ISMS / 정보보호관리체계 인증체계
정보보호관리체계 인증체계
인증기관
‘정보통신망이용촉진및정보보호등에관한법률’(이하 ‘정보통신망법’이라고 한다) 제47조에서는 정보보호관리체계 인증을 부여하는 인증기관을 한국정보보호진흥원으로 지정하였다. 이후 인증기관이라고 지칭한 것은 한국정보보호진흥원을 말한다.「정보보호관리체계 인증업무지침」에 명시되어 있는 인증기관의 역할은 다음과 같다.
◦ 인증심사 신청접수
◦ 인증심사 계약체결
◦ 문서심사, 기술심사 수행
◦ 인증위원회 운영
◦ 인증서 발급 및 관리
◦ 인증심사 관련 자문
◦ 기타 인증 수행에 관련된 업무
인증대상
상기 ‘정보통신망법’에서는 인증을 받을 수 있는 기관을 정보통신서비스 제공자, 정보통신서비스를 위한 물리적 시설을 제공하는 자, 그 밖에 정보통신망을 운영하는 자로서 대통령령이 정하는 자로 규정하였다. 이에 따라 대통령령인 동법 시행령에서는 정보보호관리체계 인증대상자를 ‘전기통신사업법 제2조제1항 제1호의 규정에 의한 전기통신사업자로서 주요정보통신서비스제공자의 정보통신망과 연동하여 정보통신망을 운영하는 민간사업자’로 규정하였다. 여기에서 ‘주요정보통신서비스제공자’란 전국적으로 정보통신망 접속서비스를 제공하는 자를 말한다.
즉 기간, 별정, 부가통신을 위한 전기통신서비스사업자로 등록한 회사나 IDC(internet data center, 인터넷 데이터 센터)와 같이 네트워크나 서버 등의 통신시설을 관리하는 조직 등은 기본적으로 인증대상이 될 수 있으며, 전국적인 ISP(Internet Service Provider, 인터넷 서비스 제공자)와 연동하여 정보통신망을 운영하는 민간회사는 모두 대상이 된다. 따라서 인터넷과 연동된 정보통신망을 운영하는 사업자는 대부분 정보보호관리체계 인증의 대상이 된다고 볼 수 있다.
| 인증 대상 | 정보통신망법 제47조 (정보보호 관리체계의 인증) |
①다음 각호의 1에 해당하는 자는정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위하여 수립 ․운영하고 있는 기술적․물리적 보호조치를 포함한 종합적 관리 체계(이하 “정보보호관리체계”라 한다)가 소관 정보통신망의 정보보호에 적합한지에 관하여 보호진흥원으로부터 인증을 받을 수 있다. <개정 2004.1.29.> 1. 정보통신서비스제공자 2. 정보통신서비스를 제공하기 위한 물리적 시설을 제공하는 자 3. 그 밖에 정보통신망을 운영하는 자로서 대통령령이 정하는 자 |
| 시행령 제23조의 2 (정보보호 관리체계 인증대상자) |
법 제47조제1항 제3호에서 “그 밖에 정보통신망을 운영하는 자로서 대통령령이 정하는 자”라 함은 전기통신사업법 제2조제1항 제1호의 규정에 의한 전기통신사업자로서 전국적으로 정보통신망 접속서비스를 제공하는 자(이하 “주요정보통신서비스제공자”라 한다)의 정보통신망과 연동하여 정보통신망을 운영하는 민간사업자를 말한다. | |
| 인증 기관 |
한국인터넷진흥원 | |
인증위원회 및 심사팀
인증심사팀은 신청기관의 정보보호관리체계를 인증기준에 따라 심사하게 되며 그 결과를 보고서로 작성하여 한국정보보호진흥원에 제출한다. 그리고 인증위원회에서 심사결과를 심의한 후 그 결과에 따라 한국정보보호진흥원장이 대상기관에게 인증서를 부여한다.
심사팀은 심사팀장 1명과 심사원으로 구성되며 인력의 수는 정보보호관리체계 범위에 따라 달라진다. 심사원은 인증기관이 관리하는 심사원 풀에서 선정하게 되는데 외부전문가가 포함될 수 있다. 모든 심사원들은 각 인증심사마다 심사를 통해 알게 된 신청 기관의 정보에 대하여 비밀을 유지하겠다는 서약서를 제출한다. [표 4-2]가 서약서 샘플이다.
인증위원회는 한국정보보호진흥원, 관계 기관, 학계, 연구 기관 등의 전문가로 인증기관장이 위촉한 7~10명으로 구성된다. 이들 역시 심사원들과 마찬가지로 심의과정을 통해 알게 된 정보에 대한 비밀유지 서약을 한다.
인증범위
인증범위는 기본적으로 전 조직에 대하여 정보보호관리체계를 수립할 것을 권고하고 있지만 조직의 규모와 특성에 따라 정보보호관리체계의 범위를 조직의 일부로 정의할 수 있다. 이 경우에도 조직 특성 상 분리하여 심사하기 어려운 부분이 있을 수 있기 때문에 신청인이 신청한 인증의 범위 내에서 인증기관의 장과 신청인의 상호협의 하에 결정하도록 하고 있다.
| 서 약 서(심사원용) | |||
심사기간 : 2004 년 월 일 ~ 2004 년 월 일 신청기관 : 본인은 위 신청기관에 대한 한국정보보호진흥원에서 수행하는 정보보호관리체계 인증업무를 수행함에 있어 관련 법령을 성실히 준수하고 인증업무 수행과정에서 취득한 사실과 신청인의 제출물을 인증업무 수행 이외의 용도로 사용하거나 유출 또는 공개하지 아니할 것이며 위의 사항을 위반할 경우 관련 법규에 따라 어떠한 처벌도 감수할 것을 서약합니다. |
|||
| 소속 | 성명 | 주민등록번호 | 서명 |
제출자 : 심사팀장 (인) |
|||
| - 정보통신망이용촉진및정보보호등에관한법률 - 제57조(비밀유지 등) 다음 각호의 1에 해당하는 업무에 종사하는 자 또는 종사하였던 자는 그 직무상 알게된 비밀을 타인에게 누설하거나 직무상 목적외에 이를 사용하여서는 아니된다. 다만, 다른 법률에 특별한 규정이 있는 경우에는 그러하지 아니하다. 1. 분쟁조정위원회의 분쟁조정 업무 2. 정보보호관리체계 인증 업무 3. 제52조제3항제4호의 규정에 의한 정보보호시스템의 평가 업무 제63조(벌칙) 다음 각 호의 1에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다. 1. 제48조제1항의 규정을 위반하여 정보통신망에 침입한 자 2. 제57조의 규정을 위반하여 직무상 알게 된 비밀을 타인에게 누설하거나 직무상 목적 외에 이를 사용한 자 |
|||
인증 유효기간
한번 정보보호관리체계 인증을 받게 되면 그 인증은 3년간 유효하고 관리체계의 지속적인 유지운영을 위해 1년에 한번 이상 관리체계를 점검하는 사후관리를 해야 한다. 또한, 유효기간 내 정보보호관리체계와 관련된 중대한 변경이 있을 경우 재심사를 받아야 한다. 이 경우 변경된 유효기간은 재심사 후 3년이 된다.
