[정리] ISMS 인증?

ISMS(Information Security Management System) 인증은 지속적이며 전사적인 보안관리를 하기 위한 기업의 정보보안 관리체계의 적합성을 판단해 인증하는 제도로 2001년 부터 국내에 도입되었다.


미래창조과학부에서 인증과 관련된 법, 제도 등을 총괄하고 있으며 한국인터넷진흥원이 단독으로 인증을 수행해오다 최근 인증 수요의 증가와 인증 품질 향상을 위해 한국정보통신진흥협회가 추가 인증기관으로 지정됬다. *7 월 10일 금융보안원이 인증과 인증심사를 담당하는 민간 기관으로 선정 (http://www.dailysecu.com/news_view.php?article_id=10150)

 

[그림 1] 인증 추진 체계


ISMS 인증대상 기업은 의무인증 대상과 자율인증 대상으로 나뉘며 정보통신망 이용촉진 등에 관한법률 47조 2항 및 영 49조에 근거한 의무인증 대상은 다음과 같다. 만일, 의무인증 대상기업이 인증을 받지 아니한 경우 정통망법 제 76조에 의거 3천만원 이하의 과태료가 부과된다.

1. 정보통신망 서비스를 제공하는자 (ISP)

2. 집적정보통신시설 사업자 (IDC)

3. 정보통신 서비스 부문 전년도 매출액 100억 이상인 사업장

4. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자


제47조(정보보호 관리체계의 인증)

② 정보통신서비스 제공자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.  <신설 2012.2.17.>

1. 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자

2. 집적정보통신시설 사업자

3. 연간 매출액 또는 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 자

제49조(정보보호 관리체계 인증 대상자의 범위) ① 법 제47조제2항제1호에서 "대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자"란 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다.

   ② 법 제47조제2항제3호에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당하는 자를 말한다.

1. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자

2. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자


[그림 2] 정보보호 관리체계 인증 프로세스 요약


ISMS 인증 절차는 간단히 준비 - 심사 - 사후관리로 나눌 수 있다. 인증준비 단계에서 신청자는 인증을 받기위해 정보보호 관리체계 인증 등에 관한 고시 제15조에 따라 정보보호 관리체계를 구축하여 최소 2개월 이상 운영하여야 하고 인증 신청 시 운영기간에 대한 증적자료를 포함하는 인증신청 서류를 인증기관에 제출하여야 한다.


 신청기관은 정보보호 관리체계 인증을 신청하기 전에 인증기준에 따른 정보보호 관리체계를 구축하여 최소 2개월 이상 운영하여야 한다.


심사 단계에선 먼저 인증 심사팀 구성 후 심사 계획을 통보한다. 인증심사는 서면심사와 현장심사를 모두 진행하며, 서면심사 시 신청기관이 정책과 지침 등 인증기준에서 제시하는 내부규정을 충족하고 있는지 심사한다. 현장심사에서는 문서에서 명시한 통제사항들의 실제 이행여부 및 서면심사의 문제점 등을 확인한다. 심사원들은 심사 후 도출된 문제점들에 대한 결함보고서를 작성한다. 신청자는 결함보고서에 따른 결함을 30일 이내에 보완조치를 실시하고 이행내역을 인증기관에 제출하여야 한다.

인증심사원은 결함의 보완조치에 대한 확인이 이루어지면 심사결과 보고서를 작성하고 이를 인증 위원회에 상정한다. 인증 위원회는 인증심사 결과가 인증 기준에 적합한지 여부를 심의하고 그 결과를 인증기관의 장에게 제출하며 그 결과에 따라 인증기관은 인증 신청자에게 인증서를 발급한다.


ISMS 인증의 유효기간은 3년이며 자격의 유지를 위해 1년에 한번 이상 사후심사를 받아야 하며 정통망법 47조 8항에 해당하는 경우 인증을 취소 할 수 있다. 세부적인 인증 절차는 [그림 3]과 같다.


제47조(정보보호 관리체계의 인증)

⑧ 미래창조과학부장관은 다음 각 호의 어느 하나에 해당하는 사유를 발견한 경우에는 인증을 취소할 수 있다.  <신설 2012.2.17., 2013.3.23.>

1. 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우

2. 제3항에 따른 인증기준에 미달하게 된 경우

3. 제6항에 따른 사후관리를 거부 또는 방해한 경우


[그림 3] 정보보호 관리체계 인증 세부 절차


ISMS 인증 기준은 104개 통제항목 및 253개 세부점검항목으로 구성되어 있다. 인증 기준은 크게 정보보호 관리과정과 정보보호 대책 두가지로 나뉘고, 관리과정은 인증 심사 시 필수적으로 요구되는 항목이다. 정보보호 대책의 경우 13개분야 92개 통제항목으로 구성되며 미선정 통제항목이 존재할 경우 사유를 명시하고 의도적으로 배제되지 않도록 하여야 한다.


자료 

정통망법 : http://www.law.go.kr/lsInfoP.do?lsiSeq=154247&efYd=20140528#AJAX

정보보호 관리체계 인증 등에 관한 고시 : http://www.law.go.kr/admRulLsInfoP.do?admRulSeq=2000000098423

KISA인증 자료실 : http://isms.kisa.or.kr/kor/notice/dataList.jsp?p_No=48&b_No=48

정보보호_관리체계(ISMS)_인증_제도_안내서_개정안(_13._10._8).pdf

정보보호_관리체계(ISMS)_인증신청_가이드라인_v1.6.hwp

ISMS_인증기준_세부점검항목_(2013.5.15).xlsx