* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net

ISMS / K-ISMS

(출처:KISA)

정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도


목적

  • 정보자산의 안전, 신뢰성 향상
  • 정보보호관리에 대한 인식 제고
  • 국제적 신뢰도 향상
  • 정보보호서비스 산업의 활성화

법적근거

  • “정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조
  • “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조
  • 정보보호 관리체계 인증 등에 관한 고시 (미래창조과학부고시 제2013-36호)

※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있도록 하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함


인증대상

<의무대상자> (※ 관련 근거 : 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제2항)
1. 기간통신사업 허가를 받은 자로서 정보통신망 서비스 제공지역이 ‘서울특별시 및 모든 광역시’인 사업자
2. 집적정보통신시설 사업자(IDC)
- 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자
- 집적정보통신시설 일부를 임대하여 집적된 정보통신시설 사업을 하는 자는 ‘연간 매출액 또는 이용자수’ 기준 적용
3. 정보통신서비스부문 전년도 매출액 100억 이상 또는 전년도말 기준 3개월간 일일평균 이용자 수 100만 명 이상인 정보통신서비스 제공자
※ 집적정보통신시설사업자 : 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자
※ 오프라인 중심으로 온라인 물품판매를 병행할 경우, 정보통신망을 이용한 서비스에서 발생된 매출을 기준으로 대상자 선정

<자율신청기업>
* 의무대상자 외 기업이 인증 취득을 희망할 경우, 자율적인 신청을 통한 인증 심사가 가능하다.


인증제도의 특징

  • 국내 실정에 적합한 정보보호관리 모델 제시
  • 공신력 있는 정보보호 전문기관(KISA)에 의한 심사 및 인증
  • 국내 최고의 분야별 전문가들에 의한 인증 심사
  • 국내 정보보호관련 법제도 반영

정보보호 관리체계(ISMS) 인증 취득기업 혜택

구분 시행기관 혜택내용
가산점부여 미래창조과학부 공공부문 정보시스템 기획․구축․운영 사업자, SW개발사업자 선정 시 평가항목(기밀보안)에 ISMS 인증취득시 만점(최대 5점) 부여
보안관제 전문업체 지정 시 ‘정보보호 인증기업’ 평가항목에 만점(최대 5점) 부여
지식정보보안 컨설팅전문업체 지정 시 ‘정보보호 인증기업’ 평가항목에 만점(최대 5점) 부여
KISA 정보보호대상, 입찰, 과제선정 평가 시 가점 부여
한국기업지배구조원 상장기업 대상 ESG(환경, 사회, 지배구조) 평가 시, 소비자항목에 가산점 부여
요금할인 보험사 정보보호관련 보험(개인정보 배상책임보험 등) 가입 시 할인
권고 교육부 원격교육설비기준에 ISMS 인증 취득 권고(원격교육 설비 기준 고시)
국토교통부 유비쿼터스도시기반시설에 대하여 ISMS 인증 취득 권고

추진체계

추진체계 표

인증심사 종류

인증심사의 종류는 최초심사, 재심사, 사후관리, 갱신심사로 구분한다. 기본적으로 인증유효기간은 3년이며, 인증취득 후 1년 에 1회 이상 사후심사를 받아야 한다.

  • 최초심사 : 정보보호관리체계 인증 취득을 위한 심사
  • 사후관리 : 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상)
  • 갱신심사 : 유효기간(3년)만료일 이전에 유효기간의 연장을 목적으로 하는 심사

※ 인증을 받은 정보보호 관리체계 범위 내에서 중대한 변경이 발생한 경우 최초심사를 다시 받음


인증심사 수수료

  • 인증 수수료는 「엔지니어링산업 진흥법」 제31조제2항에 따른 엔지니어링 사업의 대가 기준 및 한국소프트웨어산업협회가 제공하는 「SW사업 대가 산정가이드」의 정보보안 컨설팅비 기준을 준용
  • 심사일 수는 종업원 수 및 서버 수에 따라 산정
인증 수수료 = 직접인건비 + 직접경비 + 제경비 + 기술료
① 직접인건비 : SW사업 대가산정 가이드의 정보보안 컨설팅비 준용
② 직접경비 : 인증심사업무 수행에 따라 발생하는 교통비, 숙박비 및 식대 등 인증심사업무에 소요되는 직접적인 경비산정
③ 제경비 : 최대 직접인건비×120%
④ 기술료 : 최대 (직접인건비+제경비)×40%

인증기준