1.ISMS-P 인증제도 개요

1.1. ISMS-P 인증의 법적 근거

- 정보보호 및 개인정보보호 관리체계 인증제도는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 (이하 ‘정보통신망법’이라 함) 제47조, 제47조의2 및 제47조의7, 같은 법 시행령 제47조부터 제54조의 규정 및 같은 법 시행규칙 제3조에 따른 정보보호 관리체계 인증과 「개인정보 보호법」 제32조의2, 같은 법 시행령 제34조의2부터 제34조의8의 규정에 따른 개인정보보호 관리체계 인증을 법적근거로 하고 있다.

 

1.2 ISMS-P 인증의 유형

인증의 유형	주요내용
정보보호 관리체계 인증 (ISMS)	<정보보호 중심으로 인증하는 경우> 기존의 ISMS 의무대상 기업·기관, 개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등
정보보호 및 개인정보보호 관리체계 인증 (ISMS-P)	<개인정보의 흐름과 정보보호 영역을 모두 인증하는 경우> 보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어 개인정보 처리 단계별 보안강화가 필요한 조직
정보보호 관리체계 예비인증	<가상자산사업자가 실제 서비스 운영 전 임시적으로 시스템을 구축·운영한 경우> 「특정금융정보법」에 따라 사업 영위를 위하여 신고를 해야 하지만, 2개월 이상의 운영 이력이 없어 ISMS 인증 심사를 진행할 수 없는 신규 가상자산사업자

 

1.3 ISMS-P 인증심사의 종류

- 최초심사: ISMS-P 인증을 처음으로 취득하고자 할 때 수행하는 심사이며, 인증범위에 중요한 변경이 있어 다시 인증을 신청할 경우에도 같은 심사를 받아야 한다. 최초심사를 통해 인증을 취득하면 3년의 유효기간이 부여된다.

 

- 사후심사: 인증을 취득한 이후 ISMS-P가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 매년 1회 이상 실시하는 인증심사를 말한다.

 

- 갱신심사: ISMS-P 인증의 유효기간 갱신을 위해 실시하는 인증심사를 말한다.