Day 35: ISMS-P 인증 실무

1. ISMS-P 개요

1.1 ISMS-P란?

정식 명칭 : 정보보호 및 개인정보보호 관리체계 인증 (Information Security Management System - Personal information & privacy)

약칭 : ISMS-P

이전 명칭:

• ISMS (정보보호 관리체계) + PIMS (개인정보보호 관리체계)
• 2018년 통합 → ISMS-P

정의: 기업이 정보보호와 개인정보보호를 체계적으로 관리하고 있는지 인증하는 제도

쉽게:

• “우리 회사가 보안 잘하고 있어요” 증명서
• 국가(KISA)가 인증

1.2 법적 근거

정보통신망법 제47조 (정보보호 관리체계의 인증 등):

“과학기술정보통신부장관은 정보통신서비스 제공자등의 정보 및 정보통신망의 안전성·신뢰성 확보와 이용자의 개인정보 보호를 위하여 다음 각 호의 사항을 포함한 정보보호 관리체계의 인증기준을 정하여 고시하고, 정보통신서비스 제공자등이 이를 준수하는지를 인증할 수 있다”

1.3 인증 기관

주무 부처:

• 과학기술정보통신부

인증 기관:

• 한국인터넷진흥원 (KISA)

심사 기관:

• KISA
• 민간 인증기관 (약 15개)

1.4 인증 vs 의무

ISMS-P 인증:

• 정보보호 + 개인정보보호

ISMS 인증:

• 정보보호 만
• 개인정보 처리 안 하는 기업

선택:

• 기업이 ISMS-P 또는 ISMS 선택 가능
• 단, 개인정보 처리 시 ISMS-P 권장

2. 인증 의무 대상

2.1 법적 의무 대상

정보통신망법 시행령 제48조의3:

의무 대상:

1호: 정보통신서비스 부문 전년도 매출액 100억원 이상

[예시] - 네이버, 카카오, 쿠팡, 배달의민족 등

2호: 전년도 말 기준 직전 3개월간 일일 평균 이용자 수 100만명 이상

[예시] - 대형 게임사, SNS, 커머스 등

3호: 정보통신서비스 부문 전년도 매출액 또는 세입 10억원 이상인 다음 사업자

• 전자거래 중개, 결제대행, 통신과금 서불 제공자
• 온라인 쇼핑몰

[예시] - 중소 쇼핑몰, PG사 등

4호: 이전 3개 항목 중 어느 하나에 해당했던 사업자 (5년간)

[유의사항] - 한 번 의무 대상되면 5년간 유지

5호: 집적정보통신시설 사업자 (IDC)

[예시] - 네이버 클라우드, 카카오 클라우드, KT 클라우드 등

2.2 의무 대상 판단

판단 플로우:

[Q1. 정보통신서비스 제공자인가?] - NO → 의무 없음 (자율 인증 가능) - YES → 다음 질문으로

[Q2. 다음 중 해당하는가?] - 매출 100억 이상? - 일평균 이용자 100만명 이상? - 매출 10억 이상 + (쇼핑몰 or PG 등)? - IDC 사업자? - NO → 의무 없음 (자율) - YES → ISMS-P 의무

2.3 의무 vs 자율

의무 대상:

• 3년 이내 인증 획득 필수
• 미획득 시 과태료 (최대 3천만원)

자율 대상:

• 인증 선택
• 하지만 대부분 대기업은 자율적으로 인증

2.4 실무 사례

[사례 1] 중소 쇼핑몰

[현황] - 매출: 15억원 - 업종: 온라인 쇼핑몰 - 3호 해당 → ISMS-P 의무

[사례 2] 대형 게임사

[현황] - 매출: 300억원 - 일평균 이용자: 200만명 - 1호, 2호 모두 해당 → ISMS-P 의무

[사례 3] B2B SaaS

[현황] - 매출: 50억원 - 업종: 기업용 소프트웨어 (개인정보 처리 안 함) - 해당 없음 → 의무 아님 (ISMS 자율 선택 가능)

3. 인증 기준

3.1 인증기준 구성

총 104개 항목 (ISMS-P 기준):

