정보보호관리체계 인증심사 정의.
정보보호관리체계 인증
정보보호관리체계(ISMS: Information Security Management System)는 기업이나 조직이 각종 위협으로부터 주요 정보 자산을 보호하기 위해 수립·관리·운영하는 종합적인 체계를 인증하는 것을 말한다.
개인 정보보호관리체계 인증
개인 정보보호관리체계(PIMS: Personal Information Management System)는 기업이 개인 정보보호관리체계를 수립하여 운영하고 있는 서비스 범위가 인증 심사 기준에 적합한지 여부를 인증기관이 평가하여 인증을 부여하는 제도이다.
■ 정보보호관리체계(ISMS) 인증 절차.
정보보호관리체계 인증을 위하여 다음과 같은 절차에 따라 인증이 수행되고 인증서 발급이 이루어진다.
정보보호관리체계(ISMS) 인증 심사 절차 단계
■개인정보보호관리체계 인증 절차(PIMS)
개인정보보호관리체계 인증을 위해 다음과 같은 절차에 따라 인증이 수행되고 인증서 발급이 이루어진다.
1. 준비 단계: 준비 단계는 인증 신청서 접수, 예비 점검, 계약 혐의 및 체결하는 단계.
2. 심사 단계: 심사 단계는 인증 기준 적합 여부에 대한 서면 및 현장 심사 단계.
3. 인증 단계: 인증 단계는 인증 심사의 결과를 근거한 인증 적합성 심의 단계.
4. 사후 관리 단계: 사후 관리 단계는 인증 취득 이후 매년 유지 상태에 대한 점검 단계.
정보보호관리체계 절차 정의하기
재료 자료.
● [정보 통신망 이용 촉진 및 정보 보호 등에 관한 볍률]과 동법 시행령
● [개인 정보 보호법]
● 정보보호관리체계 인증 등에 관한 고시
● 개인 정보보호관리체계 인증 등에 관한 고시
기기(장비/공구)
● 컴퓨터(인터넷), 프린터
● 빔 프로젝터, 화이트보드, 복사기
● 사무 자동화 소프트웨어(문서, 편집, 표 작성, 발표 자료 작성)
안전 유의 사항
● 정보보호관리체계 인증 심사 준비를 위하여 인증 심사 제도의 목적과 법률에서 정의하는 기준 등을 파악하고 인증 심사 절차를 정의하도록 한다.
● 인증 심사 대상 조직의 정보보호관리체계 현황을 파악하기 위하여 전체 정보 보호 관련
업무와 제도 등을 우선 이해하고 해당 조직의 인증 심사 절차를 정의하도록 한다.
● 인증 심사의 종류와 절차를 정보보호관리체계와 개인 정보보호관리체계로 구분하여 숙지 하도록 한다.
수행 순서
인증심사 대상 기업의 정보보호관리체계(개인정보호관리체계)에 대한 심사 종류와 절차를 정의.
1. 인증심사 대상 기업의 정보보호관리체계에 대한 심사 종류를 정의한다.
(1) 최초 심사
(2) 재심사
(3) 사후 관리
(4) 갱신 심사
2. 인증 심사 대상 기업(조직)의 정보보호관리체계에 대한 절차를 정의한다.
정보보호관리체계 인증 심사 절차는 다음과 같이 진행된다.
(1) 준비 단계
(2) 실시 단계
(3) 인증 단계
(4) 사후 관리 단계
개인 정보보호관리체계 대한 법적 근거 등을 정의한다.
법령: 개인 정보 보호법
제32조의2(개인 정보 보호 인증) 1. 행정자치부 장관은 개인 정보 처리자의 개인 정보 처리 및 보호와 관련한 일련의 조치가 이 법에 부합하는지 등에 관하여 인증할 수 있다.
