● 정책(인증)협의회
[정보보호및 개인정보보호 관리체계 인증 등에 관한 고시]
제5조 (협의회의 운영)
① 협의회는 정보보호 및 개인정보보호 관리체계 인증제도 와 관련하여 다음 각 호의 사항을 협의한다.
1. 인증제도 연구 및 개선에 관한 사항
2. 인증제도 운영을 위한 제반사항 검토 및 품질관리에 관한 사항
3. 인증기관 및 심사기관의 지정·재지정 및 업무정지·지정 취소에 관한 사항
(인증취소는 인터넷진흥원 또는 인증기관에서 담당한다.)
4. 인증기관 및 심사기관의 관리·감독에 관한 사항
5. 인증제도 운영에 따른 민원 처리 및 법적 분쟁에 관한 사항
(인증심사 결과에 대한 이의처리는 인터넷진흥원이나 인증기관에서 처리한다.)
6. 그 밖에 협의가 필요한 사항
● 인증위원회
1. 인증위원회는 35인 이내의 위원으로 구성하되 위원은 정보보호 및 개인정보보호 관련 분야에 학식과 경험이
있는 자중에서 인터넷진흥원 또는 인증기관의 장이 위촉하며, 위원장은 위원중에서 호선한다.
인증위원회 회의마다 위원장과 인증위원의 전문분야를 고려하여 6인 이상의 인증위원으로 구성한다.
제29조 (인증위원회 구성)
① 인터넷진흥원 또는 인증기관의 장은 다음 각 호의 사항을 심의.의결하기 위하여 인증위원회를 설치.운영하여야 한다.
(적취이)
1.최초심사 또는 갱신심사 결과가 인증기준에 적합한지 여부
2.인증의 취소에 관한 사항
3.이의신청에 관한 사항
● 인증에 따른 심사구분
| 단일심사 | 하나의 인증만 신청하는 경우 - ISMS만 신청하던지 ISMS-P를 신청하던지 둘중에 선택 |
| 혼합심사 | 같은 관리체계 내에서 일부 서비스만 개인정보흐름을 포함하여 인증을 받고자 하는 혼합심사의 경우 수수료와 심사과정을 통합하였으며 유효기간 및 심사주기가 동일하고 범위만 다른 2장의 인증서 발급 예시) ISMS인증범위 (금고서비스 운영), ISMS-P 인증범위 (인터넷뱅킹 서비스 운영) 예시) 다른 기간에 개별로 받는 인증은 해당하지 않음 예) 상반기 ISMS , 하반기 ISMS-P인증 |
| • 개인정보를 이용하여 서비스를 한다고 무조건 ISMS-P 인증을 받아야 하는 것은 아님. 의무대상자는 자체적으로 판단하여 ISMS, ISMS-P 인증 중에서 선택할 수 있다. • ISMS,PIMS를 모두 보유한 기업이 개정된 인증기준으로 ISMS-P를 신청하는 경우에는 최초심사로 진행되며 새로운 인증서가 발급된다. • ISMS,PIMS를 모두 보유한 기업이 ISMS 범위가 A,B,C 이고 PIMS 범위가 A,B,D 인경우 A,B,C,D 모두 개정된 인증기준의 ISMS로 신청할 수 있다. • ISO/IEC 27001 인증으로 인증심사의 일부를 생략할수 있는 건 ISMS인증인 경우에만 가능하다. • 인증심사의 일부의 범위를 생략하여 심사하는 경우 인터넷진흥원 또는 인증기관이 인증을 부여할 때에는 그 사실을 인증서에 표기해야 한다. • 인증심사 일부 생략의 범위는 2.1 정책,조직,자산 2.2 인적보안 2.3 외부자보안 2.4 물리적보안 2.12 재해복구 • 심사수행기관은 신청인과 협의를 통해 인증기준내에서 인증범위, 업무특성등을 고려하여 인증심사 항목을 조정할 수 있다. • 인증 신청인은 인증범위 및 일정 등을 심사수행기관과 사전 협의하여 신청하여야 한다. • ISMS는 고객센터,영업점,물류센터,개인정보 취급위탁사는 심사하지 않는다. |
|
● 인증수수료
1. ISMS - 정보시스템수 , 인력 수
2. ISMS-P - 정보시스템수 , 인력 수 , 심사복잡도
*심사복잡도 : ISMS-P는 개인정보위탁사, 서비스 수에 따라 추가금액 적용
● 개인정보분쟁조정위원회와 개인정보보호위원회