1. 관리체계 수립 및 운영 (16개 항목)

• 관리체계 기반 마련 (4개)
• 위험 관리 (4개)
• 관리체계 운영 (4개)
• 관리체계 점검 및 개선 (4개)

2. 보호대책 요구사항 (64개 항목)

• 정책·조직·자산 관리 (12개)
• 인적 보안 (9개)
• 외부자 보안 (5개)
• 물리 보안 (10개)
• 인증 및 권한 관리 (6개)
• 접근통제 (5개)
• 암호화 적용 (4개)
• 정보시스템 도입 및 개발 보안 (5개)
• 시스템 및 서비스 운영 관리 (6개)
• 시스템 및 서비스 보안 관리 (12개)

3. 개인정보 처리 단계별 요구사항 (22개 항목)

• 개인정보 수집 시 보호조치 (3개)
• 개인정보 보유 및 이용 시 보호조치 (8개)
• 개인정보 제공 시 보호조치 (4개)
• 개인정보 파기 시 보호조치 (3개)
• 정보주체 권리보호 (4개)

ISMS (정보보호만):

• 총 80개 항목 (관리체계 16개 + 보호대책 64개)
• 개인정보 22개 제외

3.2 주요 인증기준 (선별)

1. 관리체계 수립 및 운영

1.1 경영진의 참여 (필수)

• 최고경영자 정보보호 의지 표명
• 정보보호 최고책임자 (CISO) 지정
• 정보보호위원회 운영

1.2 정보보호 정책 수립 (필수)

• 정보보호 정책 문서화
• 전 직원 공유
• 연 1회 이상 검토

1.3 범위 설정 (필수)

• 인증 범위 명확히 정의
• 자산 목록 작성

1.4 조직 구성 (필수)

• CISO 지정
• 정보보호 전담 조직

1.5 위험 관리 (필수)

• 연 1회 이상 위험 평가
• 위험 처리 계획

1.6 관리체계 점검 (필수)

• 내부 심사 (연 1회 이상)
• 경영진 검토

2. 보호대책 요구사항

2.1 정책·조직·자산 관리

2.1.1 정보보호 정책 (필수)

• 정보보호 정책 수립
• 세부 지침 수립

2.1.2 조직 (필수)

• CISO 역할 및 책임
• 보안 조직 구성

2.1.3 자산 관리 (필수)

• 자산 목록 (HW, SW, 데이터)
• 자산 분류 (중요도)
• 책임자 지정

2.2 인적 보안

2.2.1 주요 직무자 지정 (필수)

• 주요 직무 정의
• 책임자 지정

2.2.2 보안 서약 (필수)

• 입사 시 보안 서약서
• 퇴사 시 반납 확인

2.2.3 보안 교육 (필수)

• 연 1회 이상 전 직원 교육
• 교육 기록 보관

2.2.4 퇴직 및 직무 변경 (필수)

• 퇴직 시 계정 즉시 삭제
• 자산 반납

2.3 외부자 보안

2.3.1 외부자 계약 (필수)

• 보안 조항 포함
• 비밀유지계약 (NDA)

2.3.2 외부자 보안 이행 관리

• 외부자 보안 준수 확인

2.4 물리적 보안

2.4.1 보안구역 지정 (필수)

• 서버실, 네트워크실 등
• 출입통제

2.4.2 출입통제 (필수)

• 출입증, 생체인증 등
• 출입 기록

2.4.3 CCTV

• 주요 구역 설치
• 30일 이상 보관

2.5 인증 및 권한 관리

2.5.1 사용자 계정 관리 (필수)

• 개인별 고유 ID
• 공용 계정 금지

2.5.2 사용자 인증 (필수)

• 안전한 비밀번호 (10자 이상)
• 관리자 계정 다중 인증 (MFA)

2.5.3 권한 관리 (필수)

• 최소 권한
• 분기 1회 이상 검토

2.6 접근통제

2.6.1 네트워크 접근 (필수)

• 방화벽
• 네트워크 분리 (업무망/인터넷망)

