ISMS 인증제도

정보보호관리체계 부재 (AS-IS)

  • 부분적 보안
  • 일회성 관리
  • 산발적 대응

ISMS인증 추진

  • 정보보호 조직구성

  • 정보자산 식별

  • 위험 분석·평가

  • 보호대책 수립

  • 정보보호 문서화

정보보호관리체계 구축·운영 (TO-BE)

  • 균형적 보안
  • 지속적 관리
  • 체계적 대응

“정보통신망 법 시행령 연간 매출액 또는 이용자 수 기준”

  • 정보통신부문 연 매출액 기준 100억 이상 사업자 또는 일 평균 이용자수 100만 명 이상 『전자금융거래법』 제2조 제3호에 따른 금융회사 제외
  • 매출 또는 세입 기준 1,500억 이상인 기관 中 상급종합병원, 직전 년도 재학생수 1만 명 이상 『고등교육법』 제2조에 따른 학교
관련근거 - 정보통신망 법 시행령 제49조 (2016. 6. 2 시행)

ISMS 인증체계

미래창조과학부

  • 법, 제도 개선 및 정책 결정

  • 인증기관지정 및 관리

인증위원회

  • 인증심사결과 심의·의결

인증기관(한국인터넷진흥원)

  • 인증제도 운영

  • 인증위원회 운영

  • 인증심사원 양성 및 관리

인증심사원

  • 인증심사 수행
  • 인증제도의 객관성 및 신뢰성 확보를 위해 정책기관, 인증위원회를 분리하여 운영
  • 미래창조과학부는 인증제도를 관리·감독하는 정책기관
  • 한국인터넷진흥원은 인증기관으로서 인증제도 운영
  • 산업계, 학계 등 관련 전문가 10명 이내로 인증위원회를 구성하여 인증결과 심의
  • 인증심사팀은 인증심사원 양성교육을 수료하고 자격요건을 갖춘 자들로 구성

ISMS 인증심사 주기

인증심사의 종류는 최초심사, 사후관리, 갱신심사로 구분되며, 기본적으로 인증유효기간은 3년이며, 인증취득 후
1년에 1회 이상 사후심사를 받아야 함
  1. 최초심사
  2. 사후관리
  3. 사후관리
  4. 갱신심사
인증을 받은 정보보호관리체계 범위 내에서 중대한 변경이 발생한 경우는 다시 최초심사 수행
인프라의 증설, 이전 등으로 인한 구성의 중대한 변경, 서비스의 추가 등으로 인한 중대한 변경 발생 시

ISMS 인증 절차 및 준비사항

ISMS 인증절차

인증준비단계

  • 법, 제도 개선 및 정책 결정

  • 인증기관 지정 및 관리

ISMS 보안컨설팅

인증심사단계

  • 인증 신청 및 사전심의

  • 현장사전심의

  • 심사결과 및 보완조치

KISA 인증심사(3년 유효)

사후관리

  • 사후관리 심사

사후심사

ISMS 준비사항

인증준비단계
(5~6개월)
  • 관리체계 인증 범위, 전략적
    목표 설정

  • 컨설팅을 통한 ISMS 구축

  • 2~3개월 간 ISMS 운영실적
인증심사단계
(1~3개월)
  • 신청 서류 접수 후 사전심의
    (심사기관)

  • 관리체계 서면·현장심사
    (ISMS인증심사팀)

  • 2~3개월 간 ISMS 운영실적
사후관리단계
(인증 취득 후)
  • 취득 다음해부터 2년간 매년
    관리심사

  • 컨설팅을 통한 ISMS 구축

ISMS 기대효과

기업은 ISMS를 성공적으로 구축·운영 함으로써 정보보호관리 수준 향상과 침해사고 발생 시 신속한 대응 및
손실 최소화 등 지속적, 능동적, 효율적으로 전사적인 정보보호활동을 지원

관리 수준 향상

선 순환 구조 보안관리

서비스 신뢰도 제고

체계적 보안대책 구현

전사적 위기대응

주기적 정보보호 활동

기업 손실 최소화

신속한 대응체계 마련

성공적인 ISMS 구축·운영 기업