정보보호 및 개인정보보호 관리체계 인증기준 개요

개요

정보보호 및 개인정보보호 관리체계 인증기준은 크게 ʻ1. 관리체계 수립 및 운영ʼ, ʻ2. 보호대책 요구사항ʼ, ʻ3. 개인정보 처리 단계별 요구사항ʼ 3개 영역에서 총 102개의 인증기준으로 구성되어 있다.

정보보호 관리체계(ISMS) 인증을 받고자 하는 신청기관은 ʻ1. 관리체계 수립 및 운영ʼ, ʻ2. 보호대책 요구사항ʼ 2개 영역에서 80개의 인증기준을 적용받게 되며, 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받고자 하는 신청기관은 ʻ3. 개인정보 처리 단계별 요구사항ʼ을 포함하여 102개의 인증기준을 적용받게 된다.

정보보호 및 개인정보보호 관리체계 인증기준 구성

1. 관리체계 수립 및 운영(16개)

2. 보호대책 요구사항(64개)

3. 개인정보 처리 단계별 요구사항(22개)

관리체계 수립 및 운영

ʻ관리체계 수립 및 운영ʼ 영역은 관리체계 기반 마련, 위험 관리, 관리체계 운영, 관리체계 점검 및 개선의 4개 분야 16개 인증기준으로 구성되어 있다.

이러한 관리체계 수립 및 운영은 정보보호 및 개인정보보호 관리체계를 운영하는 동안 지속적이고 반복적으로 실행되어야 한다.

관리체계 수립 및 운영 인증기준

• 1. 관리체계 수립 및 운영(16개)

  • 1.1 관리체계 기반 마련

    • 1.1.1 경영진의 참여

    • 1.1.2 최고책임자의 지정

    • 1.1.3 조직 구성

    • 1.1.4 범위 설정

    • 1.1.5 정책 수립

    • 1.1.6 자원 할당

  • 1.2 위험 관리

    • 1.2.1 정보자산 식별

    • 1.2.2 현황 및 흐름분석

    • 1.2.3 위험 평가

    • 1.2.4 보호대책 선정

  • 1.3 관리체계 운영

    • 1.3.1 보호대책 구현

    • 1.3.2 보호대책 공유

    • 1.3.3 운영현황 관리

  • 1.4 관리체계 점검 및 개선

    • 1.4.1 법적 요구사항 준수 검토

    • 1.4.2 관리체계 점검

    • 1.4.3 관리체계 개선

보호대책 요구사항

ʻ보호대책 요구사항ʼ 영역은 12개 분야 64개 인증기준으로 구성되어 있다.

보호대책 요구사항에 따라 신청기관은 관리체계 수립 및 운영 과정에서 수행한 위험평가 결과와 조직의 서비스 및 정보시스템 특성 등을 반영하여 체계적으로 보호대책을 수립·이행하여야 한다.

보호대책 요구사항 인증기준

• 2. 보호대책 요구사항(64개)

