법령정보센터(국가법령정보센터): https://law.go.kr