it

ISMS, PIMS, ISMS-P와 가상 자산 거래소

IT's me 2021. 10. 4. 17:20

최근 가상 자산 거래소에서 ISMS를 취득했는지에 대해서 뉴스가 많이 나옵니다. ISMS 인증을 취득하지 못하면 폐업해야 한다는 기사들입니다. 도대체 ISMS가 뭐길래 그런걸까요? 

정보보호 및 개인정보보호 관리체계인증(ISMS-P)과 가상 자산 거래소

대충 뉴스에서도 나오는 정보보호관리체계인증인것은 알겠는데 어떤 내용들이 더 있는지 자세히 알아보기로 합니다.

ISMS란? 

Information Security Management System : ISMS : 정보보호관리체계인증 

KISA - ISMS

기업이 주요 정보자산을 보호하기 위해 수립,관리, 운영하는 정보보호 관리체계가 인증기준에 적합한지 KISA(한국인터넷진흥원)에서 심사하여 인증을 부여하는 제도 

 

ISMS-P란?

Personal Information & Information Security Management System : ISMS-P : 정보보호 및 개인정보보호 관리체계 인증

KISA - ISMS-P

정보통신망의 안정성 확보 및 개인정보 보호를 위해 조직이 수립한 일련의 조치와 활동이 인증 기준에 적합함을 인증기관 KISA(한국인터넷진흥원)이 평가하여 인증을 부여하는 제도 

 

원래있던 정보보호 관리체계 (ISMS)와 개인정보보호 관리체계(PIMS) 인증제도가 2018년 11월 "정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시" 시행으로 통합되었습니다.

 

ISMS에 개인정보보호를 추가했다고 보면 될것 같고요.. KISA에서는 친절하게 ISMS-P 인증제도 안내서와 같은 것도 배포하고 있습니다. 

KISA - 정보보호 및 개인정보보호 관리체계 인증제도 안내서

ISMS-P 법적근거

ISMS-P 법적근거

ISMS-P 법적근거는 정보통신망법 제47조 관련 ISMS와 개인정보 보호법 제32조 PIMS를 통합한 ISMS-P가 탄생했습니다. 이를 위해 과학기술정보통신부와 개인정보보호위원회는 '정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시'를 공동으로 개정하여 시행하고 있습니다.

 

좀 더 쉽게 얘기하면 핵심적으로는 정보통신망법(ISMS)과 개인정보 보호법(PIMS)을 기준으로 통합 인증제도를 만들었고 KISA(한국인터넷진흥원)에서 제도 운영을 하고 있다는 것이죠.

 

가상자산 거래소들은 개인정보보호를 제외한 일단 ISMS에 집중하고 있는 것 같습니다. 하나라도 더 떼야 인증 받기 쉬울테니까요. 

 

ISMS, ISMS-P 인증체계

 

ISMS, ISMS-P 인증체계 입니다. 

 

정책기관으로 과학기술정보통신부, 개인정보보호위원회이 있습니다. 

  • 법,제도 개선 및 정책 결정
  • 인증기관 및 심사기관 지정

 

인증기관으로 한국인터넷진흥원(KISA)와 금융보안원(FSI)가 있죠. 

 

인증기관 : 한국인터넷진흥원(KISA)

  • 제도 운영 및 인증품질관리
  • 신규-특수 분야 인증심사
  • 인증서 발급
  • 인증심사원 양성 및 자격관리

인증기관 : 금융보안원

  • 금융분야 인증심사
  • 금융분야 인증서 발급

심사기관으로 정보통신진흥협회(KAIT), 정보통신기술협회(TTA), 개인정보보호협회(OPA)가 있습니다. 인증심사를 수행하죠. 

 

ISMS, ISMS-P 인증기준

 

fISMS, ISMS-P 인증기준

ISMS, ISMS-P 인증기준입니다. 관리체계 수립 및 운영 16개 항목, 보호대책 요구사항 64개 항목, 개인정보 처리단계별 요구사항 22개 다 합쳐서 102개 준수 기준 항목이 있네요. 

 

구분 통합인증 분야(인증기준 개수)
ISMS-P ISMS 1.관리체계 수립 및 운영(16) 1.1 관리체계 기반 마련(6)
1.3 관리체계 운영(3)		 1.2 위험관리(4)
1.4 관리체계 점검 및 개선(3)
2.보호대책 요구사항(64) 2.1 정책, 조직, 자산 관리(3)
2.3 외부자 보안(4)
2.5 인증 및 권한 관리(6)
2.7 암호화 적용(2)
2.9 시스템 및 서비스
     운영관리(7)
2.11 사고 예방 및 대응(5)		 2.2 인적보안(6)
2.4 물리보안(7)
2.6 접근통제(7)
2.8 정보시스템 도입 및 개발 보안(6)
2.10 시스템 및 서비스 보안관리(9)
2.12 재해복구(2)
- 3.개인정보 처리단계별
  요구사항(22)		 3.1 개인정보 수집 시
     보호조치(7)
3.3 개인정보 제공 시
     보호조치(3)
3.5 정보주체 권리보호(3)		 3.2 개인정보 보유 및 이용 시
     보호조치(5)
3.4 개인정보 파기 시 보호조치(4)

ISMS, ISMS-P 발급현황

 

KISA 홈페이지에 보면 ISMS-P 발급현황이 있는데요. 목록 상단에 두나무(업비트)가 확인되네요. 발급 유효기간이 있고 목록을 확인해보니 기한은 3년입니다. 3년이 지나기 전에 재심사를 해서 다시 득해야 할것 같습니다. 

KISA 정보보호 및 개인정보보호관리체계 인증

 

KISA 정보보호 및 개인정보보호관리체계 인증

 

isms.kisa.or.kr

ISMS-P_인증제도_안내서(2021.7).pdf
5.06MB
ISMS-P_인증기준_세부점검항목(2020.11.02)_가상자산사업자_대상.xlsx
0.06MB