  • 2.1 정책, 조직, 자산 관리

    • 2.1.1 정책의 유지관리

    • 2.1.2 조직의 유지관리

    • 2.1.3 정보자산 관리

  • 2.2 인적 보안

    • 2.2.1 주요 직무자 지정 및 관리

    • 2.2.2 직무 분리

    • 2.2.3 보안 서약

    • 2.2.4 인식제고 및 교육훈련

    • 2.2.5 퇴직 및 직무변경 관리

    • 2.2.6 보안 위반 시 조치

  • 2.3 외부자 보안

    • 2.3.1 외부자 현황 관리

    • 2.3.2 외부자 계약 시 보안

    • 2.3.3 외부자 보안 이행 관리

    • 2.3.4 외부자 계약 변경 및 만료 시 보안

  • 2.4 물리 보안

    • 2.4.1 보호구역 지정

    • 2.4.2 출입통제

    • 2.4.3 정보시스템 보호

    • 2.4.4 보호설비 운영

    • 2.4.5 보호구역 내 작업

    • 2.4.6 반출입 기기 통제

    • 2.4.7 업무환경 보안

  • 2.5 인증 및 권한관리

    • 2.5.1 사용자 계정 관리

    • 2.5.2 사용자 식별

    • 2.5.3 사용자 인증

    • 2.5.4 비밀번호 관리

    • 2.5.5 특수 계정 및 권한 관리

    • 2.5.6 접근권한 검토

  • 2.6 접근통제

    • 2.6.1 네트워크 접근

    • 2.6.2 정보시스템 접근

    • 2.6.3 응용프로그램 접근

    • 2.6.4 데이터베이스 접근

    • 2.6.5 무선 네트워크 접근

    • 2.6.6 원격접근 통제

    • 2.6.7 인터넷 접속 통제

  • 2.7 암호화 적용

    • 2.7.1 암호정책 적용

    • 2.7.2 암호키 관리

  • 2.8 정보시스템 도입 및 개발 보안

    • 2.8.1 보안 요구사항 정의

    • 2.8.2 보안 요구사항 검토 및 시험

    • 2.8.3 시험과 운영 환경 분리

    • 2.8.4 시험 데이터 보안

    • 2.8.5 소스 프로그램 관리

    • 2.8.6 운영환경 이관

  • 2.9 시스템 및 서비스 운영관리

    • 2.9.1 변경관리

    • 2.9.2 성능 및 장애관리

    • 2.9.3 백업 및 복구관리

    • 2.9.4 로그 및 접속기록 관리

    • 2.9.5 로그 및 접속기록 점검

    • 2.9.6 시간 동기화

    • 2.9.7 정보자산의 재사용 및 폐기

  • 2.10 시스템 및 서비스 보안관리

    • 2.10.1 보안시스템 운영

    • 2.10.2 클라우드 보안

    • 2.10.3 공개서버 보안

    • 2.10.4 전자거래 및 핀테크 보안

    • 2.10.5 정보전송 보안

    • 2.10.6 업무용 단말기기 보안

    • 2.10.7 보조저장매체 관리

    • 2.10.8 패치관리

    • 2.10.9 악성코드 통제

  • 2.11 사고 예방 및 대응

    • 2.11.1 사고 예방 및 대응체계 구축

    • 2.11.2 취약점 점검 및 조치

    • 2.11.3 이상행위 분석 및 모니터링

    • 2.11.4 사고 대응 훈련 및 개선

    • 2.11.5 사고 대응 및 복구

  • 2.12 재해 복구

    • 2.12.1 재해·재난 대비 안전조치

    • 2.12.2 재해 복구 시험 및 개선

개인정보 처리 단계별 요구사항

ʻ개인정보 처리 단계별 요구사항ʼ 영역은 개인정보 생명주기에 따른 개인정보 수집 시 보호조치, 개인정보 보유 및 이용 시 보호조치, 개인정보 제공 시 보호조치, 개인정보 파기 시 보호조치와 정보주체 권리보호를 포함하여 5개 분야 22개의 인증기준으로 구성되어 있다.

이 영역은 대부분 법적 요구사항과 직접적으로 관련되어 있으므로 개인정보흐름분석을 바탕으로 조직이 적용받는 법규 및 세부 조항을 명확히 파악하여 이를 준수하여야 한다.

개인정보 처리 단계별 요구사항 인증기준

• 3. 개인정보 처리 단계별 요구사항(22개)

  • 3.1 개인정보 수집 시 보호조치

    • 3.1.1 개인정보 수집 제한

    • 3.1.2 개인정보의 수집 동의

    • 3.1.3 주민등록번호 처리 제한

    • 3.1.4 민감정보 및 고유식별정보의 처리 제한

    • 3.1.5 간접수집 보호조치

    • 3.1.6 영상정보처리기기 설치·운영

    • 3.1.7 홍보 및 마케팅 목적 활용 시 조치

  • 3.2 개인정보 보유 및 이용 시 보호조치

    • 3.2.1 개인정보 현황관리

    • 3.2.2 개인정보 품질보장

    • 3.2.3 개인정보 표시제한 및 이용 시 보호조치

    • 3.2.4 이용자 단말기 접근 보호

    • 3.2.5 개인정보 목적 외 이용 및 제공

  • 3.3 개인정보 제공 시 보호조치

    • 3.3.1 개인정보 제3자 제공

    • 3.3.2 업무 위탁에 따른 정보주체 고지

    • 3.3.3 영업의 양수 등에 따른 개인정보의 이전

    • 3.3.4 개인정보의 국외 이전

  • 3.4 개인정보 파기 시 보호조치

    • 3.4.1 개인정보의 파기

    • 3.4.2 처리목적 달성 후 보유 시 조치

    • 3.4.3 휴면 이용자 관리

  • 3.5 정보주체 권리보호

    • 3.5.1 개인정보처리방침 공개

    • 3.5.2 정보주체 권리보장

    • 3.5.3 이용내역 통지