ISMS-P의 이해

---

📘 ISMS-P 시험 대비 요약 노트

“ISMS-P는 체계다! 외우기보다 흐름을 이해하라 🔁”

---

🧩 1. ISMS-P 개요

구분	내용
정식 명칭	Information Security Management System – Personal information
주관기관	한국인터넷진흥원(KISA)
구성	ISMS(정보보호 관리체계) + PIMS(개인정보보호 관리체계)
목적	조직의 정보보호 및 개인정보보호 관리 수준을 국가가 인증
인증 유효기간	3년 (매년 사후심사 필수)

🔑 핵심 개념

ISMS: 정보보호 관리체계
PIMS: 개인정보보호 관리체계
→ 통합 관리체계 = ISMS-P

---

🧱 2. 구성 체계

구분	분야 수	항목 수	주요 내용
관리체계 수립 및 운영	4	12	정책, 위험관리, 내부감사, 개선
보호대책 요구사항(ISMS)	10	64	인적·물리적·기술적 보안
개인정보보호 요구사항(PIMS)	4	26	수집, 이용, 제공, 파기 등
총합	18 분야	102 항목

💡 암기 팁

4 + 10 + 4 = 18 분야
12 + 64 + 26 = 102개 항목

---

🧭 3. PDCA 사이클 핵심 이해

단계	의미	주요 활동
Plan (계획)	정책 수립 및 위험 분석	정책, 범위, 위험관리 계획
Do (실행)	보호대책 이행	인적·기술적 보호조치
Check (점검)	내부 감사 및 개선점 확인	감사, 이행점검, 평가
Act (조치)	지속적 개선	보완조치, 개선계획 수립

🧠 시험 포인트

ISMS-P는 PDCA 사이클 기반!
각 단계의 대표 활동 구분 문제 자주 출제 ⚡

---

🔐 4. ISMS 주요 보호대책

구분	핵심 항목	키워드
인적보안	보안 교육, 인식제고	내부자 유출 방지
물리보안	출입통제, CCTV, 문서보안	시설 접근 관리
기술보안	접근통제, 암호화, 백업, 로그관리	시스템/네트워크 보호
운영보안	취약점 점검, 변경관리	지속적 관리

🧠 자주 나오는 질문

• 암호화 대상: 개인정보, 인증정보

• 접근통제 방식: 최소권한, 분리관리

---

🧾 5. 개인정보보호(PIMS) 요구사항

구분	주요 내용	예시
수집	최소수집, 동의 절차	불필요한 정보 수집 금지
이용 및 제공	목적 외 이용 금지	제3자 제공 시 동의 필수
위탁 관리	계약서, 관리감독	위탁업체 보안점검
보유 및 파기	보유기간 관리, 즉시 파기	불필요 시 즉시 삭제

📌 핵심 원칙

최소수집 → 목적 내 이용 → 안전보관 → 완전파기

---

⚙️ 6. 인증 절차 요약

단계	주요 활동	포인트
1단계	사전 준비	현황 진단, 문서정비
2단계	인증 신청	KISA에 신청
3단계	본심사	서류 + 현장심사
4단계	인증 부여	유효기간 3년
5단계	사후심사	매년 점검 및 보완

🧠 암기 포인트

신청 → 심사 → 인증 → 유지 순서 중요

---

🎯 7. 시험 출제 포인트 TOP 5

순위	주제	포인트
1	PDCA 사이클	각 단계별 활동 구분
2	통제항목 수	102개 항목
3	위험관리 절차	식별 → 분석 → 평가 → 대응
4	개인정보 수명주기	수집 → 이용 → 보관 → 파기
5	접근통제 정책	최소권한, 분리관리, 로그관리

---

💡 8. 실무자 팁

• 📋 문서보다 실제 운영 증빙이 중요 (로그, 기록 등)

• 🔄 인증은 1회성 아님 → 지속 개선 필수

• 👥 내부 직원 보안교육은 매년 1회 이상

• 🧾 로그는 최소 6개월 이상 보관

---

✅ 마지막 한 줄 정리

ISMS-P는 “정책 + 실행 + 증빙”

시험에서는 체계의 흐름(PDCA), 실무에서는 운영의 일관성이 핵심이다.

---