| 개인정보 분쟁조정위원회 | 개인정보 분쟁조정위원회는 개인정보와 관련한 분쟁사건을 합리적이고 원만하게 조정하여 해결하는 준사법적 기구이다. 1. 워원장1명을 포함하여 20명 이내의 위원으로 구성하며 위원은 당연직 위원과 위촉직 위원으로 구성한다. 2. 조정업무의 효율적 처리를 위하여 조정부를 설치할 수 있으며 조정부는 조정사건의 분야별로 위원장이 지명하는 5명 이내의 위원으로 구성하되 그 중 1명은 변호사 자격이 있는 위원으로 하게된다. 3. 이러한 조정부가 위원회에서 위임받아 의결한 사항은 개인정보 분쟁조정위원회에서 의결한것으로 본다. |
| 개인정보보호위원회 | 개인정보보호에 관한 사항을 심의.의결하는 대통령 소속 행정위원회이다 1. 위원장 1명과 상임위원 1명을 포함하여 15명 이내로 구성하되, 상임위원은 정무직 공무원으로 임명한다. 2. 위원은 ① 개인정보보호와 관련한 시민사회단체 또는 소비자단체로부터 추천받은 사람, ② 개인정보처리자로 구성된 사업자단체로부터 추천을 받은 사람, ③ 그 밖에 개인정보에 관한 학식과 경험이 풍부한 사람 중에서 대통령이 임명하거나 위촉한다. 다만 5명은 국회가 선출하는 사람과 대법원장이 지명하는 사람을 임명하거나 위촉한다. 3. 위원의 임기는 3년으로 하되, 1차에 한하여 연임할수 있다 |
- 2개월 이상 ISMS 운영
- 심사시작일 기준 최소 6주전에 신청서 제출 (준비부터 인증까지는 8개월 소요)
- 심사후 결함 보완조치기간 40일
추가적인 보완조치기간 60일
총 100일
● ISMS 인증 의무대상자 기준
| ISP 정보통신망서비스 |
[전기통신사업법]에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 (이동통신, 인터넷전화, 인터넷접속서비스) 예) LG U+ , SKT , KT * 정보통신망서비스 제공자라도 모두 의무대상자가 아니고 서울과 광역시에 서비스를 제공하는 제공자만이 의무대상자 이다. (매출액이나 사용자에 관계없이) 예를 들어 부산광역시에서 ISP 서비스제공자는 의무대상자가 아니다. 서울 과 모든 광역시에서 서비스를 제공하는 사업자만이 대상자이다 |
| IDC 집적정보통신시설 |
[정보통신망법] 에 따른 집적정보통신시설 사업자 (데이터센터, 서버호스팅, Co-Location 서비스 등) 예) LG CNS, 삼성SDS 데이터센터 (매출액이나 사용자에 관계없이) 단. VIDC 즉 다른 IDC에 입주해서 재판매하는 사업자는 매출액이 100억원 이상인 경우 에만 의무 대상자이다. |
| 다음의 조건중 어느 하나라도 해당하는 자 - 상급종합병원(1,500억), - 대학교(1만명/1,500억) - 100억 정보통신 - 100만명 정보통신 |
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당하는 경우 -[의료법] 에 따른 상급종합병원 -직전연도 12월31일기준 재학생수가 1만명 이상인 [고등교육법] 에 따른 학교 (2년제 대학교, 4년제 대학교, 사이버대학교…) |
| 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자 (쇼핑몰, 포털, 게임사 등) |
|
| 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자 (쇼핑몰, 포털, 게임, 예약 , 케이블SO) 단 금융기관은 제외 * 일일평균이용자수란 PV (Page View)를 말하며 홈페이지에 들어온 접속자가 둘러본 페이지수를 말한다. |
● 인증심사원 자격신청 요건
| 4년제 대학졸업 이상 또는 이와 동등학력을 취득한 자로서 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유하고 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유 |
||
| 정보보호 경력 | 정보보호 관련 박사 학위 취득자 | 2년 |
| 정보보호 관련 석사 학위 취득자 정보보안기사 , CISA , CISSP |