2.6.2 정보시스템 접근 (필수)

• 접근통제 시스템
• 불필요한 계정 삭제

2.7 암호화

2.7.1 암호정책 (필수)

• 암호화 대상 정의
• 암호 알고리즘 지정 (AES-256 등)

2.7.2 암호키 관리 (필수)

• 암호키 안전 보관
• 정기 변경

2.8 시스템 및 서비스 보안

2.8.1 로그 관리 (필수)

• 접속 기록 보관 (최소 1년)
• 월 1회 이상 검토

2.8.2 악성코드 방지 (필수)

• 백신 설치
• 실시간 검사
• 정기 전체 검사

2.8.3 보안 패치 (필수)

• 정기 패치 (월 1회)
• 긴급 패치 즉시

2.8.4 취약점 점검 (필수)

• 분기 1회 이상
• 조치 이력 관리

2.8.5 침해사고 대응 (필수)

• 침해사고 대응 체계
• 모의훈련 (연 1회)

3. 개인정보 처리 단계별 요구사항

3.1 개인정보 수집

3.1.1 개인정보 수집 제한 (필수)

• 최소 수집
• 동의 획득

3.1.2 개인정보 수집 시 제공 (필수)

• 수집 목적 고지
• 개인정보처리방침 공개

3.2 개인정보 보유 및 이용

3.2.1 개인정보 현황 관리 (필수)

• 개인정보 파일 목록
• 주기적 확인

3.2.2 개인정보 접근 및 관리 (필수)

• 접근 권한 최소화
• 접속 기록 보관 (최소 1년, 5만명 이상 2년)

3.2.3 개인정보 암호화 (필수)

• 고유식별정보 암호화 (AES-256 등)
• 비밀번호 암호화 (SHA-256 등)
• 전송 시 암호화 (TLS 1.2 이상)

3.3 개인정보 제공

3.3.1 개인정보 제공 (필수)

• 동의 획득
• 제공 사실 기록

3.3.2 개인정보 위탁 관리 (필수)

• 위탁 계약 (Day 33 참고)
• 수탁사 관리·감독 (연 1회 이상)

3.4 개인정보 파기

3.4.1 개인정보 파기 (필수)

• 보유 기간 경과 시 파기
• 파기 방법 (복구 불가능)
• 파기 기록

3.5 정보주체 권리보호

3.5.1 정보주체 권리 보장 (필수)

• 열람, 정정, 삭제 요구 대응
• 14일 이내 조치

4. 인증 절차

4.1 전체 프로세스

[7단계 인증 절차] - 1단계: 인증 준비 (3-6개월) - 2단계: 인증 신청 - 3단계: 문서 심사 (1-2주) - 4단계: 현장 심사 (2-3일) - 5단계: 시정 조치 (1-2개월) - 6단계: 인증서 발급 - 7단계: 사후 관리 (연 1회, 3년간)

총 소요 기간:

• 최소: 4개월
• 평균: 6-9개월

4.2 1단계: 인증 준비 (핵심!)

이 단계가 제일 중요하고 시간 오래 걸림!

(1) Gap 분석

현황 파악:

• 현재 우리 회사 보안 수준
• ISMS-P 104개 인증기준과 비교
• 미흡 사항 도출

Gap 분석표 예시:

[인증기준 1.1.1 최고경영자의 참여] - 현황: 정보보호 정책 미수립 - Gap: 정책 수립 필요 - 조치 계획: 2024년 4월 정책 수립

[인증기준 2.5.2 사용자 인증] - 현황: 비밀번호 8자 - Gap: 10자 미만 - 조치 계획: 2024년 5월 비밀번호 정책 변경

[총 104개 항목 분석 결과] - 적합: 60개 - 부분 적합: 30개 - 부적합: 14개

Gap 분석 방법:

• 자가 진단
• 또는 컨설팅 회사 위탁

(2) 개선 조치

우선순위 설정:

[긴급] 부적합 14개 - 인증 심사 전 반드시 해결

[높음] 부분 적합 30개 중 일부 - 개선 권장

[중간] 나머지 - 사후 개선

개선 로드맵:

