[미완]인증제도

1. ISMS-P

 * 인증대상

   - 정보통신망 서비스를 제공하는 자(ISP)

   - 집적정보통신시설 사업자(IDC)

   - 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도)매출액이 100억원 이상인 자

   - 전년도 말 기준 직전 3개월 간의 일일평균 이용자 수가 100만 명 이상

   - 연간 매출액 또는 세입이 1,500억 원 이상인 자 중에서 아래에 해당하는 경우

   - (의료법 제3조의 4에 따른 상급 종합병원)

   - (직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 고등교육법 제 2조에 따른 학교)

 * 인증 심사

   - 인증 신청 전 인증기준에 따른 정보보호 관리체계 구축 후 최소 2개월 이상 운영해야 한다.

   - 인증심사는 문서심사와 현장심사로 구성됨

   - ISMS의 경우 하단 그림의 1.1과 1.2 여역에서 80개 인증 기준 적용받게된다.

   - ISMS-P의 경우 1.3항목을 포함하여 102개의 인증 기준을 적용받게 된다.

 * 유효기간

   - 유효기간은 3년으로 인증 취득 후 연 1회 이상 사후 관리 심사를 받는다.

   - 보완조치 기간이 기존 30일에서 40일로 변경되었다. 연장 가능 최대 일수는 60일로 동일하다.

 * 각각의 기관

   - (정책기관) 과기부, 방통위, 행안부

   - (인증기관) KISA, 대통령령으로 정하는 기관

 * 인증기준

    PDCA! : Plan→Do→Check→Act

    

[개인정보관리체계 인증기준]

    * 

 

2. PIPL

 * 2016년에 PIMS에게 흡수되었다.

 

3. e-privacy

 * 웹사이트의 개인정보보호 정책 및 관리수준을 종합적으로 평가하여 부여하는 인증마크로 개인정보보호협회 OPA가 인증기관으로 심사를 수행하고 인증 위원회를 함께 운영한다.

 * 유효기간

   1년

 * 인증심사

   - 웹사이트 점검 및 서류심사, 현장심사

   - 사후관리 심사 대신 모니터링을 반기(6개월) 별로 실시

   - 온라인 신청 → 서류심사 → 사실심사(현장심사) → 인증위원회 개최 → 마크 부여

 * 심사내용: 개인정보 수집에 관한 조치

   - 개인정보 이용 및 관리

   - 정보주체의 권리

   - 공개 및 책임

   - 만 14세 미만 아동에 관한 조치

[ePRIVACY와 i-Ssafe]

 

4. PIA(개인정보 영향평가)

 * 사전예방의 원칙으로 정보시스템의 도입이나 개인정보를 수집, 이용하는 정보시스템에 중대한 변경 발생 시 개인정보 라이프사이클을 분석하여 추후 일어날 부정적 사건을 미리 조사, 예측하여 예방하는 제도이다.

 * 공공기관의 경우 필수로 수행하여야 한다.

 * PIA. 개인정보 영향평가와 함께 개인정보 파일

 * 심사위원 자격

   - 심사위원회는 행정안전부 장관이 위촉하는 15인 이내의 위원으로 구성

   - 개인정보보호 관련 업체, 기관 또는 단체에서 8년이상 개인정보보호 업무에 종사한 자

   - 학교나 공인된 연구 기관에서 조교수 이상의 직(또는 이에 상응하는 직)으로 개인정보보호 연구 경력 8년 이상

   - 개인정보보호에 관한 학식과 경험이 풍부한 자

   - 지정 심시위원회의 임기는 3년으로 하되 연임할 수 있다.

 * 영향평가 대상

   - 구축, 운용 또는 변경하려는 개인정보 파일로서 5만명 이상의 민감정보 or 고유식별 정보 처리가 수반되는 개인정보 파일

   - 공공기관이 운영하는 개인정보 파일

   - 구축, 운용 또는 변경하려는 개인정보 파일로서 100만명 이상의 정보 주체에 관한 개인정보 파일

   - 다른 개인정보 파일과 연계 하려는 경우로서 연계 결과 50만명 이상의 정보 주체에 관한 개인정보가 포함되는 개인정보 파일

 

5. Secu-Star(정보보호 준비도 평가)

 * 기존 제도의 경우 ICT 업종 중심으로, 대기업 중심으로 되어 있어 정작 정보보호를 위한 노력과 점검이 필요한 중소기업들이 정보보호를 위한 적절한 평가를 받지 못하고 있다.

 * 평가 대상

   - 개인정보 취급 기업

   - 비 ICT 기업

   - 입찰 참여 기업(정보 또는 민간 조달 등)

   - 중소 및 명세기업(5인 이하 규모 포함)

 * 추진 체계

 * 등급표

   - 100~90점: AAA

      89~90점: AA

      79~60점: A

      59~40점: BB

      39~23점: B

      개인정보 보호 부분은 충족여부 평가 후 등급에 'PASS(P)'를 표시한다.

 * 비교표

구분	정보보호 준비도 평가	ISMS-P
분야	정보보호 및 개인정보보호	정보보호 및 개인정보보호
운영주체	한국정보방송통신대연합(인증기관) TTA, KAIT, CONCERT(평가기관)	KISA(인증 및 심사기관) KAIT(심사기관)
의무여부	민간자율	의무
유효기간	1년	3년(매년 사후심사)
인증등급	5등급(AAA, AA, A, BB, B)	Pass or Fail

 

---

해외 관리체계

 

1. ISO 27001

 * 조직의 경영시스템 중 정보보호 관리체계 시스템을 심사하고 인증하는 제도로 ISO와 IEC가 제정한 국제표준이다.

 * 보안정책, 자산분류, 위험관리 등 11개 영역 133개 통제항목

 * 유효기간은 3년이며 인증 취득 후 연 1회 이상 사후관리를 받아야 한다.

 * 자율인증이다.

 

2. BS 10012

 * 회사에 중대한 영향을 미칠 수 있는 개인정보 관련 사고 발생 가능성을 감소시키며 개인정보를 다루는 조직의 활동에 대한 검증을 거칠 수 있다.

 * 영국의 표준 규격

 

*초안: (2019-04-01) 16:39

*수정: (2019-04-02) 15:01