신시웨이 프리세일즈팀은 6월 30일과 7월 14일 각각 2회에 걸쳐 ISMS-P 정보보호 및 개인정보보호 관리체계인증, 클라우드 보안 시장 동향이라는 주제로 내부 세미나를 개최하였습니다. 이번 세미나의 주된 목표는 ISMS-P 인증심사의 전반적인 내용을 소개하고, 더 나아가 페트라(DB 접근제어)에서 보완해야 할 부분을 토의하고 개선 및 발전시키기 위한 자리였습니다. 클라우드 보안 시장 또한 우리가 앞으로 나아가야 할 길이며, 세계 시장의 흐름에 맞추어 어떻게 대응해야 하는지에 대한 토의가 있었습니다.
세미나의 첫 번째 세션을 맡은 프리세일즈팀 김지현 과장은 발표에 앞서 “DB 보안의 전문가로서 ISMS-P 인증 심사 준비 시 고객에게 DB보안(접근제어, 암호화) 분야를 올바르게 컨설팅을 하기 위해서는 기술적 관리적 보호조치와 안전성 확보 조치에 관한 내용을 먼저 이해하여야 하고, 기본적으로 정보보호 대책(관리적, 기술적 통제)에 대해서도 알고 있어야 한다.”라는 것을 강조하고 발표를 시작하였습니다.
ISMS 인증 제도
정보보호 관리체계(Information Security Management System) 인증
기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 인증기준에 적합한지 심사하여 인증을 부여하는 제도
2013년 2월 18일부터 의무화
ISMS 인증 제도가 생기기 전에는 정보보호경영시스템(ISO 27001) 국제표준이 있었지만, 필수적으로 받아야 할 인증 제도가 아니었기 때문에 일부 기업들은 선택적으로 인증을 받아왔습니다. 이에 2001년 7월 KISA에서 국내 실정을 반영한 ISMS 인증제도를 도입하였습니다. 그 후 2002년 5월 인증기준 고시를 제정하고 2012년 2월에는 정보통신망법을 개정하였으며, 2013년도 2월부터는 정보보호 관리체계 인증을 의무적으로 받아야할 대상을 지정하여 인증을 취득하고 관리하게 되었습니다.
이렇게 ISO 27001을 기반으로 만들어진 ISMS는 국제 표준을 모두 포함하고 있고, 국내 상황에 맞게 암호화, 전자 거래 등의 보안 요건을 강화한 인증 제도입니다. 통상적으로 글로벌 비즈니스 활동을 하는 기업들은 ISO 27001 인증을 받고 있으며, 국내에서만 활동하는 기업은 ISMS 인증을 받고 있습니다.
PIMS 인증 제도
개인정보보호 관리체계(PIMS, Personal Information Management System) 인증
한국인터넷진흥원(KISA)에서 심사하는 제도로서, 기업이 개인정보보호 활동을 수행하는데 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도
PIMS 인증대상은 업무를 목적으로 개인정보를 처리(취급)하는 공공기관, 민간기업, 법인, 단체 및 개인 등 모든 공공기관 및 및간 개인정보처리(취급)자이다.
총 3개 분야 86개의 심사 항목 (개인정보보호 관리과정, 생명주기 및 권리보장, 개인정보 보호조치)
필수는 아닌 자율 인증제도이며, 대외 신뢰도를 위한 마케팅 측면 및 과징금 감면 혜택