본문
ISMS-P(个人信息保护管理体系,Personal Information & Information Security Management System)认证制度是关于验证企业信息保护管理体系是否符合认证标准的制度,认证对象为主要信息通信服务提供者、大型医院、大学等。该认证制度可预防信息资产被泄露或受损,提高信息保护水平,并引导企业管理层参与信息保护决策,从而提高责任感和信赖度。鉴于有意见指出现行认证标准的取得和维持方式对中小企业等小型企业来说确有困难,因此,自2024年7月24日起实施的快捷认证制度旨在减轻中小企业的认证和维持负担,同时缩减认证项目,从而减少了取得和维护认证所需费用。ISMS-P快捷认证制度可以从整体上提高中小企业的信息保护水平,且可以通过提升对外形象、增加公共部门投标的加分项、减免惩戒性罚款等优惠政策,增强中小企业的竞争力。
1. 背景
2. ISMS-P 认证制度(现行)
3. ISMS-P快捷认证制度(特例制度)
4. 启示
1. 背景
信息保护及个人信息保护管理体系认证(以下简称“ISMS-P”)是《信息通信网法》第47条、施行令第47条至第54条、施行规则第3条项下信息保护管理体系认证等相关告示而实行的信息保护管理体系(ISMS: Information Security Management System)与《个人信息保护法》第32条之2、施行令第34条之2、第34条之8项下个人信息保护管理体系认证等相关告示而实行的个人信息保护管理体系(PIMS:Personal Information Management System)于2018年整合后实行的认证制度。
ISMS-P有助于加强企业自主进行信息保护,预防和应对信息资产被泄露或受损。
图1:认证制度推进过程(来源:kisa ISMS-P认证制度指引)
2. ISMS-P 认证制度(现行)
3. ISMS-P快捷认证制度(特例制度)
在现行ISMS-P认证制度项下仅有中型规模以上的企业才能满足认证标准,中小企业在取得和维持认证方面确有困难,因此自2024年7月24日起,符合《促进信息通信网利用与信息保护法》第47条之7的经营者可以申请简化认证标准及认证费用等的ISMS-P认证(“快捷认证”)。
快捷认证的适用对象是m信息通信服务业务营业额不足300亿韩元的中小企业,以及m信息通信服务业务营业额超过300亿韩元的中型企业当中不拥有主要信息通信设备的企业,而在所有认证义务主体中有85家企业(约16%)可以适用快捷认证制度。但对国民生活产生密切影响的“主要信息通信服务提供者”、“集成信息通信设施经营者”、“部分上级综合医院/大学”、“金融公司”、“虚拟资产经营者”除外。
因快捷认证项下所需认证项目被缩减,认证审查手续费也相应减少至40~50%,预计认证所需的安全系统构建、组织构成、咨询费用也将随之减少。
4. 启示
ISMS-P认证并不是旨在寻求一次性权宜之计的维护措施,而旨在帮助企业建立及运营综合信息保护管理体
系以提高信息保护及个人信息保护管理水平。该认证制度可引导企业管理层直接参与信息保护决策,提高责任性和可靠性。通过快捷认证制度可以期待缓解现有小规模企业在取得认证上的负担,便于小规模企业以较小的投入预防网络威胁。
尤其是随着认证标准变得简便,认证审查手续费也比以往减少了约40~50%。此外,认证所需各项准备费用(如建立防护系统、组建信息保护组织、咨询等)预计也将减少。
* 认证手续费 : (ISMS) 800~1400万韩元 → 400~700万韩元(约节省50%)
(ISMS-P) 1000~1800万韩元 → 600~1100万韩元(约节省40%)
取得ISMS-P认证可提高对外形象、公共部门事业投标时给予加分、发生个人信息泄露时减免罚款、代替 部分上市企业的环境/社会/治理(ESG)评价项目、免除各种安全检查义务等优惠,因此即使不是义务主体,企业也有必要从自律性加强个人信息/信息保护的角度出发,关注认证及快捷认证制度。
和友律师事务所信息保护中心以长期积累的经验,为企业顾客提供最佳解决方案,且提供信息保护相关法律的解释、应对方案、信息保护技术咨询(黑客入侵诊断、防护漏洞)等综合性(All-in-One)服务。
