Information Security Management System
정보보호 관리체계
한국인터넷진흥원(KISA)에서 기업들에 부여하고 있는 정보 보안 관리 인증 제도를 말한다.
ISMS 인증제도는 기업이 주요 정보자산을 보호하기 위해, 보안성과 안정성을 갖춘 관리/운영 체계를 가졌음을 인증하는 제도이다.
해킹 방지는 물론, 경영상 정보 보호의 법적 준거성을 확보하게 하고 법적인 상황에서 기업의 피해를 최소화하기 위해 필요하다.
✔︎ ISMS 인증 항목
ISMS 인증을 받기 위해서는 서면 심사와 현장 심사를 통해 많은 항목들을 점검해야 한다.
몇 가지를 예로 들면 아래와 같다.
- 개인정보 수집 & 이용 동의
- 비밀번호
- 마스킹 처리
- 오류시 정확한 원인이 드러나선 안됨
- 일정 횟수 비밀번호 오기입시 계정 잠금(일시정지) 처리를 해야 한다.
- 동시 접속을 알려야 함
- 데이터베이스는 외부와 차단된 곳에 보관해야 한다.
- 접속 기록은 일정기간 보관하다가, 안전하게 파기되어야 한다.
✔︎ ISMS 인증 대상 기업
모든 기업이 반드시 취득해야 하는 의무사항은 아니고,
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조에 따라 정보보호관리가 필요한 기업은 의무로 인증받아야 한다.
- 전국적으로 정보통신망 서비스를 관리하는 사업자
- 타인의 정보통신 서비스 제공을 위해 집적된 정보통신 시설을 관리하는 사업자 (예: 서버 호스팅 서비스)
- 연간 매출액 1,500억원 이상이거나, 정보통신 서비스 매출액 100억 이상 또는 이용자 수가 100만 명 이상인 사업자 (예: 포털, 인터넷 쇼핑몰, 상급종합병원, 대학교 등)
자율신청 또한 가능하다.