Notice
Recent Posts
Recent Comments
Today
Total
03-29 01:50
Archives
관리 메뉴

Jeongchul Kim

정보 보안 실무 07-2 정보보호 관리체계(ISMS) 인증제도 본문

정보 보안 실무

정보 보안 실무 07-2 정보보호 관리체계(ISMS) 인증제도

김 정출 2016. 4. 17. 20:53


정보 보안 실무 07-2 정보보호 관리체계(ISMS) 인증제도



정보호호 관리체계(ISMS) 인증제도

1. ISMS의 의미

정보보호 관리체계(ISMS) 인증제도

먼저, ISMS의 의미에 대해 살펴보겠습니다. ISMS란 조직에서 비즈니스의 연속성 확보를 위하여 각종 위협으로부터 정보자산을 보호하기 위한 위험관리 기반의 체계적이고 지속적인 프로세스 개선 활동을 뜻합니다. 관리체계를 갖추지 않은 경우에는 조직이나 문서관리, 정책이 제대로 수립되지 않는 등 부분적 보안, 일회성 관리, 산발적 대응이 될 수 밖에 없습니다. 이에 정보보호 관리체계 수립을 통해 조직의 시설, 장비, 자산, 정책 등 보안수준이 미흡했던 여러 분야의 정보보호 수준을 일정 수준까지 끌어올려 균형적 보안, 지속적 관리, 체계적인 대응이 될 수 있도록 할 수 있습니다.


정보보호의 필요성을 인식하고, 정보보호 수준을 제고하기 위해서 많은 기업들이 정보보호 컨설팅을 수행하게 됩니다. 그러나 문제는 지속적인 운영 및 관리가 없다면 새롭게 발생하는 각종 위협들로부터 더 이상 안전하지 못하여 보안 수준과 보안 위협의 GAP은 점점 커지게 됩니다. 따라서 ISMS는 구축 뿐만 아니라 지속적인 관리를 필수로 하고 있기 때문에 반드시 필요합니다.


2. ISMS 제도

ISMS 인증제도는 침해사고가 지능화되고 고도화 되면서 그 필요성이 부각되었습니다.


기존의 정보보호관리체계는 사후대응관점의 조치가 강하여 소 잃고 외양간 고친다는 소리를 많이 들었는데요. 이러한 부족한 부분들을 채우기 위해 예방 중심으로 보다 체계적이고 지속적인 보안 운영이 가능하도록 관리적, 기술적, 물리적인 정보보호 활동을 가능하게끔 가이드하고, 보다 현실적인 대책을 수립하고, 지속 유지해나갈 수 있도록 지원하는 목적으로 기획 되었습니다.


이 제도는 단순 일회성, 단편적 보호대책 중심에서 관리적, 기술적 보호대책을 종합한 정보보호 관리 모델을 추구하며, 규제중심이 아닌 기업 스스로 높은 수준의 보안수준을 유지할 수 있도록 정보보호 관리체계 인증제도를 도입하는 것을 목표로 하고 있습니다.

이러한 내용은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조에 근거하고 있습니다.

ISMS 인증이 필요한 분야는 다음과 같습니다. 국가, 민간 기업 조달 등 입찰에 참가하는 기업, 금융, 교육, 의료, 통신, 포털 등의 중요자산 취급분야와  IT 경영평가, 신용평가, 회계감사 등 외부로부터 정보보호 관련 평가를 받아야 하는 외부평가 대상기업, 그리고 국가기관 또는 기업의 정보시스템 등 주요고객정보를 위탁관리 운영하는 고객정보 아웃소싱 기업 등은 ISMS의 인증이 필요합니다.


