안녕하세요. 캐치시큐입니다.
개인정보 보호 및 정보 보호와 관련해서도 많은 인증이 있다는 사실 알고 계신가요?
국제 인증과 국내 인증으로 나누어서 볼 수 있는데요.
국제 인증의 경우 ISO27001이 대표적이고, 국내 인증으로는 ISMS, ISMS-P가 있습니다.
이번 글에서는 ISMS, ISMS-P와 새로 시행된 간편인증 제도에 대해 알아보겠습니다.
‘ISMS’와 ‘ISMS-P’가 무엇인가요?
- ISMS : 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
- ISMS-P : 정보보호 및 개인정보 보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
‘ISMS’와 ‘ISMS-P’ 차이가 무엇인가요?
가장 큰 차이는 ‘개인정보 보호 포함 여부’, ‘인증 기준’ 두 가지입니다.
먼저 ‘개인정보 보호 포함 여부’입니다.
ISMS의 경우 ‘정보보호 관리체계 인증’으로 개인정보 보호에 관한 사항이 포함되지 않습니다.
ISMS-P의 경우 ‘정보보호 및 개인정보보호 관리체계 인증’으로 정보보호와 더불어 개인정보 보호에 관한 사항이 포함됩니다.
‘인증 기준’입니다.
ISMS는 ‘관리체계 수립 및 운영’과 ‘보호대책 요구사항’으로 두 가지 항목에 대해서 점검을 받습니다.
ISMS-P는 ISMS 인증 항목 두 가지에 ‘개인정보 처리 단계별 요구사항’ 항목이 추가됩니다.
인증을 꼭 받아야 하나요?
모든 사업자가 인증을 받아야 하는 것은 아니지만 의무대상자가 법적으로 정해져 있습니다.
의무대상자의 경우 인증 미이행 시 정보통신망법에 따라 3,000만 원 과태료 처분을 받을 수도 있으니 유의하시기 바랍니다.
ISMS, ISMS-P 인증 받기 어렵다고 하던데 맞나요?
인증을 위해서는 준비단계 > 신청단계 > 심사단계 > 인증단계 총 4단계를 거쳐야 합니다.
- 준비단계
관리체계 구축 및 운영(2개월) - 신청단계
신청공문, 인증신청서, 관리체계운영명세서, 법인·개인 사업자 등록증 필요
수수료 납부 - 심사단계
서면심사·현장심사 진행
결함에 대한 보완조치 - 인증단계
인증위원회의 심사결과 검토·심의 후 인증서 발급
인증을 받았다면 사후심사와 갱신심사를 받아야 합니다.
최초심사를 통해 인증을 받으면 3년의 유효기간이 부여되며 해당 기간 동안 매년 1회 사후심사를 받으면서 관리해야 합니다.
인증을 갱신하고자 한다면 유효기간 만료일 전 갱신심사를 받아야 합니다.
현행 ISMS와 ISMS-P 인증 제도는 중견기업 이상이 인증 기준을 충족 가능하도록 설계되어 중소기업이 인증을 취득하고 유지하는 데에 있어 부담이 큰 편입니다.
그래서 개인정보보호위원회가 중소기업의 정보보호 인증 부담 완화를 위해 ISMS, ISMS-P 간편인증 제도를 시행하였습니다.
간편인증 제도는 현행 인증제도와 비교해 어떤지 알아보겠습니다.
‘ISMS’, ‘ISMS-P’ 간편인증 제도
- 적용 대상
ICT 서비스 매출액 300억 원 미만인 중소기업
매출액 300억 원 이상의 중기업 중 주요 정보통신설비 미보유 기업(웹호스팅 서비스, 클라우드 서비스 이용자) - 인증 수수료
ISMS : 800 ~ 1,400만 원 > 400 ~ 700만 원
ISMS-P : 1,000 ~ 1,800만 원 > 600 ~ 1,100만 원 - 인증기준
ISMS : 80개 > 40개 또는 44개
ISMS-P : 101개 > 62개 또는 65개
정보보호 및 개인정보 보호 관련 규제들이 강화됨에 따라 인증 취득이 중요해지고 있습니다.
ISMS, ISMS-P 취득은 기업의 정보보호 및 개인정보 보호 수준을 보여주는 수단이 되기도 합니다.
캐치시큐는 컨설팅을 통해 개인정보 보호 인증 취득 지원도 진행하고 있습니다.
개인정보 보호와 관련하여 지원이 필요하시다면 도입문의를 신청해 주세요.
개인정보 보호 인증 취득도 캐치시큐와 함께 하세요!