ISMS 인증 컨설팅
당사는 ISMS 인증을 원하는 기업에게 다음의 컨설팅 서비스를 제공합니다.
1) ISMS 인증 심사 신청 전에 ISMS 인증 요구사항(12개 분야, 80개 항목)을 기업이 만족하는데 필요한 자문을 제공합니다. 이 과정에서 기업의 위험평가, 취약점 검사, 법령 준수 등과 같은 보안통제에 갭(Gap)이 확인되는 경우, 당사는 그 갭을 개선하는데 필요한 자문을 기업에게 추가 제공할 수 있습니다.
2) 기업이 심사기관*에 ISMS 인증을 신청하는데 필요한 문서화**및 자문을 제공합니다.이 과정에서 심사기관의 증거 요청, 시연, 현장실사 등이 예상되는 경우, 필요한 자문을 기업에게 추가 제공할 수 있습니다.
*심사기관: 한국정보통신진흥협회(KAIT), 한국정보통신기술협회(TTA), 개인정보보호협회(OPA), 차세대정보보안인증원(NISC)
**문서화: 신청 공문, 인증 신청서, 인증 명세서, ISMS 운영명세서
3) 기업이 심사기관의 사전 심사 그리고 현장 심사를 준비하고 대응하는데 필요한 자문을 제공합니다.
4) 기업이 받은 심사 결과, 즉 결함사항을 개선하는데 필요한 자문을 제공합니다.
5) 기업이 심사기관의 사후 점검을 준비하고 대응하는데 필요한 자문을 제공합니다. 기업이 인증을 ISMS 인증을 최초로 획득(유효기간 3년)하거나 갱신하는 경우, 그리고 ISMS 인증기관* 및 인증위원회의 요구사항이 있는 경우, 당사는 기업에게 필요한 자문을 제공합니다.
*인증기관: 한국인터넷진흥원(KISA), 금융보안원(FSI)
컨설팅 기간은 기업의 ISMS 인증 범위 그리고 기업과 계약하는 컨설팅 범위에 따라 3개월에서 10개월이 소요될 수 있습니다. 컨설팅 절차는 다음과 같습니다.
1) 기업 문의에 따른 기본 상담 : 당사는 상담 과정에서 기업의 ISMS 인증을 준비하는데 필요한 최소한의 기업 보안통제, 보안조직 등의 여부를 확인합니다. 그 결과에 따라서는 컨설팅이 보류될 수 있습니다.
2) 컨설팅 업무 범위, 수행 기간 등을 고려한 견적서 및 표준 계약서(SOW) 제공. 해외 출장 심사가 포함되는 경우, 컨설턴트의 해외 출장에 필요한 제반 경비가 견적에 포함될 수 있습니다. 또한 기업이 납부하는 인증 수수료를 당사가 대납하는 경우, 그 예산이 견적에 포함될 수 있습니다.
3) 계약 체결
4) 컨설팅 수행
5) 계약 종료
다음은 ISMS 인증에 관한 근거 법령입니다.
정보통신망법 제47조(정보보호 관리체계의 인증) ① 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계(이하 “정보보호 관리체계”라 한다)를 수립ㆍ운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다. <개정 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>
② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. <신설 2012. 2. 17., 2015. 12. 1., 2018. 12. 24., 2020. 6. 9.>
1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자(이하 “주요정보통신서비스 제공자”라 한다)
2. 집적정보통신시설 사업자
3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
③ 과학기술정보통신부장관은 제2항에 따라 인증을 받아야 하는 자가 과학기술정보통신부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 제1항에 따른 인증 심사의 일부를 생략할 수 있다. 이 경우 인증 심사의 세부 생략 범위에 대해서는 과학기술정보통신부장관이 정하여 고시한다. <신설 2015. 12. 1., 2017. 7. 26.>
④ 과학기술정보통신부장관은 제1항에 따른 정보보호 관리체계 인증을 위하여 관리적ㆍ기술적ㆍ물리적 보호대책을 포함한 인증기준 등 그 밖에 필요한 사항을 정하여 고시할 수 있다. <개정 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>
⑤ 제1항에 따른 정보보호 관리체계 인증의 유효기간은 3년으로 한다. 다만, 제47조의5제1항에 따라 정보보호 관리등급을 받은 경우 그 유효기간 동안 제1항의 인증을 받은 것으로 본다. <신설 2012. 2. 17., 2015. 12. 1.>
⑥ 과학기술정보통신부장관은 한국인터넷진흥원 또는 과학기술정보통신부장관이 지정한 기관(이하 “정보보호 관리체계 인증기관”이라 한다)으로 하여금 제1항 및 제2항에 따른 인증에 관한 업무로서 다음 각 호의 업무를 수행하게 할 수 있다. <신설 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>
