금융보안원 - FINANCIAL SECURITY INSTITUTE

FSI FINANCIAL SECURITY INSTITUTE 금융미래를 열어가는 금융보안파트너 안전하고 편리한 금융미래,
금융보안원이 열어가겠습니다.

주요업무 ISMS 인증 정보보호 관리체계 인증 업무 소개

ISMS 인증

contentsPage : 03050100000000000000.jsp

금융보안원의 "정보보호 관리체계 인증" 업무를 소개합니다.

정보보호 관리체계 인증

금융보안원은 미래창조과학부로부터 정보보호 관리체계 인증 및 인증심사를 일괄적으로 수행하는 민간 인증기관으로 최초 지정 (2015.7.10, 미래창조과학부공고 제2015-0324호)

인증제도

기업이 수립·운영 중인 정보보호 관리체계가 인증 기준에 적합한지 여부를 심사하여 인증을 부여하는 제도 * 정보보호 관리체계(ISMS) 조직의 각종 보안위협으로부터 주요 정보자산을 보호하기 위해 정보보호 관리 절차 및 물리적·기술적·관리 적 보호 대책을 체계적으로 수립하여 지속적으로 운영·관리하기 위한 종합적인 체계

정보보호 관리체계 도입 효과

정보보호 관리체계가 부재할 경우에는 시설, 장비, 조직, 문서 등에 부분적 보안만을 하게되고, 일회성으로 관리하며, 산발적으로 대응하게 되지만 정보보호 관리체계를 운영하는 경우 이 모든 요소에 대한 균형적인 보안이 이루어지며 보안위협에 대한 체계적 대응이 가능합니다.
정보보호 관리체계가 부재할 경우에는 시설, 장비, 조직, 문서 등에 부분적 보안만을 하게되고, 일회성으로 관리하며, 산발적으로 대응하게 되지만 정보보호 관리체계를 운영하는 경우 이 모든 요소에 대한 균형적인 보안이 이루어지며 보안위협에 대한 체계적 대응이 가능합니다.

법적근거

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조

인증체계

ISMS인증체계는 다음과 같습니다. 미래창조과학부에서 법제도 개선 및 정책을 결정하고 심사기관을 지정하게 됩니다. 인증기관으로 지정된 금융보안원에서는 인증심사 및 인증서 부여 업무를 수행하고 인증위원회를 운영하며 인증심사원 전문 교육을 하게됩니다. 인증위원회는 심사경과 적합성을 심의/의결하고 인증취소의 타당성을 심의/의결하게 됩니다. 인증심사원은 실제 금융기관에서 인증심사에 참여합니다.
ISMS인증체계는 다음과 같습니다. 미래창조과학부에서 법제도 개선 및 정책을 결정하고 심사기관을 지정하게 됩니다. 인증기관으로 지정된 금융보안원에서는 인증심사 및 인증서 부여 업무를 수행하고 인증위원회를 운영하며 인증심사원 전문 교육을 하게됩니다. 인증위원회는 심사경과 적합성을 심의/의결하고 인증취소의 타당성을 심의/의결하게 됩니다. 인증심사원은 실제 금융기관에서 인증심사에 참여합니다.

인증기준

정보보호 관리체계 인증심사 기준은 정보보호 관리과정과 정보보호 대책으로 나뉩니다. 정보보호 관리과정은 정보보호 정책 수립 및 범위설정, 경영진 책임 및 조직 구성, 위험관리, 정보보호대책 구현, 사후관리 등 총 5단계 12개 통제사항으로 이루어져 있으며 정보보호 대책은 정보보호 정책, 정보보호 조직, 외부자 보안 등 총 13분야 92개 통제사항으로 구성되어 있습니다.
정보보호 관리체계 인증심사 기준은 정보보호 관리과정과 정보보호 대책으로 나뉩니다. 정보보호 관리과정은 정보보호 정책 수립 및 범위설정, 경영진 책임 및 조직 구성, 위험관리, 정보보호대책 구현, 사후관리 등 총 5단계 12개 통제사항으로 이루어져 있으며 정보보호 대책은 정보보호 정책, 정보보호 조직, 외부자 보안 등 총 13분야 92개 통제사항으로 구성되어 있습니다.
통제분야, 통제사항수, 세부통제사항수를 알수 있는 표 입니다.
통제분야 통제사항수 세부통제사항수
소 계 104 324
정보보호 관리과정 12 31
정보보호 대책 92 294

