ISMS, ISMS-P 인증을 위해 IT 자산관리가 필요한 이유
ISMS, ISMS-P 인증의 차이와 인증을 위해 IT 자산관리가 필요한 이유를 확인해 보세요.
🙌이런 분들에게 추천하는 글이에요.
- ISMS 등 보안 심사를 준비하고 계신 분
- ISMS와 ISMS-P의 차이점이 궁금하신 분
- IT 자산관리에 관심이 있으신 분
1️⃣“OO기업, ISMS 인증 획득”
위와 같은 헤드라인의 보도 자료를 보신 적이 있을 겁니다. ISMS와 ISMS-P는 정보보호 및 개인정보보호 관리 체계 인증 제도인데요.
쉽게 말해, 기업이나 기관이 보유하고 있는 다양한 정보를 얼마나 체계적으로 관리하고 있는지 확인하고 이를 인증해 주는 제도라고 생각하시면 됩니다. 신청 대상이 사전 준비 후 심사를 신청하면, 지정된 심사 기관에서 문서 검토와 현장 심사 후 최종 인증서를 발급해 주는 순서로 진행됩니다.
이는 특정 조건에 부합하는 조직이라면 의무적으로 인증을 받아야 합니다. 또한 조직의 신뢰도에도 영향을 주는데요. 인증 관련 보도 자료를 비롯해 인증 소식을 대중에게 알림으로써 조직의 신뢰도를 높일 수도 있습니다. 의무 대상자가 아니지만 자율적으로 신청해 인증을 받는 경우도 있습니다.
이번 글에서는 ISMS와 ISMS-P의 차이와 인증 조건, 인증을 위해 IT 자산관리가 필요한 이유에 관해 설명해 드리겠습니다.
2️⃣ISMS/ISMS-P란? 인증 범위와 의무 대상자
ISMS와 ISMS-P는 둘 다 정보보호와 관련된 인증 체계라는 점에서 공통점이 있지만 인증 범위와 항목에는 차이가 있습니다. 우선 두 인증 체계의 풀네임은 아래와 같은데요.
- ISMS (Information Security Management System)
- ISMS-P (Information Security Management System & Personal Information Protection System)
풀네임을 보면 알 수 있듯, ISMS가 정보보호를 위한 관리 체계 인증이라면, ISMS-P는 개인정보 보호까지 통합적으로 관리하는 인증입니다. 자연스럽게 인증 범위도 다른데요. 인증 범위는 아래와 같습니다. (출처 : 한국인터넷진흥원 홈페이지)
- ISMS :정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산을 포함
- ISMS-P : ISMS 인증 범위에 더해, 개인정보 처리를 위한 수집, 보유, 이용, 제공, 파기에 관여하는 개인정보처리 시스템, 취급자를 포함
더불어, 의무 대상자의 조건은 아래와 같은데요. 의무 대상자는 ISMS 인증만을 취득하거나, ISMS 인증을 취득하지 않고 ISMS-P 인증을 선택해 심사를 진행할 수 있습니다. 둘 중의 하나를 취득한 경우, 인증 의무를 이행한 것으로 보고 있습니다. (출처 : 한국인터넷진흥원 홈페이지)
✅ ISP (정보통신망서비스 제공자)
- 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
✅ IDC (집적정보통신시설 사업자)
- 정보통신망법 제46조에 따른 집적정보통신시설 사업자
✅ 다음 조건 중 하나라도 해당하는 자
- 전년도 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
- 「의료법」 제3조의4에 따른 상급종합병원
- 직전년도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
- 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
- 전년도 일일평균 정보통신서비스 이용자 수가 100만 명 이상인 자
3️⃣ISMS/ISMS-P 인증을 위해 IT 자산관리가 필요한 이유
ISMS 인증 대상 조직은 정보보호 관리 체계의 수립 및 운영과 보호 대책을 위한 여러 요구사항을 충족해야 합니다. 사내에서 사용되는 소프트웨어, IT 기기 등의 IT 자산은 정보보호의 기반이므로 자산의 체계적인 관리가 필요한데요.
사실 이는 너무 당연한 이야기이기도 합니다. 사내에서 직원들이 어떤 소프트웨어와 IT 기기를 어디서 사용하고 있는지, 현재 어떤 상태인지 등을 파악하는 일은 보안 위협을 줄이기 위해 꼭 필요한 일이니까요. 심사에서 중요하게 평가하는 IT 자산관리 관련 요소는 아래와 같은데요. IT 자산관리 담당자는 아래 기준을 고려해 관리를 위한 시스템을 구축해야 합니다.
✅IT 자산의 보안 업데이트 및 패치가 주기적으로 관리되는지?
✅불필요한 자산이 폐기 절차를 거쳐 안전하게 삭제되는지?
✅정기적인 자산 현황 조사를 통해 자산 목록을 최신으로 유지하고 있는지?
4️⃣보안 심사 관련해 심플리 팀에 들어오는 문의
심플리 팀에도 ISMS와 같은 보안 심사를 앞두고 문의를 하시는 경우가 많습니다. 간단한 상담을 진행해 드리기도 하고, 상담 후 심플리를 도입해 도움을 받고 있는 고객사도 있는데요. 가장 크게 도움을 받고 계신 부분은 크게 두 가지입니다.
IT 자산 식별 및 라벨링
- IT 자산에 대해 고유 식별 번호를 부여하고 QR코드를 부착해 자산을 추적할 수 있도록 합니다.
- 어떤 사용자가 어떤 기기를 어디서 사용하고 있는지 실시간으로 확인할 수 있습니다.
- QR코드에 구매일, 관리 번호 등 필요한 정보를 커스터마이즈 해서 넣을 수 있습니다.
자산 리스트 최신화 지원
- IT 자산의 위치, 사용자, 상태(운영/폐기 여부)를 지속적으로 업데이트할 수 있습니다.
- 자산조사 캠페인 기능을 통해 지속적인 자산 현황 최신화를 지원합니다.
5️⃣결국은 기업의 성장을 위해 필요한 일
오늘은 ISMS 및 ISMS-P 인증의 차이점, 그리고 기업이 IT 자산관리를 통해 보안 심사를 효과적으로 준비할 수 있는 방법에 대해 소개해 드렸습니다. 특히, 심플리를 통해 고객사들이 보안 심사 과정에서 실질적인 도움을 받고 있는 사례도 함께 살펴보았죠.
이러한 인증 절차와 IT 자산관리는 단순한 의무 사항을 넘어, 기업이 신뢰를 확보하고 지속적으로 성장하기 위한 필수 조건입니다. 정보보호와 개인정보보호는 고객과의 신뢰를 쌓는 중요한 요소이며, 체계적인 IT 자산관리는 이를 실현하는 핵심적인 방법이니까요.
꼭 보안 심사를 앞두고 있지 않더라도, IT 자산을 효과적으로 관리하는 것은 중요합니다. 지금 바로 심플리 팀에 문의하셔서, 조직의 IT 자산관리 체계를 한 단계 더 발전시켜 보세요.
성장하는 기업은 하나하나 신경 쓸 여유가 없습니다. 모든 기업이 핵심 가치에만 집중할 수 있도록 심플리가 돕겠습니다.