[월별 개선 계획] - 4월: 정책 수립, 조직 구성 - 5월: 기술적 조치 (암호화, 접근통제 등) - 6월: 관리적 조치 (교육, 내부 심사 등) - 7월: 최종 점검 - 8월: 인증 신청

개선 항목 예시:

정책·조직: - 정보보호 정책 수립 - CISO 지정 - 정보보호 조직 구성 - 정보보호위원회 운영

자산 관리: - 자산 목록 작성 - 자산 분류

인적 보안: - 보안 서약서 징구 - 보안 교육 실시 (연 1회) - 퇴직 프로세스 (계정 삭제, 자산 반납)

물리적 보안: - 서버실 출입통제 - CCTV 설치

기술적 보안: - 개인별 계정 부여 - 비밀번호 10자 이상 - 관리자 계정 MFA - 암호화 (AES-256, SHA-256, TLS 1.2) - 방화벽 설치 - 백신 설치 - 로그 보관 (1년 이상) - 취약점 점검 (분기 1회)

개인정보: - 개인정보처리방침 공개 - 개인정보 파일 목록 작성 - 접속 기록 보관 (1년 or 2년) - 고유식별정보 암호화 - 수탁사 관리·감독 (연 1회) - 파기 절차 수립

(3) 문서화

필수 문서:

정책: - 정보보호 정책 - 개인정보처리방침

지침: - 정보자산 관리 지침 - 접근통제 지침 - 암호화 지침 - 개인정보 수집·이용 지침 - 개인정보 파기 지침 - 침해사고 대응 지침

관리대장: - 자산 목록 - 개인정보 파일 목록 - 계정 관리 대장 - 권한 관리 대장 - 보안 교육 기록 - 취약점 점검 기록 - 로그 점검 기록

증적: - 정보보호위원회 회의록 - 내부 심사 보고서 - 위험 평가 보고서

문서 작성 팁:

• 실제 운영하는 대로 작성
• 과도하게 이상적으로 쓰지 말기
• 증적과 일치해야 함

(4) 내부 심사

시기: 인증 신청 전 필수

목적:

• 실제 심사 전 자체 점검
• 미흡 사항 사전 발견

방법:

• 내부 심사원 교육 받은 직원
• 또는 외부 컨설턴트

점검:

• 104개 인증기준 전체
• 증적 확인

결과:

• 미흡 사항 도출
• 개선 조치

4.3 2단계: 인증 신청

신청 방법

ISMS-P 인증 포털: https://isms-p.kisa.or.kr

절차:

[인증 신청 단계] - 1. 회원 가입 - 2. 인증 신청서 작성 - 3. 제출 서류 업로드 - 4. 신청 완료

제출 서류

- 인증 신청서
- 사업자등록증
- 인증 범위 기술서
- 정보보호 정책
- 개인정보처리방침
- 조직도

심사 기관 선택

KISA:

• 공신력 높음
• 비용 높음
• 일정 오래 걸림

민간 인증기관:

• 비용 상대적 저렴
• 일정 유연
• 기관별 차이

선택 기준:

• 비용
• 일정
• 레퍼런스

4.4 3단계: 문서 심사

기간

1-2주

내용

심사원:

• 제출 문서 검토

확인 사항:

• 정책 완비 여부
• 문서 간 일관성
• 인증기준 충족 여부

결과

(1) 적합 → 현장 심사 진행

(2) 보완 필요 → 문서 보완 후 재심사

4.5 4단계: 현장 심사 (핵심!)