1. 인증 신청인이 수립한 정보보호 관리체계가 제4항에 따른 인증기준에 적합한지 여부를 확인하기 위한 심사(이하 “인증심사”라 한다)
2. 인증심사 결과의 심의
3. 인증서 발급ㆍ관리
4. 인증의 사후관리
5. 정보보호 관리체계 인증심사원의 양성 및 자격관리
6. 그 밖에 정보보호 관리체계 인증에 관한 업무
⑦ 과학기술정보통신부장관은 인증에 관한 업무를 효율적으로 수행하기 위하여 필요한 경우 인증심사 업무를 수행하는 기관(이하 “정보보호 관리체계 심사기관”이라 한다)을 지정할 수 있다. <신설 2015. 12. 1., 2017. 7. 26.>
⑧ 한국인터넷진흥원, 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관은 정보보호 관리체계의 실효성 제고를 위하여 연 1회 이상 사후관리를 실시하고 그 결과를 과학기술정보통신부장관에게 통보하여야 한다. <신설 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>
⑨ 제1항 및 제2항에 따라 정보보호 관리체계의 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보할 수 있다. <개정 2012. 2. 17., 2015. 12. 1.>
⑩ 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 사유를 발견한 경우에는 인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 인증을 취소하여야 한다. <신설 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>
1. 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우
2. 제4항에 따른 인증기준에 미달하게 된 경우
3. 제8항에 따른 사후관리를 거부 또는 방해한 경우
⑪ 제1항 및 제2항에 따른 인증의 방법ㆍ절차ㆍ범위ㆍ수수료, 제8항에 따른 사후관리의 방법ㆍ절차, 제10항에 따른 인증취소의 방법ㆍ절차, 그 밖에 필요한 사항은 대통령령으로 정한다. <개정 2012. 2. 17., 2015. 12. 1.>
⑫ 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관 지정의 기준ㆍ절차ㆍ유효기간 등에 필요한 사항은 대통령령으로 정한다. <개정 2012. 2. 17., 2015. 12. 1.>
[전문개정 2008. 6. 13.]
첨부 자료: *출처: 한국인터넷진흥원(KISA)
(1) ISMS-P 인증기준 안내서(2022년 4월 22일) PDF
(2) ISMS-P 인증신청 양식 v2.1 DOC
(3) ISMS-P 운영명세서 양식 v1.0 XLS
(4) ISMS-P 인증수수료 산정내역서 v1.8 XLS
ISMS 인증 컨설팅
당사는 ISMS 인증을 원하는 기업에게 다음의 컨설팅 서비스를 제공합니다.
1) ISMS 인증 심사 신청 전에 ISMS 인증 요구사항(12개 분야, 80개 항목)을 기업이 만족하는데 필요한 자문을 제공합니다. 이 과정에서 기업의 위험평가, 취약점 검사, 법령 준수 등과 같은 보안통제에 갭(Gap)이 확인되는 경우, 당사는 그 갭을 개선하는데 필요한 자문을 기업에게 추가 제공할 수 있습니다.
2) 기업이 심사기관*에 ISMS 인증을 신청하는데 필요한 문서화**및 자문을 제공합니다.이 과정에서 심사기관의 증거 요청, 시연, 현장실사 등이 예상되는 경우, 필요한 자문을 기업에게 추가 제공할 수 있습니다.
*심사기관: 한국정보통신진흥협회(KAIT), 한국정보통신기술협회(TTA), 개인정보보호협회(OPA), 차세대정보보안인증원(NISC)
**문서화: 신청 공문, 인증 신청서, 인증 명세서, ISMS 운영명세서
3) 기업이 심사기관의 사전 심사 그리고 현장 심사를 준비하고 대응하는데 필요한 자문을 제공합니다.
4) 기업이 받은 심사 결과, 즉 결함사항을 개선하는데 필요한 자문을 제공합니다.
5) 기업이 심사기관의 사후 점검을 준비하고 대응하는데 필요한 자문을 제공합니다. 기업이 인증을 ISMS 인증을 최초로 획득(유효기간 3년)하거나 갱신하는 경우, 그리고 ISMS 인증기관* 및 인증위원회의 요구사항이 있는 경우, 당사는 기업에게 필요한 자문을 제공합니다.
*인증기관: 한국인터넷진흥원(KISA), 금융보안원(FSI)
컨설팅 기간은 기업의 ISMS 인증 범위 그리고 기업과 계약하는 컨설팅 범위에 따라 3개월에서 10개월이 소요될 수 있습니다. 컨설팅 절차는 다음과 같습니다.
1) 기업 문의에 따른 기본 상담 : 당사는 상담 과정에서 기업의 ISMS 인증을 준비하는데 필요한 최소한의 기업 보안통제, 보안조직 등의 여부를 확인합니다. 그 결과에 따라서는 컨설팅이 보류될 수 있습니다.
