종합적인 정보보호 관리체계에 대한 인증 ISMS 안내

ISMS 에 대한 자세한 내용은 아래 페이지에서 볼 수 있습니다

http://pims.kisa.or.kr/kor/intro/intro01.jsp

 

 

ISMS

 

ISMS(Information Security Management System)란 정보통신망의 안전성 확보를 위하여 

수립하는 기술적, 물리적, 관리적 보호조치 등 종합적인 정보보호 관리체계에 대한

인증 제도입니다.

이는 제 3의 인증기관이 객관적, 독립적으로 관리체계를 평가하여, 관련 기준에 대한 적합 여부를 보증합니다.

ISMS인증과 관련하여 정책기관은 미래창조과학부, 인증기관은 한국인터넷진흥원으로 관련 업무를 주관하고

있습니다.

ISMS 인증제도 특징

- 국내 실정에 적합한 정보보호 관리 모델 제시

- 공신력 있는 정보보호 전문기관(KISA)에 의한 심사 및 인증

- 국내 최고의 분야별 전문가들에 의한 인증 심사

- 국내 정보보호관련 법제도 반영

 

 

 

 

인증제도

 

정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도

목적

? 정보자산의 안전, 신뢰성 향상

? 정보보호관리에 대한 인식 제고

? 국제적 신뢰도 향상

? 정보보호서비스 산업의 활성화

법적근거

? “정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조

? “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조

? 정보보호 관리체계 인증 등에 관한 고시 (미래창조과학부고시 제2013-36호)

※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있도록 하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함

인증대상

<의무대상자> (※ 관련 근거 : 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제2항) 
1. 기간통신사업 허가를 받은 자로서 정보통신망 서비스 제공지역이 ‘서울특별시 및 모든 광역시’인 사업자 
2. 집적정보통신시설 사업자(IDC) 
- 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자 
- 집적정보통신시설 일부를 임대하여 집적된 정보통신시설 사업을 하는 자는 ‘연간 매출액 또는 이용자수’ 기준 적용 
3. 정보통신서비스부문 전년도 매출액 100억 이상 또는 전년도말 기준 3개월간 일일평균 이용자 수 100만 명 이상인 정보통신서비스 제공자 
※ 집적정보통신시설사업자 : 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자 
※ 오프라인 중심으로 온라인 물품판매를 병행할 경우, 정보통신망을 이용한 서비스에서 발생된 매출을 기준으로 대상자 선정 

<자율신청기업> 
- 의무대상자 외 기업이 인증 취득을 희망할 경우, 자율적인 신청을 통한 인증 심사가 가능하다.

인증제도의 특징

? 국내 실정에 적합한 정보보호관리 모델 제시

? 공신력 있는 정보보호 전문기관(KISA)에 의한 심사 및 인증

? 국내 최고의 분야별 전문가들에 의한 인증 심사

? 국내 정보보호관련 법제도 반영

정보보호 관리체계(ISMS) 인증 취득기업 혜택

구분	시행기관	혜택내용
가산점 부 여	지식경제부	보안관제 전문업체 "업무수행능력 평가기준"의 신뢰도 항목에서 정보보호 인증기업에 5점 만점 부여 ※ 보안관제 전문업체 지정 등에 관한 공고(지식경제부 공고 제2010-478호) (2011년 신설 혜택)
		공공부문 정보시스템 기획?구축?운영 사업자, SW개발사업자 선정 시 평가항목 (기밀보안) 만점 부여 (2010년 신설 혜택)
	KISA	정보보호대상, 입찰, 과제선정 평가 시 가점 부여
	신용평가 기관	한국신용평가정보의 기업신용평가 시 가점 부여
	한국기업지배 구조원	상장기업 ESG(환경, 사회, 지배구조) 평가 시, 소비자항목에 가산점 부여 (2010년 신설 혜택)
요금할인	보험사	정보보호관련 보험(배상책임보험 등) 가입 시 할인(AIG, LIG, 그린손해보험, 동부화재, 롯데손해보험, 메리츠화재, 삼성화재, 제일화재, 한화손해보험, 현대해상, 흥국화재)
권고	교육과학 기술부	원격교육설비기준에 ISMS 인증 취득 권고
	국토해양부	유비쿼터스도시기반시설에 대하여 ISMS 인증 취득 권고
ISMS인증 수수료 할인	KISA	정보보호 大賞 수상 기업의 경우 할인(대상?우수상?특별상, 100~50%)
		소규모 기업의 경우 할인(상시 근로자 수 50명 미만 또는 매출액 50억 미만, 50%)

추진체계

인증심사 종류

인증심사의 종류는 최초심사, 재심사, 사후관리, 갱신심사로 구분한다. 기본적으로 인증유효기간은 3년이며, 인증취득 후 1년 에 1회 이상 사후심사를 받아야 한다.

? 최초심사 : 정보보호관리체계 인증 취득을 위한 심사

? 사후관리 : 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상)

? 갱신심사 : 유효기간(3년)만료일 이전에 유효기간의 연장을 목적으로 하는 심사

※ 인증을 받은 정보보호 관리체계 범위 내에서 중대한 변경이 발생한 경우 최초심사를 다시 받음

인증심사 수수료

인증 수수료는 「엔지니어링산업 진흥법」 제31조제2항에 따른 엔지니어링 사업의 대가 기준 및 한국소프트웨어산업협회가 제공하는 「SW사업 대가 산정가이드」의 정보보안 컨설팅비 기준을 준용

심사일 수는 종업원 수 및 서버 수에 따라 산정

인증 수수료 = 직접인건비 + 직접경비 + 제경비 + 기술료

① 직접인건비 : SW사업 대가산정 가이드의 정보보안 컨설팅비 준용  ② 직접경비 : 인증심사업무 수행에 따라 발생하는 교통비, 숙박비 및 식대 등 인증심사업무에 소요되는 직접적인 경비산정  ③ 제경비 : 최대 직접인건비×120%  ④ 기술료 : 최대 (직접인건비+제경비)×40%     인증절차 기본 흐름   인증을 신청한 기관이 인증심사 신청을 하고 인증서 발급을 받기까지 약 3개월이 기간이 소요된다. 인증심사는 기술심사와 문서심사로 구분되며 기본적으로 하루 4명의 심사원이 참여하여 심사를 진행한다. 인증심사에서 발견된 결함사항에 대해서는 신청기관이 보완조치를 할 수 있도록 한달 간의 시간을 주며 보완조치가 완료된 후 인증위원회를 개최하여 심사결과에 대한 최종 심의를 한 후 인증여부를 결정하게 된다. 인증절차도(전체)