인증제도의 효과는 다음과 같습니다. 광범위하고 효율적인 정보보호 대책 개발이 가능하고 자신의 정보보호 수준에 관해 객관적인 심사를 통해 더 높은 신뢰를 가질 수 있고 위험관리 체계를 유지하고 적절한 통제를 구현하여 정보보호 사고와 피해 발생을 감소시켜 사고로부터 조직의 가치를 보호할 수 있습니다. 또한 기업의 입찰참여나 신용도 평가 시 가산점 획득 등의 혜택이 있습니다. 많은 혜택이 있지만, 무엇보다 인증 취득 후 얻을 수 있는 큰 혜택은 조직이 자발적이고, 자체적으로 지속적인 보안수준 향상을 위한 활동의 기반을 마련할 수 있다는 것에 가장 큰 의의를 둘 수 있습니다.


ISMS인증을 획득하고 유지하기 위해서는 PDCA Cycle에 따른 보안활동이 이루어져야 하는데요. PDCA(피디씨에이)는 Plan – Do – Check – Act 로 관리체계 수립 후, 이행하고, 점검하고, 개선하는 일련의 활동을 지속해야만 인증의 효력이 지속될 수 있기 때문입니다


ISMS 인증 시 어떤 혜택이 있는지 확인해 봅시다. 인증제도의 효과는 다음과 같습니다. 광범위하고 효율적인 정보보호 대책 개발이 가능하고 자신의 정보보호 수준에 관해 객관적인 심사를 통해 더 높은 신뢰를 가질 수 있고 위험관리 체계를 유지하고

적절한 통제를 구현하여 정보보호 사고와 피해 발생을 감소시켜 사고로부터 조직의 가치를 보호할 수 있습니다. 또한 상장기업 대상의 ESG 평가 시 소비자항목에 가산점 획득 등의 혜택이 있습니다. 그리고 정보보호와 관련하여 보험에 가입 시 할인 혜택도 있습니다.


자율신청기업은 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계를 수립·운영하고 있는 자를 말하는데요. 정보보호 관리체계 구축 및 운영하는 기업 중 인증 취득을 희망하는 경우 자율적으로 신청하여 인증심사를 받으면 됩니다. 이 때, 의료, 교육 등 모든 산업 분야에서 신청 및 인증심사가 가능합니다.


의무대상자는 정보통신서비스제공자입니다. 그 중에서도 정보통신망서비스를 제공하는 자이거나 직접정보통신시설 사업자, 그리고 연간 매출액 또는 이용자 수가 대통령령으로 정하는 기준에 해당하는 자는 필수적으로 정보보호 관리체계 인증을 취득해야 합니다. 2014년 현재 대통령령으로 정하는 기준은 정보통신서비스 매출액 100억 원 이상, 일일 평균 이용자수가 100만 명 이상인 경우가

해당됩니다.


ISMS 인증 범위 설정 시 ‘ISMS인증 권고 대상자’들은 조직 전체 또는 조직 단위별, 지역별, 시스템별로 구분된 일부를 인증 받을 수있는데요. 신청기관의 주요 정보자산을 중심으로 설정이 가능하고, ISMS인증 의무 대상자들은 정보통신 서비스와 서비스 제공을 위해 필요한 정보자산을 식별하여 반드시 포함하도록 설정해야 합니다.

정보자산을 식별할 때 자산의 형태, 소유자, 관리자, 특성 등이 고려되어야 원활하게 진행될 수 있습니다.

정보보호 관리체계 인증심사는 최초심사, 사후관리, 갱신심사로 이루어집니다. 최초심사는 기업이나 기관이 최초로 인증을 신청한 경우로 정보보호 관리체계 인증 획득을 위한 심사이며, 재심사는 인증을 받은 정보보호 관리체계의 범위 내에서 중대한 변경이 발생한 경우 재심사를 진행하게 됩니다. 또한 사후관리 심사는 정보보호 관리체계를 지속적으로 유지하고 있는지에 대한 심사이고,  갱신심사는 유효기간 만료일 이전에 유효기간을 연장하기 위한 심사입니다.


ISMS 관련 사이트

http://isms.kisa.or.kr/kor/intro/intro01.jsp



Comments