[보안] ISMS 인증 이란?

ISMS(Information security management System)

ISMS(Information Security Management System) 인증은 정보보호 관리 체계를 평가하고 검증하는 프로세스를 의미한다. 이는 조직이 정보 보안을 효과적으로 관리하고 유지하기 위해 정의된 표준 및 절차를 준수하는지를 확인하기 위한 절차이다.

ISMS 인증은 정보 보안 관련 위험을 최소화하고 고객의 신뢰를 유지하기 위해 중요한 역할을 한다.

ISMS 인증 프로세스

준비: 조직은 정보 보안 관리 체계를 구축하고 관련 문서화 작업을 수행. 이 단계에서 조직은 ISO/IEC 27001 표준과 같은 관련 표준을 기반으로 ISMS를 설계하고 구현한다.
평가: 외부 감사기관이 조직의 ISMS를 평가하기 위해 감사를 수행. 이 감사는 ISMS의 문서화된 정책, 절차, 지침, 기술적인 보안 조치 등을 검토하고 평가한다.
감사 및 평가 결과: 감사 결과 및 평가 보고서를 기반으로 조직은 ISMS의 강점과 개선이 필요한 부분을 식별한다. 이를 바탕으로 조직은 보안 조치를 강화하거나 보완하게 될 수 있다.
개선 및 조치: 평가 결과를 토대로 조직은 보안 조치를 적용하고 개선한다. 이 단계에서는 보안 위험을 관리하고 대응하기 위한 적절한 계획을 수립하게 된다.
인증 및 인정: 감사 결과가 충분히 우수하다고 판단되면, 감사기관은 조직에게 ISMS 인증을 부여한다. 이는 조직이 표준 및 절차를 준수하여 정보 보안을 관리하는 데 성공했다는 것을 의미한다.

ISMS 인증은 주로 ISO/IEC 27001 표준을 기반으로 수행되지만, 국가 또는 산업별로 다른 표준 및 가이드라인을 따르기도 한다. 이러한 인증은 조직의 정보 보호 역량을 강화하고 정보 보안 위험을 관리하여 기업의 신뢰성을 향상시키는 데 도움이 된다.

인증 대상자는 의무대상자와 비(非)의무대상자로 나뉘어지는데, 의무대상자는 법으로 정한 일정 규모 이상의 기업이나 기관을 의미하고 비(非)의무대상자는 말 그대로 법적으로 의무대상자는 아니지만 인증 취득을 희망하는 경우를 의미한다.

비(非)의무대상자

인증 취득을 희망하는 경우 자발적으로 신청하여 인증취득이 가능하다.

의무대상자

대상자 기준세부분류(정보통신서비스제공자)비고

대상자 기준	세부분류(정보통신서비스제공자)	비고
(ISP)전기통신사업법의 전기통신 사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자	인터넷접속서비스, 인터넷전화서비스 등	서울 및 모든 광역시에서 정보통신망 서비스제공(SKT,SK브로드 밴드,KT,LGU+등)
(IDC)타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자	서버호스팅, 코로케이션 서비스 등	정보통신서비스부문 전년도 매출액 100억 이하인 영세 VIDC 제외
(매출액및이용자기준)연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스매출액 100억 또는 이용자수 100만명 이상인 사업자	인터넷쇼핑몰, 포털, 게임, 예약, Cable-SO 등	정보통신 서비스부문 전년도 매출액 100억이상 또는 전년도말 기준 직전 3개월간 일일평균 이용자수 100만명 이상
	상급종합병원 대학교	직전연도12월31일기준으로 재학생 수가 1만명 이상인「고등교 육법」제2조에 따른 학교

ISMS 의무대상자인데 미인증시 3,000만원 이하의 과태료를 내야한다.

해당 내용은 정보통신망법 제76조에 근거를 두고 있다.

제76조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다.
6의3. 제47조 제2항을 위반하여 정보보호 관리체계 인증을 받지 아니한 자