안녕하세요. 캐치시큐입니다.
작년에 개인정보보호법이 한 차례 개정되면서 위반 사항에 대한 과징금, 과태료 처분 수위가 커졌습니다.
이에 따라 기업들이 개인정보 보호에 대한 관심이 증가하고, 개인정보보호법 준수를 시각화하기 위해 개인정보 보호 인증을 취득하고 있습니다.
기업들은 개인정보 관련 인증 중에 주로 ISMS-P 또는 ISO 27001을 취득하려고 준비합니다.
하지만 정확히 무엇이 다른지 몰라서 고민하시는데요.
이번 글에서 정확히 알려드리겠습니다.
ISO 27001이란 무엇인가요?
국제표준화기구(ISO : International Organization for Standardization) 및 국제전기기술위원회(IEC : International Electrotechnical Commission)에서 제정한
정보보호 관리 체계에 대한 국제표준으로 정확한 명칭은 ISO/IEC 27001입니다.
정보보호 분야에서 가장 권위 있는 국제 인증으로 알려진 인증 제도입니다.
ISMS-P와 ISO 27001 무엇이 다른가요?
가장 큰 차이는 국제 인증과 국내 인증입니다.
ISO 27001의 경우 국제적으로 보안 수준을 인정받을 수 있지만, ISMS-P의 경우 국내 보안 인증 제도로 해외에서 인정받기에는 어려움이 있을 수 있습니다.
하지만 두 인증의 수준 차이가 다른 것이 아니며, ISMS-P, ISO27001 모두 높은 보안 수준을 요구합니다.
어떤 인증을 취득할지는 기업의 현황을 우선적으로 고려해야 합니다.
서비스의 해외 진출을 고려하거나 진행 중인 기업은 ISO 27001을 우선적으로 고려하는 것을 추천해 드리고, 해외 진출을 고려하지 않는 기업은 ISMS-P를 추천해 드립니다.
두 번째 차이는 자발적 취득과 필수적 취득입니다.
ISMS-P의 경우 일정 규모 이상의 기업은 필수적으로 취득하도록 법률에서 규정하고 있습니다. (인증 대상은 여기에서 확인해 주세요!)
하지만 ISO 27001은 법률에서 규정하는 바가 없으며, 기업의 자발적 의사로 취득하게 됩니다.
ISO 27001 인증 절차는 어떻게 되나요?
인증 심사 어떻게 준비하면 되나요?
ISO 27001 인증을 위한 준비는 5단계로 나눌 수 있습니다.
1단계 : 환경 분석
기업이 보유 중인 정보 자산의 목록화 후 ISO 27001 인증 항목을 토대로 인증 범위 확정
정보 자산에 대한 분류 기준 수립 및 중요도 평가
2단계 : GAP 분석
ISO 27001 통제 항목을 기준으로 정보보호 관리 체계를 비교·점검
정책·지침 검토, 서버·DB 등 보유한 자산에 대한 취약점 점검 및 모의해킹 수행
3단계 : 위험 평가
GAP 분석 결과를 바탕으로 위험 평가 항목 도출
위험 수용 기준 설정, 도출된 위험 요인 해소를 위한 관리 계획 수립
4단계 : 관리 체계 수립
ISO 27001 통제 항목을 기준으로 정책·지침 재개정
적용성 보고서 작성 – 해당 항목: 정책 지침 이행 여부 증적 / 미해당 항목 : 해당하지 않는 사유 작성
5단계 : 이행 및 인증 지원
인증 심사 신청 전 내부 보안 감사를 통한 미비점 보완
ISMS-P에 대한 내용은 여기에서 확인해 주세요.
개인정보 보호 인증 쉽게 취득하기
대표적인 개인정보 보호 인증에 대해 알아보았습니다.
개인정보 보호 관련 인증 취득은 점점 중요해지고 있습니다.
ISMS-P와 ISO 27001은 매년 인증 절차를 거치기 때문에 기업의 높은 보안 수준을 유지할 수 있으며, 외부적으로 좋은 브랜드 이미지 구축이 가능합니다.
아직 취득을 안 했다면 한 번 고려해 보시기 바랍니다.
인증 취득이 처음이라 어렵다면 캐치시큐에 도움을 요청해 보세요!
캐치시큐는 ISO 27001, ISO27701, ISO27018, ISO27017 등 개인정보 보호 및 정보보호 국제 표준 인증을 모두 보유 중입니다.
직접 인증을 취득하면서 얻은 노하우와 경험을 통해 내부 관리 체계 수립부터 인증 취득까지 컨설팅을 지원하고 있습니다.
개인정보 보호 인증 취득도 캐치시큐와 함께하세요!