1년 | |
| 개인정보보호 경력 | 개인정보보호 관련 박사 학위 취득자 | 2년 |
| 개인정보보호 관련 석사 학위 취득자 PIA , CPPG |
1년 | |
| 변호사법에 따른 변호사의 경우에는 6년의 개인정보보호 유관경력을 보유한것 으로 본다 | 6년 | |
| 정보기술 경력 | 정보기술 관련 박사 학위 취득자 기술사 , 감리사 |
2년 |
| 정보기술 관련 석사 학위 취득자 감리원, 정보처리기사, 전자계산기조직응용기사 |
1년 | |
| 정보보호박사 학위가 있으며, 만2년의 보안경력을 가진 정보관리기술사 K씨 | 정보보호박사 - 개인정보보호 2년 2년의 보안경력 - 정보보호 2년 정보관리기술사 - 정보기술 2년 |
| 개인정보보호석사 학위가 있으며, 만3년의 보안경력과 정보보안기사, CPPG를 보유한 M씨 | 개인정보보호학사 - 개인정보보호 1년 (또는 CPPG 1년) 만3년 보안경력 - 정보기술 3년 정보보안기사 - 정보보호 1년 |
| 4년제 대학졸업하고 만4년의 보안경력과 CPPG, 정보처리기사를 보유한 G씨 | 만4년 보안경력 - 정보보호 4년 CPPG - 개인정보보호 1년 정보처리기사 - 정보기술 1년 |
| 4년제 대학졸업하고 , 만3년의 보안경력과 정보안기사, CPPG, 정보처리기사를 보유한 J씨 | 만3년의 보안경력 - 정보기술 3년 정보보안기사 - 정보보호 1년 CPPG - 개인정보보호 1년 |
● 인증심사원 등급별 자격요건
| 심사원보 | 인증심사원 양성과정을 통과하여 자격을 취득한 자. |
| 심사원 | 심사원보 자격취득자로서 인증심사에 4회이상 참여하고 심사일수의 합이 20일 이상인 자 |
| 선임심사원 | 심사원 자격취득자로서 정보보호및 개인정보보호 관리체계(ISMS-P) 인증심사를 3회이상 참여하고 심사일수의 합이 15일 이상인 자 |
| 책임심사원 | 인증심사능력에 따라 인터넷진흥원이 매년 책임심사원 지정 선임심사원이 매년 1월 1일 기준으로 1년 동안 다음의 요건을 모두 만족하는 경우 다음해 1년 동안 책임심사원으로 활당 1. ISMS-P 2회를 포함하여 인증심사 4회 이상 참여하고 심사일수의 합이 20일 이상 2. 최초 또는 갱신심사 1회 이상 참여 3. 인증심사 수행 결과에 대한 심사원 평가 충족 |
● 인증심사원 평가항목
인증기준 이해력
심사보고서 작성능력
피심사자와 의사소통능력
결함판단능력
협업 및 심사태도
인증심사관련 이의제기
** 취약점 분석 능력은 평가항목 아님!!
"인증심사원" 이란 인터넷진흥원으로부터 인증심사를 수행할 수 있는 자격을 부여받고 인증심사를 수행하는 자를 말한다.
"정보보호 관리체계 인증" 이란 인증신청인의 정보보호 관련 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 것을 말한다.
"인증위원회"란 인터넷진흥원 또는 인증기관의 장이 인증심사 결과를 심의.의결하기 위하여 설치.운영하는 기구로서 위원자와 위원으로 구성된다.
"인증심사"란 신청기관이 수립하여 운영하는 관리체계가 인증기준에 적합한지의 여부를 인터넷진흥원, 인증기관 또는 심사기관이 서면심사 및 현장심사의 방법으로 확인하는 것을
말한다.
"인증기관" 이란 인증에 관한 업무를 수행할 수 있도록 과학기술정보통신부장관, 행정안전부장관 및 방송통신위원회가 지정하는 기관을 말한다.
'ISMS-P' 카테고리의 다른 글
| ISMS-P 키워드별 정리(6/10) (4) | 2021.02.17 |
|---|---|
| ISMS-P 키워드별 정리(5/10) (0) | 2021.02.15 |
| ISMS-P 키워드별 정리(3/10) (0) | 2021.02.08 |
| ISMS-P 키워드별 정리(2/10) (0) | 2021.02.04 |
| ISMS-P 키워드별 정리(1/10) (0) | 2021.02.04 |