기간

2-3일 (기업 규모에 따라)

심사원

구성:

• 주심사원 1명
• 보조심사원 1-2명

심사 프로세스

Day 1:

[일정] - 09:00 - 09:30 오프닝 미팅 - 09:30 - 12:00 경영진 인터뷰 (최고경영자, CISO) - 12:00 - 13:00 점심 - 13:00 - 17:00 관리체계 심사 (정책 검토, 조직 확인, 위험 관리, 내부 심사) - 17:00 - 17:30 중간 브리핑

Day 2:

[일정] - 09:00 - 12:00 보호대책 심사 기술 (시스템 구조, 접근통제, 암호화, 로그) - 12:00 - 13:00 점심 - 13:00 - 17:00 보호대책 심사 관리/물리 (교육 기록, 자산 관리, 서버실 방문) - 17:00 - 17:30 중간 브리핑

Day 3 (필요 시):

[일정] - 09:00 - 12:00 개인정보 심사 (개인정보 흐름, 동의 획득, 수탁사 관리) - 12:00 - 13:00 점심 - 13:00 - 15:00 추가 확인 - 15:00 - 17:00 최종 브리핑

심사 방법

(1) 문서 검토

• 정책, 지침
• 관리대장
• 회의록

(2) 인터뷰

• 경영진
• 담당자
• 일반 직원

(3) 시스템 확인

• 실제 로그인
• 암호화 확인
• 로그 확인
• 백신 확인

(4) 현장 확인

• 서버실 방문
• 출입통제 확인
• CCTV 확인

심사 시 질문 예시

경영진:

[질문 예시] - Q: 정보보호 정책을 알고 계신가요? - Q: CISO는 누구인가요? - Q: 정보보호 예산은 얼마인가요? - Q: 작년에 침해사고가 있었나요?

담당자:

[질문 예시] - Q: 비밀번호 정책이 어떻게 되나요? - Q: 퇴직자 계정은 언제 삭제하나요? - Q: 로그는 얼마나 보관하나요? - Q: 수탁사 점검은 언제 했나요?

일반 직원:

[질문 예시] - Q: 보안 교육 받으셨나요? 언제? - Q: 비밀번호 몇 자인가요? - Q: USB 사용 가능한가요?

심사 결과

지적 사항 등급:

[관찰] (Observation)

• 경미한 미흡 사항
• 개선 권고
• 인증 가능

[경미한 부적합] (Minor)

• 일부 미흡
• 시정 조치 필요
• 인증 가능 (조치 후)

[중대한 부적합] (Major)

• 심각한 미흡
• 인증 불가
• 재심사 필요

브리핑

최종 브리핑:

[발견 사항] - 관찰: 5개 - 경미한 부적합: 3개 - 중대한 부적합: 0개

[주요 지적] - 1. 비밀번호 8자 → 10자로 변경 (경미) - 2. 로그 6개월 보관 → 1년으로 연장 (경미) - 3. 교육 미참석자 일부 → 전원 참석 (관찰)

[시정 조치] - 기한: 1개월 - 제출: 증적

4.6 5단계: 시정 조치

기간

1-2개월

조치

지적 사항별 개선:

[지적 1: 비밀번호 8자] - 조치: 비밀번호 정책 10자로 변경 - 증적: 변경된 정책 문서 + 시스템 설정 화면 캡처

[지적 2: 로그 6개월] - 조치: 로그 보관 기간 1년으로 연장 - 증적: 로그 관리 지침 변경 + 로그 서버 설정

[지적 3: 교육 미참석자] - 조치: 미참석자 보충 교육 실시 - 증적: 교육 참석부

제출

증적 제출:

• 조치 내역서
• 증적 자료
• 심사원 확인

4.7 6단계: 인증서 발급

심사원 확인

시정 조치 완료 확인

인증심의위원회

구성:

• 외부 전문가

심의:

• 심사 결과 검토
• 인증 여부 결정

인증서 발급

인증서:

[정보보호 및 개인정보보호 관리체계 인증서] - 기업명: ㈜ABC - 인증 범위: 온라인 쇼핑몰 서비스 - 인증 유효기간: 2024.10.1 - 2027.9.30 (3년) - 발급: 한국인터넷진흥원장

홈페이지 게시:

• 인증 마크 게시
• “ISMS-P 인증 획득” 공지

4.8 7단계: 사후 관리

사후 심사

주기: 연 1회 (3년간)

1차 사후 심사:

• 인증 후 1년
• 간소화 심사 (1일)

2차 사후 심사:

• 인증 후 2년
• 간소화 심사 (1일)

