1. ISMS(Information Security Management System)란?
한국인터넷진흥원(KISA)가 운영하며 기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 종합적인 체계(정보보호 관리체계)의 적합성에 대해 인증을 부여하는 제도 입니다. ISMS 보다는 조금 더 간소화된 제도입니다.
- 의무 인증대상자
- 전국적으로 통신망 서비스를 관리하는 사업자(KT 등)
- 서버호스팅을 진행하는 사업자(가비아 등)
- 연간 매출액이 1500억 이상이거나, 정보통신 매출액 100억 이상 혹은 이용자 수가 100만이상인 서비스
ISMS는 의무대상자를 위한 자격으로, 해당 자격에는 조건이 있습니다.
가 의무 대상자입니다.
- 의무 인증대상자가 아니여도 신청가능합니다.
정보보호관리체계(ISMS)는 반드시 모든 기업이 자격을 취득해야 하는 것은 아닙니다. 다만, 기업의 보안성과 신뢰성 제고를 위해 인증 대상이 아닌 경우도 인증을 취득하는 업체가 늘고 있는 추세입니다.
- 심사수행기관
- 한국 인터넷진흥원
- 금융보안원
심사수행기관은 인증기준내에서 인증범위, 업무특성등을 고려해 신청인과 인증심사 항목을 조정할 수 있습니다.
⇒ 신규, 특수분야의 인증심사를 진행합니다.
⇒ 금융분야 인증심사를 수행합니다.
- 인증제외대상
ISMS는 고객센터,영업점,물류센터,개인정보 취급위탁사는 심사하지 않습니다.
- ISMS과 ISMS-P의 차이
ISMS-P는 ISMS의 인증 사항에 더불어 ‘개인정보보호 관리체계 인증'도 추가로 포함되어 있습니다.
2. 인증 필요여부
기본적으로 KISA(한국인터넷진흥원)의 ISMS 자격은, 방통위원회 고시 및 TTA 표준에 그건한 인증 제도이며 ISO/IEC 27001 국제 표준 규약과도 상당 수 일치하는 보안 인증입니다.
ISO 27001이 물리적 관리적, 기술적 보안 등 모든 분야의 보안을 검수하기 때문에 현실적인 우리나라 실정과 맞지 않는다는 측면을 고혀할 때, 우리나라 실정에 맞게 만들어져 있기 때문에
ISO 27001 보다는 국내 서비스의 현실적인 대안입니다.
그리고, ISMS인증을 받는다면 국가기관의 사업입찰을 따낼 때 정보보호 인증 측면에서 만점을 받을 수 있는 것으로 알려져 있습니다.
반면, ISMS인증 보안 시스템 규격을 맞추기 위해 보안시스템을 구축하는 것 보다 과태료를 내는 것이 낫다는 입장을 보이는 회사나 기관들도 존재합니다.
평가받는 통제항목은 약 104개이며 세부항목까지 세분화한다면 총 600개의 항목으로 해당 기준을 모두 완료해야인증을 취득할 수 있습니다.
위 사항을 적은 인력의 스타트업에서 충족하기 위해 보안관리 시스템을 구축하는 것과, 비용 또한 약 1500만원 정도로 중소기업의 경우 30% 정도의 할인이 들어가게됩니다만 충분히 부담스러운 일입니다.
ISMS를 통과하기 위해 컨설팅 비용이 들어가는 것과, 그에 준하는 갱신 비용을 3년마다 지출하는 것에 대해서 의구성을 가지고 과태료를 내거나 받지 않는 것이 합당하다는 의견이 상당수 존재합니다.
또한, 실효성 의문도 존재합니다. ISMS인증을 받은 기업에서 매년 꾸준하게 정보보안 사고가 발생하기 때문에 받고나서 도 꾸준한 관리가 필요합니다.
현재 자사(에딘트)의 경우 클라우드 환경에 맞춰서 개발 환경이 구축되어 있는데 ISMS-P인증은 온프레미스 방식(자사 서버를 구비해놓고 사용하는 경우)에 초점을 맞추어져 있기 때문에 평가에 어려움도 존재합니다.
결론적으로, 국내에서 정보보안관리체계 인증으로서는 가장 권위있는 인증으로 평가되지만 그 권위를 통한 장점이 취득을 위한 비용보다 큰지는 컨설팅 등을 고려해 충분히 검토해봐야 합니다.
3. 신청절차
인증비용
위에서 설명한 것 처럼 인증에는
- 총 4개월의 시간이 소요
- 비용은 약 1500만원 정도로, 중소기업의 경우 30% 수수료 할인이 적용
- 정보보호 공시 30% 할인
- 「정보보호 및 개인정보보호 관리 체계 인증 고시」 20조에 따라 ISO/IEC 27001, ‘주요정보통신기반시설의 취약점 점검’을 한 경우 20% 할인
- 정보시스템 수 / 인력 수 / 심사복잡도에 따른 인증 수수료 비용 책정
정도의 포괄적인 비용 책정 요소가 존재합니다.
그리고 여기에 더해서, 매년 혹은 3년마다 컨설팅 비용으로 수천만원 정도 추가적으로 비용이 예상됩니다.
보안관련 책임자가 존재하여, 책임자 주도로 인증을 받는게 아니라면 컨설팅 업체를 끼고 인증을 받아야 하는 것으로 판단됩니다.
- 관련기사
![[ISMS④] “ISMS 투자 비용보다 과태료가 더 적다”](https://inblog.ai/_next/image?url=https%3A%2F%2Fwww.notion.so%2Fimage%2Fhttps%253A%252F%252Fwww.datanet.co.kr%252Fnews%252Fthumbnail%252F201705%252F111064_40259_858_v150.jpg%3Ftable%3Dblock%26id%3D71ae79ff-ff27-4576-870c-dc6e7fa83a9c%26cache%3Dv2&w=384&q=75)
- 심사신청
- 인증 신청 공문 1부
- 인증 신청서 2부
- 단일인증(ISMS-P / ISMS 중 하나만 인증)
- 다수인증(ISMS-P / ISMS 둘 다 인증)
- 인증 명세서 1부
- 법인/개인 사업자 등록증 1
- 예비점검
신청이 접수된다면 예비 점검을 받게 됩니다.
이 단계에서, 인증 수료를 납부한다면 본격적인 심사 단계에 들어가게 됩니다.
- 심사단계
- 인증심사(서면/현장심사)
- 관리체계 및 구현 이행 여부를 심사합니다.
- 예비점검과 인증심사에서 발견된 결함사항에 대한 보완조치를 요청합니다.
- 보완조치 및 결과 제출(40일)
- 심사시 발견된 결함사항에 대해서 보완한 조치와 그에 따른 결과를 제출하고 해당 사항에 대한 이행 점검을 받게 됩니다.
- 이 때 필요시 재보완 요청을 받게 됩니다.
- 심사결과보고서 작성
- 심사결과에 따른 최종 보고서가 작성되고, 인증위원회로 올라가게 됩니다.
- 인증단계
- 인증위원회
- 인증서의 유효기간은 발급날로부터 3년입니다.
인증 위원회에서 심사 결과를 검토, 심의하고 심의를 통과한다면 인증서가 부여됩니다.
위 인증절차에 따른 소요 시간은 약 4개월 정도라고 합니다.
Share article