ISMS인증심사 수행

1. 개요

- 정보보호관리체계 인증심사 수행을 위함

 

 

2. 근거

정보통신망법 제47조(정보보호 관리체계의 인증)

정보통신망법 시행령 제47조(정보보호 관리체계 인증의 방법ㆍ절차ㆍ범위 등)

개인정보보호법 제32조의2(개인정보 보호 인증)

 

3. 인증기준

구분		통합인증	분야
ISMS-P	ISMS	관리체계 수립 및 운영(16개)	1.1 관리체계 기반 마련
			1.2 위험관리
			1.3 관리체계 운영
			1.4 관리체계 점검 및 개선
		2. 보호대책 요구사항(64개)	2.1 정책, 조직, 자산 관리
			2.2 인적보안
			2.3 외부자 보안
			2.4 물리 보안
			2.5 인증 및 권한관리
			2.6 접근통제
			2.7 암호화 적용
			2.8 정보시스템 도입 및 개발보안
			2.9 시스템 및 서비스 운영관리
			2.10 시스템 및 서비스 보안관리
			2.11 사고 예방 및 대응
			2.12 재해복구
	-	3. 개인정보 처리단계별 요구사항(21개)	3.1 개인정보 수집 시 보호조치
			3.2 개인정보 보유 및 이용 시 보호조치
			3.3 개인정보 제공 시 보호조치
			3.4 개인정보 파기 시 보호조치
			3.5 정보주체 권리보호

 

 

4. 사전 준비

- 서비스 인증범위에 따른 자산을 식별하여 자산리스트 작성(서버, 네트워크, 정보보호시스템, 데이터베이스, 웹 어플리케이션 등)

- 서비스 흐름도 파악(물리적 구성, 네트워크 흐름, 개인정보 Life Cycle 등)

- 각 서비스별 주요 담당인력 식별(개발 담당자, 기획 담당자, 운영 담당자, 인프라 담당자 등)

- 자산 취약점 분석ㆍ평가 수행

 

 

5. 절차

신청서 작성 > 접수 및 예비점검 > 수수료 납부 > 인증심사 > 인증위원회 심의 > 인증서 발급

● 인증심사일로부터 최소 2개월 전에 신청하여야 한다.

● 신청서 제출 양식

① 정보보호 및 개인정보보호 관리체계 인증 신청서

- 신청인 정보

- 심사구분(최초, 사후, 갱신)

- 인증범위

 

② 정보보호 및 개인정보보호 관리체계 명세서

- 인력 및 시스템 규모, 서비스 운영 범위 등을 작성

- 대/내외 서비스별 현황을 상세하게 작성

- 조직 및 인력 구성 현황 작성

- 시스템 구성 및 서비스 흐름도 작성

- 위험분석 및 평가, 관리 계획 작성

- 정보보호 및 개인정보보호 관련 정책 및 지침 현황 작성

- 관리체계 운영명세서 작성

 

③ 정보보호 및 개인정보보호 관리체계 운영현황

 

④ 사업자등록증

 

 

신청서 작성 > 접수 및 예비점검 > 수수료 납부 > 인증심사 > 인증위원회 심의 > 인증서 발급

● 심사수행기관으로 신청서 접수

● 인증심사원과 기간을 협의하여 사전 예비점검 수행

- 신청 제출서류의 특이사항 여부 확인

- 심사 진행 계획 안내(심사기간, 인증심사원 구성, 주요 확인사항 등)

- 기타 심사 진행 시 요청 및 협조사항 안내

 

 

신청서 작성 > 접수 및 예비점검 > 수수료 납부 > 인증심사 > 인증위원회 심의 > 인증서 발급

● 심사수행기관으로 심사 수수료 납부

 

 

신청서 작성 > 접수 및 예비점검 > 수수료 납부 > 인증심사 > 인증위원회 심의 > 인증서 발급

● 인증심사 계획 및 절차 안내

● 서비스 흐름 및 구성 현황 소개

● 담당자 사전 인터뷰

● 현장점검 실시

● 증적자료 현황 취합

● 예비결함 도출 및 조치

● 최종결함 식별 및 심사 점검결과 취합

● 결함조치 및 이행결과 확인(심사 완료 후 40일 내 / 60일 연장 가능으로 최대 100일)

 

 

신청서 작성 > 접수 및 예비점검 > 수수료 납부 > 인증심사 > 인증위원회 심의 > 인증서 발급

● 심사 결과를 토대로 인증위원회 심의

 

 

신청서 작성 > 접수 및 예비점검 > 수수료 납부 > 인증심사 > 인증위원회 심의 > 인증서 발급

● 신규 인증서 발급