소개 #
인증이란, 기업이 주요 정보 자산을 보호하기 위해 수립, 관리, 운영하는 체계가 인증 기준에 적합한지 심사하여 인증을 부여하는 제도이다. 인증을 통해 기업들은 보안성을 증명할 수 있다.
- 정보보호 위험 관리 증명
- 윤리, 투명 경영 증명 & 법적 증거 확보
- 침해 사고, 집단 소송 등의 위험 감소
- 기업 이미지(신뢰도) 향상
인증은 국제, 국내 인증으로 구분된다. 대표적으로 국제 인증에는 ISO27001, 국내 인증에는 ISMS(-P)가 있다.
국제 인증 #
| 구분 | 주관 | 설명 |
|---|---|---|
| ISO27001 | 국제표준화기구 (ISO) | 총 114개의 통제 항목으로 구성된 정보보호 관리 체계에 대한 국제 인증 |
| CSA STAR | 영국표준협회 (BSI) 클라우드보안협회 | 클라우드보안과 관련되며 ISO/IEC27001 을 강화한 특별 프로그램 |
| BSI10012 | 영국표준협회 | 개인정보의 효과적인 관리체계에 관한 표준 국제 규격에 맞게 영국표준협회에서 설계한 프로그램 |
| PCI DSS | PCI 보안표준위원회 | 신용카드 취급 가맹점, 서비스 제공 업체들이 준수해야 할 정보보호에 대한 표준 |
국내 인증 #
| 구분 | 주관 | 설명 |
|---|---|---|
| ISMS | 과학기술정보통신부(과기정통부) | 정보통신망법 근거 2001년 7월 국내 정보보호에 대한 인증 제도로 도입 2002년 5월 관련 고시 발표 및 제도화 2013년 법적 의무대상 기관 지정 2018년 11월 PIMS 와 통합 |
| ISMS-P | 과기정통부 행정안전부 방송통신위원회 | 정보통신망법 근거 2018년 11월 ISMS 와 PIMS 가 통합된 제도 |
| PIMS | 방송통신위원회 | 정보통신망법 근거 2018년 11월 ISMS 와 PIMS 가 통합된 제도 |
| PIPL | 행정안전부 | 개인정보보호법 근거 2013년 공공기관 개인정보보호 관련 인증을 위해 도입 2016년 PIMS 로 통합 |
| PIA | 행정안전부 | 공공기관 대상 의무 개인정보를 취급하는 공공기관이 관련 시스템을 신규 구축하거나 기존 시스템을 변경하는 경우 실시 |
ISO27001 #
국제표준화기구(ISO), 국제전기기술위원회(IEC)에서 정보보호관리를 위해 제정한 국제 표준 인증 제도이며 정보보호 분야에서 권위있는 인증 제도이다.
ISO/IEC27000 Family 에는 용어, 요구사항, 지침 등을 규정하고 있고 ISO27001 취득을 목표로 한다.
14개의 관리 영역, 114개의 세부 항목에 대한 심사를 거쳐 인증서를 부여한다.
- 정보의 기밀성, 무결성, 가용성을 보존하고 이해당사자에게 위험이 적절하게 관리되고 있음을 증명한다.
ISO27001 은 인증 시 절차를 중점으로 살핀다. 이 절차는 PDCA 로 표현한다.
- P(Plan) : ISMS 수립, 국제 정책, 목표에 부합하는 결과를 제공하기 위해 위협관리 및 정보보안 향상과 관련된 정책, 목표, 절차를 수립한다.
- D(Do) : ISMS 구현/실시, ISMS 정책, 통제, 절차를 구현한다.
- C(Check) : ISMS 모니터링, 정책, 성과를 측정하고 평가한다.
- A(Act) : ISMS 개선, ISMS 내부 감사 및 검토 결과를 기반으로 지속적으로 개선한다.
ISMS-P #
ISMS 와 PIMS 가 통합된 인증제도이다. 인증서의 구성은 크게 ISMS, ISMS-P 로 구분되며 기업이 선택할 수 있다.
- ISMS-P : 정보보호 및 개인정보보호 관리 체계 인증, 심사 항목은 102개로 구성된다.
- ISMS : 정보보호 관리 체계 인증, 심사 항목은 80개로 구성된다.
인증 취득 시 공정성을 위해 정책기관, 인증기관, 심사기관으로 구분되어 평가가 진행된다.
| 구분 | 주관 | 설명 |
|---|---|---|
| 정책기관 | 과기정통부 개인정보보호위원회 | 법, 제도 개선 및 정책 결정 인증기관 및 심사기관 지정 |
| 인증기관 | 인증위원회 한국인터넷진흥원(KISA) 금융보안원(FSI) | KISA 제도 운영 및 인증 품질 관리 FSI 금융분야 인증심사 금융분야 인증서 발급 |
| 심사기관 | 정보통신진흥협회(KAIT) 정보통신기술협회(TTA) 개인정보보호협회(OPA) | 인증 심사 수행 |
ISMS 의 경우 ISO27001과 달리 의무 대상이 존재한다. (원문) 의무대상자는 ISMS, ISMS-P 인증 중 선택해 인증을 수행해야 한다. 의무대상 여부는 기업, 기관이 자체적으로 판단해야 한다. 미 인증 시 과태료가 부과된다.
| 구분 | 의무대상자 기준 |
|---|---|
| ISP | 전기통신사업법 제 6조 1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 |
| IDC | 정보통신망법 제 46조에 따른 집적정보통신시설 사업자 |
| 다음의 조건 중 하나라도 해당하는 자 | 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 - 의료법 제 3조의 4에 따른 상급종합병원 - 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 고등교육법 제 2조에 따른 학교 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도)매출액이 100억원 이상인 자 전년도 일일평균 정보통신서비스 이용자 수가 100만 명 이상인 자 |
ISO/IEC27001 를 취득한 경우 ISMS(-P) 의 일부 심사항목을 면제받을 수 있다.
ISO27001 vs ISMS-P #
| ISO27001 | ISMS-P |
|---|---|
| 국제 | 국내 |
| 의무 대상 X | 의무 대상 존재 O |
| 보완 조치 기간 X | 보완 조치 기간 40일 이내 |
| 보완 계획 제출 O | 보완 조치 사항 미흡 시 재조치 요구 기한은 60일 유지 |
| 사후관리 6개월 또는 1년 | 사후관리 1년 주기 |
| 유효기간 3년 | 유효기간 3년 |
| 갱신심사 3년 주기 | 갱신심사 유효 기간 3개월 전에 신청 |
| 심사항목 14개 관리 영역, 114개의 세부항목 | 심사항목 ISMS 80개, ISMS-P 102개의 항목 |