ISMS-PIMS 통합

1. ISMS

정보통신망법 제47조 2항에 따라 인터넷 접속 서비스, 인터넷 전화 서비스 등 정보통신망 서비스 사업자와 IDC는 ISMS 의무 대상이다.

이 밖에 연간 매출액 또는 세입 등이 1500억원 이상이거나 정보통신서비스 매출액 100억원 또는 이용자 수 100만명 이상 사업자는 반드시 ISMS를 받아야 한다.

인터넷쇼핑몰, 포털, 게임, 상급종합병원, 대학교 등이 대상이다. 현재까지 발급된 ISMS 인증서는 총 754건이며, 유지되는 인증서는 517건이다.

2. PIMS

ISMS가 기업 전반에 걸친 보안 체계 인증이라면 PIMS는 개인 정보 보호에 집중한다.

PIMS는 개인 정보 보호 활동 인증이다. 2010년부터 방통위가 운영하던 PIMS 인증과 2013년부터 행안부가 운영하던 개인정보보호(PIPL) 인증을 2016년 PIMS로 통합했다.

기관과 기업이 PIMS를 갖추고 보호 업무를 지속해서 수행하는지를 심사, PIMS 인증을 부여한다.

PIMS 인증은 개인 정보 보호 활동을 체계화해서 수행하기 위해 필요한 관리, 기술, 실물 보호 조치를 포함해 종합 관리 체계를 수립해서 운영하는 개인 정보 수집·취급 사업자를 대상으로 한다.

2011년 이후 현재까지 발급된 PIMS 인증서는 108건이다. 이 가운데 유지되고 있는 인증서는 71건이다. ISMS와 PIMS를 모두 받은 곳은 46개다.

3. 통합하는 이유

최근 정보 보안과 개인 정보 보호가 밀접해지고 있는 추세를 반영한다.

제도 간 연계성을 강화하고, 인증 중복 운영에 따른 기업의 부담 해소가 목적이다.

정부는 제도 통합으로 보안과 개인 정보 보호를 아우르는 종합 ISMS 인증 제도를 수립했다는 의미를 부여했다.

4. 통합 방법은?

5. 통합인증 ISMS-P란?

통합에 따라 기업은 80개 보안 항목을 기본으로 'ISMS 인증'을 받는다.

여기에 추가 신청해서 20개 개인 정보 보호 항목까지 인증 받으면 'ISMS-P(가칭)' 인증이 된다.

본래 ISMS 의무화 기업은 80개 항목만 받으면 되고 개인 정보 보호까지 더욱 강화된 인증을 받고 싶은 기업은 20개를 추가해서 ISMS-P를 받는다.