법령: 정보 통신망법
제47조(개인 정보보호관리체계의 인증) 3 미래창조과학부 장관은 제2항에 따라 인증을 받아 야 하는 자가 미래창조과학부령으로 정하는 바에 따라 국제 표준 정보 보호 인증을 받거나 정보 보호 조치를 취한 경우에는 제1항에 따른 인증 심사의 일부를 생략할 수 있다. 이 경우 인증 심사의 세부 생략 범위에 대해서는 미래창조과학부 장관이 정하여 고시한다. <신설 2015. 12. 1.>
개인 정보보호관리체계 인증 심사에 대한 구성 기관(조직)별 역할을 수립
1. 행정자치부, 미래창조과학부
행정자치부와 미래창조과학부는 개인 정보보호관리체계 인증을 총괄하며 다음의 역할을 수행한다.
(1) 법⋅제도 개선
개인 정보보호관리체계 인증과 관련된 법과 제도 등을 제정⋅개정하고 이를 집행한다.
2. 인증기관
인증기관은 「정보통신망법」에서 인증 업무를 하도록 명시된 기관으로, 한국인터넷진흥원이 지정되어 다음의 업무를 수행한다.
(1) 행정자치부와 미래창조과학부가 지정한 한국인터넷진흥원 또는 인증 기관은 개인
정보보호관리체계 인증에 관한 업무를 수행한다.
(2) 인증 기관은 심사 팀을 구성하여 신청 기관이 수립·운영하는 개인 정보보호관리체
계를 인증 기준에 따라 심사하고, 심사 기간에 발견된 결함 사항의 보완 조치 여부
를 확인하여 인증 기준에 적합한 기관에 인증서를 발급한다.
(3) 인증 기관은 인증위원회 운영, 인증 심사원 양성 및 자격 관리, 인증 제도 및 기준
개선 등 개인정보보호관리체계 인증 제도 전반에 걸친 업무를 수행한다. 개인정보보호관리체계 인증과 관련된 법과 제도 등을 제정⋅개정하고 이를 집행한다.
3. 인증위원회
(1) 개인정보보호관리체계 인증위원회는 인증 심사 결과가 인증 기준에 적합한지 여부,
인증 취소에 관한 사항, 이의 신청에 관한 사항 등을 심의·의결한다.
(2) 인증위원회는 개인 정보 보호 전문가, 변호사, 교수 등 개인 정보 보호 분야에 학식
과 경험이 있는 자 중에서 35명 이내의 위원으로 구성하여 운영한다.
4. 신청 기관
개인정보보호관리체계 인증을 취득을 목적으로 준비하고 인증을 심사받고, 사후 관리를
실시한다.
(1) 신청 기관은 개인 정보 보호 활동의 체계적이고 지속적인 관리 여부를 객관적으로
검증받기 위하여 개인정보보호관리체계 인증을 취득하고자 신청하는 자를 의미한다.
(2) 신청 기관은 개인 정보보호관리체계 인증을 신청하기 전에 인증 기준에 따른 개인
정보보호관리체계를 구축하여 반드시 최소 2개월 이상 운영하여야 한다.
개인 정보의 유형을 파악하고 구분한다.
개인 정보는 정보 이용 등 사업자의 서비스에 이용자가 직접 회원으로 가입하거나 등록할때 사업자에게 제공하는 정보(성명, 생년월일, 전화번호 등)뿐만 아니라, 이용자가 서비스를 이용하는 과정에서 생성되는 통화 내역, 로그 기록, 구매 내역 등도 개인 정보라고 판단할 수 있다.
※ 정보보호관리체계(ISMS) 인증 절차와 개인 정보보호관리체계(PIMS) 인증 절차는 크게 차이는 없으나
인증 대상이 다르다는 차이점이 있다.
개인 정보보호관리체계에서 행정 관련 정부 부처가 포함된 것은 「개인 정보 보호법」의 소관 부처이 고, 행정적인 측면에서 개인 정보 보호에 대한 경각 심이 크게 작용하고 있음을 파악하여야 한다.
'정보보호관리체계인증' 카테고리의 다른 글
정보보호관리체계 인증심사 기준 수립하기 (0) | 2020.04.29 |
---|---|
정보보호관리체계 인증 심사 체계 수립 과정 (0) | 2020.04.27 |
댓글