2) 컨설팅 업무 범위, 수행 기간 등을 고려한 견적서 및 표준 계약서(SOW) 제공. 해외 출장 심사가 포함되는 경우, 컨설턴트의 해외 출장에 필요한 제반 경비가 견적에 포함될 수 있습니다. 또한 기업이 납부하는 인증 수수료를 당사가 대납하는 경우, 그 예산이 견적에 포함될 수 있습니다.
3) 계약 체결
4) 컨설팅 수행
5) 계약 종료
다음은 ISMS 인증에 관한 근거 법령입니다.
정보통신망법 제47조(정보보호 관리체계의 인증) ① 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계(이하 “정보보호 관리체계”라 한다)를 수립ㆍ운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다. <개정 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>
② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. <신설 2012. 2. 17., 2015. 12. 1., 2018. 12. 24., 2020. 6. 9.>
1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자(이하 “주요정보통신서비스 제공자”라 한다)
2. 집적정보통신시설 사업자
3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
③ 과학기술정보통신부장관은 제2항에 따라 인증을 받아야 하는 자가 과학기술정보통신부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 제1항에 따른 인증 심사의 일부를 생략할 수 있다. 이 경우 인증 심사의 세부 생략 범위에 대해서는 과학기술정보통신부장관이 정하여 고시한다. <신설 2015. 12. 1., 2017. 7. 26.>
④ 과학기술정보통신부장관은 제1항에 따른 정보보호 관리체계 인증을 위하여 관리적ㆍ기술적ㆍ물리적 보호대책을 포함한 인증기준 등 그 밖에 필요한 사항을 정하여 고시할 수 있다. <개정 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>
⑤ 제1항에 따른 정보보호 관리체계 인증의 유효기간은 3년으로 한다. 다만, 제47조의5제1항에 따라 정보보호 관리등급을 받은 경우 그 유효기간 동안 제1항의 인증을 받은 것으로 본다. <신설 2012. 2. 17., 2015. 12. 1.>
⑥ 과학기술정보통신부장관은 한국인터넷진흥원 또는 과학기술정보통신부장관이 지정한 기관(이하 “정보보호 관리체계 인증기관”이라 한다)으로 하여금 제1항 및 제2항에 따른 인증에 관한 업무로서 다음 각 호의 업무를 수행하게 할 수 있다. <신설 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>
1. 인증 신청인이 수립한 정보보호 관리체계가 제4항에 따른 인증기준에 적합한지 여부를 확인하기 위한 심사(이하 “인증심사”라 한다)
2. 인증심사 결과의 심의
3. 인증서 발급ㆍ관리
4. 인증의 사후관리
5. 정보보호 관리체계 인증심사원의 양성 및 자격관리
6. 그 밖에 정보보호 관리체계 인증에 관한 업무
⑦ 과학기술정보통신부장관은 인증에 관한 업무를 효율적으로 수행하기 위하여 필요한 경우 인증심사 업무를 수행하는 기관(이하 “정보보호 관리체계 심사기관”이라 한다)을 지정할 수 있다. <신설 2015. 12. 1., 2017. 7. 26.>
⑧ 한국인터넷진흥원, 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관은 정보보호 관리체계의 실효성 제고를 위하여 연 1회 이상 사후관리를 실시하고 그 결과를 과학기술정보통신부장관에게 통보하여야 한다. <신설 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>
⑨ 제1항 및 제2항에 따라 정보보호 관리체계의 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보할 수 있다. <개정 2012. 2. 17., 2015. 12. 1.>
⑩ 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 사유를 발견한 경우에는 인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 인증을 취소하여야 한다. <신설 2012. 2. 17., 2013. 3. 23., 2015. 12. 1., 2017. 7. 26.>
1. 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우
2. 제4항에 따른 인증기준에 미달하게 된 경우
3. 제8항에 따른 사후관리를 거부 또는 방해한 경우
⑪ 제1항 및 제2항에 따른 인증의 방법ㆍ절차ㆍ범위ㆍ수수료, 제8항에 따른 사후관리의 방법ㆍ절차, 제10항에 따른 인증취소의 방법ㆍ절차, 그 밖에 필요한 사항은 대통령령으로 정한다. <개정 2012. 2. 17., 2015. 12. 1.>
⑫ 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관 지정의 기준ㆍ절차ㆍ유효기간 등에 필요한 사항은 대통령령으로 정한다. <개정 2012. 2. 17., 2015. 12. 1.>
[전문개정 2008. 6. 13.]
첨부 자료: *출처: 한국인터넷진흥원(KISA)
(1) ISMS-P 인증기준 안내서(2022년 4월 22일) PDF
(2) ISMS-P 인증신청 양식 v2.1 DOC
(3) ISMS-P 운영명세서 양식 v1.0 XLS
(4) ISMS-P 인증수수료 산정내역서 v1.8 XLS