인증신청절차

01 준비

정보보호 관리체계 구축·운영(2개월 이상) - 신청기관은 정보보호 관리체계 2개월 이상 운영 후 신청, 신청서류 제출 - 신청기관은 정보보호 관리체계 인증신청서, 정보보호 관리체계 명세서, 법인사업자 등록증 인증기관에 공문으로 제출, 사전점검 - 인증기관은 사전 인증심사 지문을 통해 신청기관의 인증 심사 준비여부를 확인, 계약체결 - 인증기관은 신청기관과 협의하여 인증심사 계약체결(수수료는 계약 체결 후 14일 이내 납부)

02 심사

인증심사 - 인증기관은 신청기관에 방문하여 심사 수행, 보완조치 - 신청기관은 30일 이내에 보완조치를 수행하고, 인증기관에 제출

03 인증

인증위원회 개최 - 인증위원회는 인증적합, 부결, 취소 여부를 의결, 인증서 발급 - 인증기관은 신청기관에게 인증서를 발급

04 사후관리

사후관리 - 신청기관은 인증유지 여부를 확인하기 위하여 사후 심사, 갱신심사를 인증기관에게 요청
01준비 : 정보보호관리체계 구축·운영(2개월 이상) - 신청기관은 정보보호 관리체계 2개월 이상 운영 후 신청, 신청서류 제출 - 신청기관은 정보보호 관리체계 인증신청서, 정보보호 관리체계 명세서, 법인사업자 등록증 인증기관에 공문으로 제출, 사전점검 - 인증기관은 사전 인증심사 지문을 통해 신청기관의 인증 심사 준비여부를 확인, 계약체결 - 인증기관은 신청기관과 협의하여 인증심사 계약체결(수수료는 계약 체결 후 14일 이내 납부), 02 심사 - 인증심사 - 인증기관은 신청기관에 방문하여 심사 수행, 보완조치 - 신청기관은 30일 이내에 보완조치를 수행하고, 인증기관에 제출, 03 인증 - 인증위원회 개최 - 인증위원회는 인증적합, 부결, 취소 여부를 의결, 인증서 발급 - 인증기관은 신청기관에게 인증서를 발급, 04 사후관리 - 사후관리 - 신청기관은 인증유지 여부를 확인하기 위하여 사후 심사, 갱신심사를 인증기관에게 요청

인증심사종류

최초심사 - 사후심사, 갱신심사 - 사후심사 각각 1년
최초심사 - 사후심사, 갱신심사 - 사후심사 각각 1년
종류, 내용을 알수 있는 표 입니다.
종류 내용
최초심사 처음으로 인증을 신청하거나 인증의 범위에 중요한 변경으로 다시 인증을 신청할 때 실시하는 인증심사
사후심사 인증(인증 갱신 포함)을 받고 난 후 매년 사후관리를 위하여 실시하는 인증심사
갱신심사 인증 유효기간 만료로 다시 인증을 신청할 때 실시하는 인증심사

인증수수료

「정보보호 관리체계 인증 등에 관한 고시」 및 「정보보호 관리체계 인증심사 지침」 준용

인증수수료 = 직접인건비 + 직접경비 + 재경비 + 기술료

  • 직접인건비 : 심사원 인건비 평균단가(1일) X 심사원수(1일) X 심사일수
  • 직접경비 : 교통비, 숙박비, 식대 등을 포함
  • 제경비 : 최대 직접인건비의 120%까지 가능
  • 기술료 : 최대(직접인건비 + 제경비)의 40%까지 가능

  • 사후심사 인증수수료 : 최초심사 x 70% (2016년 1월부터 적용)

※ 문의 : 보안인증팀 02-3495-9631~5, isms@fsec.or.kr