3년 후:

• 재인증 (전체 심사)

변경 신고

중대 변경 시 신고:

• 인증 범위 변경
• 조직 변경 (CISO 변경 등)
• 시스템 변경

사후 관리 의무

지속적 개선: - 정보보호위원회 운영 (분기 1회) - 내부 심사 (연 1회) - 위험 평가 (연 1회) - 교육 (연 1회) - 취약점 점검 (분기 1회)

미준수 시:

• 인증 취소

5. 인증 비용

5.1 비용 구성

컨설팅 비용:

• 3천만원 - 1억원

인증 심사 비용:

• 500만원 - 3천만원

총 비용:

• 3,500만원 - 1억3천만원

5.2 비용 변수

• 기업 규모
• 시스템 복잡도
• 인증 범위
• 준비 수준
• 컨설팅 필요 여부

5.3 비용 예시

중소기업:

[규모: 직원 50명, 매출 20억] - 준비 기간: 6개월 - 컨설팅: 3,500만원 - 심사: 800만원 - 총: 4,300만원

중견기업:

[규모: 직원 200명, 매출 200억] - 준비 기간: 9개월 - 컨설팅: 6,000만원 - 심사: 1,500만원 - 총: 7,500만원

대기업:

[규모: 직원 1,000명, 매출 5,000억] - 준비 기간: 12개월 - 컨설팅: 8,000만원 - 심사: 3,000만원 - 총: 1억1천만원

6. 컨설팅 회사의 ISMS-P 업무

6.1 수행 업무

사전:

• 인증 대상 여부 판단
• 인증 계획 수립

준비:

• Gap 분석
• 개선 로드맵 수립
• 문서 작성 지원
• 기술 구축 지원
• 내부 심사 수행
• 모의 심사

신청:

• 인증 신청 대행

심사:

• 심사 대응 지원

사후:

• 사후 심사 대응
• 지속적 개선 지원

6.2 필요 역량

법률:

• 정보통신망법
• 개인정보보호법
• ISMS-P 인증기준

기술:

• 정보보호 기술 전반
• 시스템 아키텍처
• 네트워크 보안
• 암호화

관리:

• 문서 작성
• 프로젝트 관리

커뮤니케이션:

• 고객사 인터뷰
• 교육

6.3 프로젝트 수행 팁

Gap 분석:

• 정직하게 진단
• 과도하게 낮추지 말기
• 실현 가능한 개선안

문서 작성:

• 실제 운영 반영
• 과도하게 이상적이지 않게
• 증적과 일치

기술 구축:

• 비용 효율적 방안
• 오픈소스 활용

심사 대응:

• 모의 심사 꼼꼼히
• 담당자 교육
• 증적 미리 준비

7. 실무 사례

사례 1: 중소 쇼핑몰

배경:

• A쇼핑몰 (매출 15억)
• 온라인 쇼핑몰
• ISMS-P 의무 대상

프로젝트:

1. Gap 분석 (1개월)

   • 부적합: 20개
   • 부분 적합: 40개

2. 개선 (4개월)

   • 정책 수립
   • CISO 지정 (대표이사 겸직)
   • 암호화 (AES-256, SHA-256)
   • 로그 1년 보관
   • 교육 실시

3. 신청 및 심사 (2개월)

   • 문서 심사: 적합
   • 현장 심사: 경미한 부적합 2개
   • 시정 조치

4. 인증 획득

비용:

• 컨설팅: 3,000만원
• 심사: 600만원
• 총: 3,600만원

사례 2: 대형 게임사

배경:

• B게임사 (매출 500억)
• 일평균 이용자 300만명
• ISMS-P 의무

프로젝트:

1. Gap 분석 (2개월)

   • 이미 일부 보안 체계 구축
   • 부적합: 10개
   • 부분 적합: 30개

2. 개선 (6개월)

   • 정보보호위원회 신설
   • 개인정보 흐름도 정비
   • 수탁사 관리·감독 체계 구축
   • 침해사고 대응 체계 고도화

3. 신청 및 심사 (3개월)

