작성자:예현
편집자:엔시스(sis@sis.pe.kr)
안녕하세요!
저는 제가 맡고 있는 실무와 접목하여 일도 하고 팀블로그용 글도 작성해 보는 "일석이조"의 주제를 잡아보았습니다.
주제 : 정보보호관리체계인증 획득하기
이와 관련하여
-. 이 주제는 단편으로 끝나지 않고 실제 제가 몸담고 있는 회사가 정보보보관리체계인증을 획득하기 까지의 전과정을 의미합니다.
-. 위 사유로 당연 앞으로 게재될 글은 연재의 성격으로 갈 겁니다.
-. 아울러 사생활과 연관되는 각종 데이터는 가급적 가상으로 작성할 예정입니다.
우선 한국정보보호진흥원 홈페이지(kisa.or.kr)에 접속하여 관련된 필요한 정보를 찾아보았습니다. 아래는 그 정리내용입니다.
1. 정보보호관리체계(ISMS)인증이란?
| 정보통신망이용촉진및정보보호등에관한법률 제52조 정부는 정보의 안전한 유통을 위한 정보보호에 필요한 시책을 효율적으로 추진하기 위하여 한국정보보보진흥원(이하 "보호진흥원"이라 한다)을 설립한다. |
위는 한국정보보호진흥원의 설립근거로 보호진흥원의 주요사업중 하나인 정보보호관리체계-ISMS(Imformation Security Management System)인증은
정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템에 대하여 보호진흥원이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해 주는 제도 입니다.
인증대상은 정보통신망의 안정성 및 신뢰성 확보를 위하여 기술적/물리적 보호조치를 포함한 종합적인 관리체계를 수립/운영하고자 하는 기업(조직)입니다. (단 의무사항은 아니며 대상사업자가 자율적으로 신청)
인증심사의 종류는 인증심사, 갱신심사, 재심사, 사후관리심사로 구분합니다. 기본적으로 인증유효기간은 3년이며, 인증취득 후 1년에 1회 이상 사후관리심사를 받아야 합니다.
| 구분 | 내용 |
| 인증심사 | 최초로 인증을 받는 경우의 심사 |
| 갱신심사 | 인증 유효기간(3년) 만료 이전에 유효기간의 연장을 목적으로 실시하는 심사 |
| 재심사 | 인증을 받은 ISMS 범위 내에 중대한 변화가 발생하는 경우 실시하는 심사 (이때, 인증유효기간과 인증번호는 기존 인증서를 승계함) |
| 사후관리심사 | 인증 받은 기관이 ISMS를 지속적으로 유지하고 있는 지를 점검하는 심사 |
인증을 받기위해서는 수수료가 필요합니다.
| - 소프트웨어 기술과 등급별 노임단가 적용 - 인증심사수수료는 종업원수, 서버수를 고려한 심사일 수에 따라 산정됨 | |||
|
2. 인증심사기준
ISMS 인증을 받기 위해서는
① 5단계 정보보호관리과정에 따라 ISMS를 수립하고 운영해야 하며
② ISMS 수립과 운영에 관련된 사항을 관련자들이 쉽게 이용할 수 있도록 문서화해야 하고
③ 위험분석을 통해 필요한 통제사항을 선정하고 이에 해당하는 정보보호대책을 구현하고 운영해야 합니다.
5단계 정보보호관리과정은 필수항목으로
[1단계] 정보보호정책수립 : 정보보호정책 수립 단계에서는 조직 전반에 걸친 상위 수준의 정보보호정책을 수립하고 정보보호를 수행하기 위한 조직 내 각 부분의 책임을 설정한다
[2단계] 관리체계범위설정 : 정보보보관리체계 범위를 설정하고 범위 내의 정보자산을 식별하여 범위를 명확히 한다.
[3단계] 위험관리 : 조직 문화와 정보자산에 적절한 위험관리 전략과 기획을 수립한다.이에 따라 위험을 분석하고 평가하여 대응에 필요한 위험과 우선 순위를 결정한다. 위험을 수용가능한 수준으로 감소시키기 위해 필요한 정보보호대책을 택하고 이들을 구현할 계획을 수립한다.
[4단계] 구현 : 위험관리 단계에서 수립된 정보보 계획에 따라 정보보호 대책을 효과적으로 구현하고 필요한 교육과 훈련을 진행한다
[5단계] 사후관리 : 정보보호관리체계를 운영하는 과정에서 상시적인 모니터링을 수행하고 또한 정기적인 내부감사를 통해 정책 준수 상황을 확인한다. 이러한 결과에 기초하여 정보보호관리체계를 재검토하고 관리 체계를 개선한다.
