[참고] ISMS vs ISMS-P의 관계 !!

 

 

ISMS는 ISMS-P로 “대체된 것”이 아닙니다.
→ 두 인증은 현재도 별도로 존재하며, 기업의 보호 대상 범위에 따라 선택적으로 취득할 수 있습니다.

---

🔒 1. ISMS vs ISMS-P의 관계

구분	ISMS	ISMS-P
명칭	정보보호 관리체계 (Information Security Management System)	개인정보 및 정보보호 관리체계 (Personal Information & Information Security Management System)
관리기관	한국인터넷진흥원(KISA)	개인정보보호위원회 + KISA 공동
인증 대상	정보보호 관리체계가 필요한 일반 기업, 기관, 서비스	개인정보를 대규모로 처리하거나 민감하게 다루는 기관/기업
주요 목적	정보자산 보호 및 사이버보안 관리체계 수립	정보보호 + 개인정보보호 통합 관리체계 확립
인증 기준	80개 통제항목 (ISMS 기준)	ISMS 기준 + 개인정보보호 영역(22개 항목 추가)
총 항목 수	약 80개	약 102개 (ISMS + P영역)

---

🧭 2. 인증 제도 변화 흐름 요약

연도	주요 변화
2002~2017	ISMS(정보보호 중심) / PIMS(개인정보 중심) 각각 별도 운영
2018년	두 제도를 통합하여 ISMS-P 제도 신설
이후	기업이 정보보호만 필요한 경우 ISMS, 정보보호 + 개인정보보호 모두 필요한 경우 ISMS-P 취득 가능

즉, ISMS가 폐지된 게 아니라,
기존의 PIMS가 ISMS에 통합되어 ISMS-P가 생긴 것입니다.

---

🏢 3. 어떤 기업이 무엇을 받아야 할까?

상황	권장 인증
내부 시스템, 서버, 네트워크 등 정보보호 관리체계만 필요한 경우	✅ ISMS
개인정보를 대량 처리, 또는 서비스 이용자의 민감정보를 다루는 경우	✅ ISMS-P
공공기관, 의료기관, 금융사, 플랫폼 기업 등	대부분 ISMS-P 의무 또는 권장 대상

---

⚙️ 4. 선택 전략 요약

• ISMS는 “정보보호 관리” 중심으로,
  기업의 보안 거버넌스 확립에 초점이 있습니다.
• ISMS-P는 그 위에 개인정보보호를 통합한 확장형 인증입니다.
• 따라서,
• ISMS-P를 취득하면 ISMS도 함께 충족되는 구조입니다.
  (즉, ISMS-P는 ISMS 상위 호환격)

---

🧾 5. 예시

기업 유형	추천 인증
클라우드 인프라 운영사 (IaaS, SaaS 등)	ISMS 또는 ISMS-P
전자상거래 플랫폼, 포털	ISMS-P
병원, 금융기관, 공공기관	ISMS-P
내부망, R&D 연구소, 제조공정 관리 시스템	ISMS

---

✅ 요약 정리

• ❌ ISMS가 ISMS-P로 대체된 것은 아님
• ✅ 둘 다 현재 운영 중이며 선택 가능
• ✅ ISMS-P는 ISMS를 포함하는 상위 인증
• ✅ 개인정보보호를 다루지 않는 기업은 ISMS만으로 충분