반응형
실제 ISMS-P 인증을 준비하거나 갱신하려는 기업이 바로 참고할 수 있도록 구성한 실무용 완전 가이드입니다.
🏛️ ISMS-P 인증 완전 가이드
(Information Security Management System - Personal Information Protection)
1️⃣ ISMS-P란?
ISMS-P (Information Security Management System – Privacy)
→ 한국인터넷진흥원(KISA)이 관리하는 국가공인 정보보호·개인정보보호 통합 인증제도입니다.
즉,
- ISMS: 정보보호 관리체계 인증
- P: 개인정보보호 관리체계 요건(Privacy Requirements)을 추가한 확장형
📌 쉽게 말하면, “정보보호 + 개인정보보호”를 모두 포함한 가장 포괄적인 국내 보안인증입니다.
2️⃣ ISMS vs ISMS-P 비교 요약
| 구분 | ISMS | ISMS-P |
| 인증기관 | KISA (한국인터넷진흥원) | KISA |
| 목적 | 정보보호 관리체계 인증 | 정보보호 + 개인정보보호 통합 인증 |
| 대상 | 주요 정보통신서비스 제공자 등 | 개인정보를 대규모로 처리하는 모든 사업자 |
| 구성 | 80개 세부 통제항목 | 102개 세부 통제항목 |
| 추가요건 | - | 개인정보 수집·이용·보관·파기 등 관리 항목 추가 |
| 활용 | 보안체계 인증 | 보안 + 개인정보보호 수준 인증 |
3️⃣ 인증 체계 구성 (총 102개 통제항목)
✅ A. 관리체계 수립 및 운영 (12개 항목)
- 정보보호 정책, 범위, 조직, 리스크관리, 계획수립, 교육, 문서관리 등
✅ B. 보호대책 요구사항 (64개 항목)
- 인적보안, 외부자보안, 물리보안, 시스템보안, 네트워크보안, 암호화, 로그관리, 백업 등
✅ C. 개인정보 처리 단계별 요구사항 (26개 항목)
- 수집, 이용, 제공, 보유, 파기, 정보주체권리보장, 위탁관리, 침해사고 대응 등
4️⃣ ISMS-P 세부 정책 세트 구성 예시
아래는 실제 컨설팅사·인증심사에서 요구되는 정책 + 지침 + 절차서 세트 표준 구조입니다.
(회사명은 “㈜ABC”로 가정)
📁 [1] 정보보호 관리체계 정책(상위 정책)
| 문서명 | 주요 내용 |
| 정보보호 기본정책 | 정보보호 목표, 범위, 조직, 책임, 관리체계 수립 원칙 |
| 정보보호 조직운영 지침 | CISO, 담당자 역할, 정보보호위원회 운영절차 |
| 리스크관리 절차서 | 자산 식별, 위협·취약점 분석, 위험평가·처리 절차 |
| 문서관리 지침 | 보안문서 작성·검토·승인·폐기 절차 |
| 정보보호 교육훈련 지침 | 임직원 교육 계획, 신규입사자·정기 교육 절차 |
📁 [2] 기술적 보호대책 지침
| 문서명 | 주요 내용 |
| 접근통제 정책/절차서 | 계정발급, 비밀번호 정책, 최소권한, 권한검토 절차 |
| 네트워크보안 지침 | 방화벽, IDS/IPS, VPN, 포트관리 등 네트워크 보호절차 |
| 서버보안 운영지침 | OS 보안설정, 패치관리, 취약점 점검 |
| 암호화 관리지침 | 암호키 생성·저장·폐기 절차, 암호화 알고리즘 기준 |
| 로그/모니터링 관리지침 | 로그 수집, 저장기간, 이상탐지 절차 |
| 백업 및 복구절차서 | 백업주기, 보관매체 관리, 복구 테스트 계획 |
| 침해사고 대응지침(IRP) | 사고 감지, 보고, 대응, 복구, 재발방지 절차 |
📁 [3] 인적·물리·외주보안 관리지침
| 문서명 | 주요 내용 |
| 인적보안 관리지침 | 입·퇴사자 관리, 비밀유지서약, 접근권한 회수 |
| 물리적보안 관리지침 | 출입통제, CCTV 관리, 방문자 기록 |
| 외주보안 관리지침 | 외주계약 시 보안조항, 위탁자 점검절차 |
| 자산관리 절차서 | 자산 식별, 분류, 자산목록 관리, 자산폐기 절차 |
📁 [4] 개인정보보호 지침 (P 영역)
| 문서명 | 주요 내용 |
| 개인정보보호 기본정책 | 개인정보 처리 원칙, 역할, 범위 |
| 개인정보 수집·이용·제공 지침 | 동의절차, 최소수집, 제3자 제공 관리 |
| 개인정보 보유 및 파기 지침 | 보유기간 설정, 파기방법, 기록보존 |