   • 현장 심사 3일
   • 관찰: 10개
   • 경미: 5개

4. 인증 획득

비용:

• 컨설팅: 7,000만원
• 심사: 2,000만원
• 총: 9,000만원

사례 3: 핀테크 스타트업

배경:

• C핀테크 (매출 8억)
• PG 서비스
• ISMS-P 의무

특징:

• 스타트업 (직원 30명)
• 보안 체계 전무

프로젝트:

1. Gap 분석 (1개월)

   • 거의 모든 항목 미흡

2. 개선 (5개월)

   • 처음부터 구축
   • 정책 전체 수립
   • 조직 구성
   • 기술 구축 (암호화, 접근통제, 로그 등)

3. 신청 및 심사 (2개월)

   • 경미: 8개
   • 시정 조치

4. 인증 획득

비용:

• 컨설팅: 4,000만원
• 심사: 700만원
• 총: 4,700만원

8. 체크리스트

인증 대상 체크

- 정보통신서비스 제공자인가?
- 매출 100억 이상?
- 일평균 이용자 100만명 이상?
- 매출 10억 이상 + (쇼핑몰 or PG 등)?
- IDC 사업자?

→ 하나라도 YES면 ISMS-P 의무

인증 준비 체크

관리체계: - 정보보호 정책 수립 - CISO 지정 - 정보보호 조직 구성 - 정보보호위원회 운영 (분기 1회) - 위험 평가 (연 1회) - 내부 심사 (연 1회)

보호대책 - 관리: - 자산 목록 작성 - 보안 서약서 징구 - 보안 교육 (연 1회) - 퇴직 프로세스 (계정 삭제)

보호대책 - 물리: - 서버실 출입통제 - CCTV 설치

보호대책 - 기술: - 개인별 계정 - 비밀번호 10자 이상 - 관리자 MFA - 방화벽 - 백신 - 암호화 (AES-256, SHA-256, TLS 1.2) - 로그 1년 보관 - 월 1회 로그 점검 - 분기 1회 취약점 점검

개인정보: - 개인정보처리방침 공개 - 개인정보 파일 목록 - 접속 기록 보관 (1년 or 2년) - 고유식별정보 암호화 - 수탁사 관리·감독 (연 1회) - 파기 절차

9. ISMS-P vs ISO 27001

구분	ISMS-P	ISO 27001
발행	한국 (KISA)	국제 (ISO)
법적 의무	있음 (일부 기업)	없음 (자율)
인증 항목	104개	93개
개인정보	포함	일부 (ISO 27701 별도)
유효 기간	3년	3년
사후 관리	연 1회	연 1회
인지도	국내	국제
비용	중간	높음

병행 인증:

• 대기업은 ISMS-P + ISO 27001 모두 취득
• 국내 법적 의무 + 국제 신뢰도

학습 정리

오늘 학습한 핵심 내용:

• ISMS-P는 정보보호 + 개인정보보호 관리체계 인증
• 법적 근거: 정보통신망법 제47조
• 의무 대상: 매출 100억 이상 or 일평균 100만명 이상 or 매출 10억 이상 쇼핑몰/PG 등 or IDC
• 인증기준: 104개 항목 (관리체계 16 + 보호대책 64 + 개인정보 22)
• 인증 절차: 준비(3-6개월) → 신청 → 문서 심사 → 현장 심사(2-3일) → 시정 조치 → 인증 발급 → 사후 관리(연 1회, 3년)
• 준비 단계가 가장 중요: Gap 분석 → 개선 조치 → 문서화 → 내부 심사
• 현장 심사: 문서, 인터뷰, 시스템 확인, 현장 확인
• 지적 등급: 관찰, 경미한 부적합, 중대한 부적합
• 유효 기간: 3년 (연 1회 사후 심사)
• 비용: 3,500만원 - 1억3천만원
• 보안 컨설팅 회사 핵심 업무
• 필요 역량: 법률, 기술, 관리, 커뮤니케이션

다음 학습 주제

Day 36: 데이터 3법 비교 정리 (개인정보보호법 vs 정보통신망법 vs 신용정보법)