ISMS (정보보호관리체계)

ISMS (정보보호관리체계)

조직의 정보자산을 체계적으로 보호하기 위한 관리체계의 적합성을 제3자가 인증하는 국내 법정 인증제도(정보통신망법 제47조)

특징: 국내 법정 인증(의무/자율), 80개 인증 기준(관리체계 16+보호대책 64), PDCA 사이클 기반 지속 개선

구성요소: 관리체계 수립/운영(16개): 정책/조직/위험관리/자원/운영, 보호대책 요구사항(64개): 정책관리/자산관리/인적보안/외부자보안/물리보안/인증및권한/접근통제/암호화/정보시스템/사고관리/재해복구

인증대상: 의무(ISP/IDC/매출100억이상 정보통신서비스/의료/교육), 자율(자발적 인증)

인증절차: 신청→서류심사→현장심사→보완조치→인증위원회→인증서 발급→사후심사(매년)→갱신(3년)

적용사례: 네이버, 카카오, 은행/증권사, ISP, 대형 병원

비교: ISMS(정보보호/80개 기준) vs ISMS-P(+개인정보/102개 기준) vs ISO 27001(국제/93개 통제/Annex A)

연관: ISMS-P, ISO 27001, 정보통신망법, 보안 거버넌스