블로그로 돌아가기
ISMS-PISMS-P 인증중소기업 정보보호정보보호 인증ISMS-P 간편인증

ISMS-P란 무엇인가? 중소기업 경영진이 알아야 할 핵심 개념

ISMS-P 인증이 무엇인지, 왜 중소기업도 준비해야 하는지 경영진 눈높이에서 설명합니다. 101개 인증기준부터 간편인증 특례까지 핵심만 정리했습니다.

C
ComplixShield 편집팀
··읽는 시간 1

ISMS-P란 무엇인가? 중소기업 경영진이 알아야 할 핵심 개념

"우리 회사는 해킹당할 만큼 큰 회사가 아니잖아요."

이 말을 믿고 있다면, 2023년 개인정보보호위원회 통계를 한 번 보시기 바랍니다. 개인정보 유출 신고 건수 중 상당수는 대기업이 아닌 중소·중견기업에서 발생했습니다. 그리고 유출 사고 이후에 뒤따르는 것은 과징금만이 아닙니다. 거래처 이탈, 브랜드 신뢰 손상, 임직원 개인의 법적 책임까지 이어집니다.

ISMS-P는 바로 이 리스크를 구조적으로 관리하기 위한 국가 인증 제도입니다.

ISMS-P, 한 줄로 이해하기

ISMS-P정보보호 및 개인정보보호 관리체계(Information Security Management System - Personal information)의 약자입니다. 쉽게 말하면, "우리 회사가 정보와 개인정보를 안전하게 관리하는 체계를 갖추고 있다"는 것을 국가가 심사해서 인증해주는 제도입니다.

과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하며, 한국인터넷진흥원(KISA)이 인증 심사를 담당합니다.

인증기준은 총 101개 항목, 328개 세부 점검항목으로 구성되어 있습니다. 관리체계 수립부터 운영, 보호대책, 개인정보 처리 단계까지 전 영역을 포괄합니다.

왜 '의무'가 되었나

ISMS-P(또는 ISMS) 인증은 모든 기업이 선택하는 것이 아닙니다. 일정 규모 이상이면 법적으로 의무입니다.

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조에 따라, 다음 중 하나에 해당하면 인증을 반드시 받아야 합니다.

  • 연간 매출액 또는 세입이 1,500억 원 이상인 정보통신서비스 제공자
  • 직전연도 말 기준 3개월간 일일평균 이용자 수가 100만 명 이상인 사업자
  • 「의료법」 제3조의4에 따른 상급종합병원
  • 연간 매출액 300억 원 이상이거나 학생 수 1만 명 이상인 학교 등

대형 플랫폼이나 병원만의 이야기처럼 들리지만, 이커머스·핀테크·SaaS 기업 중에서도 해당 기준을 충족하는 중소기업은 적지 않습니다.

중소기업에게 생긴 변화: 간편인증 특례

규모가 작은 기업에게 101개 항목 전체를 동일하게 적용하는 것은 현실적으로 부담입니다. 이를 고려해 도입된 것이 간편인증 특례입니다.

  • 간편인증 7의2 (62개 항목): 소기업 및 매출 300억 원 미만 중기업 대상
  • 간편인증 7의3 (65개 항목): 매출 300억 원 이상이지만 주요 정보통신설비를 보유하지 않은 중기업 대상

표준 인증(101개)보다 심사 항목 수가 줄어들기 때문에, 준비 기간과 비용 부담을 낮출 수 있습니다. 다만 항목이 줄었다고 해서 인증의 법적 효력이 다른 것은 아닙니다. 동일하게 의무 이행으로 인정됩니다.

자사가 어떤 특례에 해당하는지는 매출, 이용자 수, 설비 보유 현황을 기준으로 판단해야 합니다.

인증을 받으면 무엇이 달라지나

인증서 한 장을 벽에 거는 것이 전부가 아닙니다. ISMS-P 인증은 3년 유효기간 동안 매년 사후심사를 받아야 합니다. 즉, 한 번 준비하고 끝나는 프로젝트가 아니라 지속적으로 운영되는 체계를 요구합니다.

실무적으로는 다음과 같은 변화가 생깁니다.

  • 임직원 정보보호 교육 체계 수립 의무화
  • 접근권한 관리, 취약점 점검, 침해사고 대응 절차 문서화
  • 개인정보 처리방침·위탁계약서 등 법적 문서 정비
  • 경영진의 정보보호 정책 검토 및 승인 프로세스 내재화

이 과정이 부담스럽게 느껴질 수 있습니다. 하지만 반대로 보면, 이것이 갖춰지지 않은 상태에서 유출 사고가 발생했을 때 돌아오는 리스크가 훨씬 크다는 뜻이기도 합니다.

3줄 요약

  1. ISMS-P는 정보보호와 개인정보보호 체계를 국가가 심사·인증하는 제도로, 인증기준은 101개 항목입니다.
  2. 일정 규모 이상의 정보통신서비스 사업자는 법적으로 의무 취득 대상이며, 중소기업은 간편인증 특례(62개 또는 65개 항목)를 활용할 수 있습니다.
  3. 인증은 3년 주기로 유지·갱신해야 하므로, 처음부터 운영 가능한 체계로 설계하는 것이 중요합니다.

어디서부터 시작해야 할지 모른다면, ComplixShield의 진단 도구를 통해 귀사의 현재 수준과 적용 인증기준을 먼저 확인해보시기 바랍니다. 준비 범위를 명확히 하는 것이 가장 빠른 첫걸음입니다.

기본 제도와 의무 대상이 궁금하다면

ISMS-P 개요, 대상 여부, 준비 순서를 먼저 정리하고 싶다면 ISMS-P 가이드에서 한 번에 확인할 수 있습니다.

ComplixShield

ISMS-P 준비를 엑셀과 메신저 대신 한 곳에서 관리하세요

체크리스트, 증적 예시, 정책문서 초안, 주간 보고까지 이어지는 실무형 워크플로를 ComplixShield에서 바로 시작할 수 있습니다.

101개 항목 추적정책문서 템플릿증적 관리보고서 자동화
ComplixShield 살펴보기