| 정보주체 권리보장 절차서 | 열람·정정·삭제·처리정지 요청 대응 절차 |
| 위탁관리 지침 | 위탁업체 관리, 계약 시 보안조항, 점검 절차 |
| 개인정보 침해사고 대응지침 | 침해신고, 통보, 원인분석, 재발방지 |
| 개인정보 영향평가 지침(PIA) | 신규 서비스/시스템 도입 시 영향평가 수행 절차 |
📁 [5] 준거성 및 개선관리
| 문서명 | 주요 내용 |
| 법규준수 관리지침 | 개인정보보호법, 정보통신망법 등 관련 법령 준수체계 |
| 내부감사 절차서 | 감사계획 수립, 수행, 보고, 시정조치 절차 |
| 경영검토 절차서 | 경영진 검토회의 주기, 의사결정사항 관리 |
| 개선관리 절차서 | 시정·예방조치 및 재발방지 프로세스 |
5️⃣ ISMS-P 인증 절차
| 단계 | 주요 내용 | 산출물 |
| 1단계. 범위 정의(Scope) | 인증 받을 시스템, 조직, 개인정보 처리단계 정의 | 인증범위서 |
| 2단계. 현황진단(Gap 분석) | 현 운영수준과 ISMS-P 통제항목 비교 | Gap 분석 보고서 |
| 3단계. 위험평가/처리 | 자산 식별, 위협·취약점 평가, 처리계획 수립 | 위험평가보고서, SoA |
| 4단계. 관리체계 수립/문서화 | 정책·지침·절차서 제정 및 운영 | 정책문서 세트 |
| 5단계. 구현 및 운영 | 기술적/관리적 보호조치 실행 | 운영증적(로그, 교육이력 등) |
| 6단계. 내부감사/경영검토 | 내부감사 및 경영진 승인 | 감사보고서, 경영검토회의록 |
| 7단계. 인증심사 신청 | 인증기관(KISA 등록기관)에 신청 | 심사신청서 |
| 8단계. 예비심사(Optional) | 보완사항 점검 | 심사결과 리포트 |
| 9단계. 본심사(1·2단계) | 문서심사 + 현장심사 | 인증심사보고서 |
| 10단계. 인증서 발급 및 유지 | 인증기관에서 인증서 발급 (유효기간 3년) | 인증서, 감시심사계획 |
6️⃣ 인증심사 시 자주 지적되는 항목
| 구분 | 주요 문제점 | 개선 팁 |
| 정책/절차 미비 | 문서는 있으나 운영되지 않음 | 문서 기반 운영 증적(로그, 회의록, 교육자료) 확보 |
| 위험평가 형식적 수행 | 자산/위협/취약점 분류 부정확 | 실제 서비스 기반으로 식별 |
| 개인정보 파기관리 | 파기기록 누락, 자동화 안됨 | 파기로그·자동화 시스템 적용 |
| 외주보안 | 위탁계약서에 보안조항 없음 | 위탁관리대장, 점검결과 유지 |
| 로그관리 | 로그보관기간·무결성관리 미흡 | 중앙집중 로그시스템 또는 클라우드 로그활용 |
| 경영검토 미이행 | 형식적 서명만 존재 | 회의록·의결사항·추진결과 기록 유지 |
7️⃣ 인증 유지관리 (갱신 및 감시심사)
- 인증 유효기간: 3년
- 매년 1회 이상 감시심사 수행
- 변경사항(서비스 추가, 개인정보처리 변경 등) 발생 시 관리체계 갱신
- 정기적 내부감사, 교육, 로그점검 필수
8️⃣ 실무 팁 (컨설턴트 관점)
- 정책문서 세트는 ‘ISMS + P’로 통합 관리
→ “정보보호·개인정보보호 통합정책” 형태로 관리하면 유지보수 용이. - 운영 증적(로그, 교육, 점검기록, 회의록) 은 반드시 “날짜+담당자” 포함.
- 위험평가 도구는 Excel 기반으로 간단히 만들어도 충분 (자산별 위협·취약점 Matrix).
- CISO와 개인정보보호책임자(CPO) 역할이 구분되어야 함 (단, 중복 가능하나 문서상 구분 필수).
- 컨설팅 없이 자체 준비하려면 최소 3~6개월 소요 예상.
9️⃣ 제공 가능 자료
✅ ISMS-P 기준에 맞춘 문서 세트 초안:
- [정보보호정책서]
- [개인정보보호지침]
- [접근통제정책]
- [리스크평가서 템플릿]
- [내부감사/경영검토 절차서]
- [침해사고대응 매뉴얼(IRP)]
반응형
'[WIZ] > 정보보호' 카테고리의 다른 글
| [중요2][ISMS] 정보보호 기본정책 템플릿 & 내부감사 체크리스트 !! (0) | 2025.11.19 |
|---|---|
| [ISMS] 초도가이드 - 정보보호 인증 / 왜 인증을 받나? (주요 효과) (1) | 2025.11.19 |
| [ISMS-P] 정보보호 통합 인증제도 !! (0) | 2025.11.16 |
댓글