이 관리 과정은 일회적인 단계가 아니라 지속적으로 유지 관리되는 순환 주기의 형태를 가진다.
문서화 요구사항도 필수항목으로 아래와 같습니다.
| 문서화 | ||||||||||||||
 문서요건 : 정보보호관리체계 수립 및 이행 관련 내용의 문서화 | ||||||||||||||
| 문서의 통제 : 문서 관리의 통제를 정의한 절차 수립 및 이행 | ||||||||||||||
| 운영기록의 통제 : 정보보호관리체계 운영 기록 절차 수립 및 유지관 | ||||||||||||||
| 인증심사를 위해 요구되는 문서 | ||||||||||||||
정보보호관리체계와 관련이 있는 주요 문서 목록 및 실무지침, 증적자료 등 |
정보보호대책 요구사항은 선택항목으로 15개 통제분야에 대하여 120개 통제사항을 제시하고 있습니다.
| 통제분야 | 세부통제사항 | 통제사항 수 |
| 1. 정보보호 정책 | 정책의 승인 및 공표, 정책의 체계, 정책의 유지관리 | 5 |
| 2. 정보보호 조직 | 조직의 체계, 책임과 역할 | 4 |
| 3. 외부자 보안 | 계약 및 서비스 수준협약, 외부자 보안 | 4 |
| 4. 정보자산 분류 | 정보자산의 조사 및 책임할당, 정보자산의 분류 및 취급 | 4 |
| 5. 정보보호 교육 및 훈련 | 교육 및 훈련프로그램 수립, 교육훈련의 시행 및 평가 | 4 |
| 6. 인적보안 | 책임할당 및 규정화, 직원의 적격 심사, 주요직무 담당자 관리, 비밀유지 | 5 |
| 7. 물리적 보안 | 물리적 보호구역, 물리적 접근통제, 데이터 센터 보안, 장비보호, 사무실 보호 |
12 |
| 8. 시스템개발 보안 | 분석 및 설계, 구현 및 이행, 변경관리 | 13 |
| 9. 암호통제 | 암호정책, 암호사용, 키관리 | 3 |
| 10. 접근통제 | 접근통제 정책, 사용자 접근 관리, 접근통제 영역 | 14 |
| 11. 운영관리 | 운영절차와 책임, 시스템 운영, 네트워크 운영 및 문서 관리, 악성소프트웨어 통제, 원격 컴퓨터 및 원격 작업 |
22 |
| 12. 전자거래 보안 | 교환합의서, 전자거래, 전자우편, 공개서버의 보안관리, 이용자 공지사항 | 5 |
| 13. 보안사고 관리 | 대응계획 및 체계, 대응 및 복구, 사후관리 | 7 |
| 14. 검토, 모니터링 및 감사 |
법적 요구사항 준수 검토, 정보보호정책 및 대책 준수 검토, 모니터링, 보안감사 |
11 |
| 15. 업무연속성 관리 | 업무연속성 관리체계 수립, 업무연속성 계획 수립과 구현, 업무연속성 계획 시험 및 유지관리 |
7 |
3. 인증절차 기본흐름
인증을 신청한 기관이 인증심사 신청을 하고 인증서 발급을 받기까지는 약 3개월이 소요됩 니다. 인증심사는 기술심사와 문서심사로 구분되면 기본적으로 하루 4명의 심사위원이 참여하여 심사를 진행합니다. 인증심사에서 발견된 결함사항에 대해서는 신청기관이 보완조치를 할 수 있도록 한달 간의 시간을 주며 보완조치가 완료된 후 인증위원회를 개최하여 심사결과에 대한 최종심의를 한 후 인증여부를 결정하게 됩니다.
이상으로 한국정보보호진흥원에서 운영하는 정보보호관리체계인증에 대한 개요를 알아보았습니다.
다음시간에는 "정보보호관리체계 인증 모법사례집"을 통해 정보보호관리체계를 처음 수립하면서 수행해야 할 정보보호 활동, 구축하면서 놓치고 가서는 안 될 고려사항, 그리고 기 구축한 관리체계를 개선하기 위한 활등 등에 대해 요약 정리해 보고자 합니다.
본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..
****************************************************************************************************
