IT서비스 인증 심사 종류 정리
Security
2024.09.22.
IT서비스 인증 심사 종류 정리
아는 보안 인증이 생길 때 마다 업데이트
1. 정보보호 관리체계 인증(ISMS)
정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
- 정보보호 체계를 구축하여 운영하고 있는 사업자는 누구나 일정한 요건을 갖추어 인증 받는게 가능
인증 의무대상 (정보통신망법 제 47조 제2항)
- 연간 매출액이 1500억 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일 평균 이용자수가 100만명 이상이면 의무
- ISP, IDC 인증 의무 대상
의무 대상자는 ISMS, ISMS-P인증 중 선택해서 인증 취득이 가능
2. 정보보호 및 개인정보보호 관리체계 인증 (ISMS-P)
정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
Tip!
isms랑 isms-p랑 무슨차이인지 헷갈려서 KISA자료실 찾아봤는데 꿀자료가 있다
즉, ISMS는 정보보호 중심의 인증, ISMS-P는 정보보호를 포함한 개인정보에 더욱 특화된 관리체계
3. 클라우드 서비스 보안인증 (CSAP)
클라우드컴퓨팅서비스 사업자가 제공하는 서비스에 대해 정보보호 기준의 준수여부를 평가,인증하는 제도
- IaaS, SaaS, DaaS 존재, 유효기간 5년
- 등급은 상, 중, 하
- 매년 평가
- 갱신이 가능
4. 정보보호 등급제
인증기관(KISA)에서 정보보호 관리체계(ISMS)를 유지하는 기업 대상으로 정보보호 수준을 측정하여 ‘우수’, ‘최우수’ 등급을 부여하는 제도
네이버 클라우드는 어떤 인증 받았나 궁금해서 찾아보니 아래 인증을 받았다고 친절하게 설명 되어있다.
GDPR관련된 인증 - DPIA
(위 두개는 볼일 생기면 찾아보자)