ISMS 인증 목적 : ISMS 기준 현실화 및 명확화에 따라 기업의 정보보호 수준을 제고하여 해킹사고발생을 예방하고 대처한다.
ISMS 인증 대상 : 전국 서비스하는 ISP(Internet Service Provider), 전년매출 100억이상인 IDC, 전년매출 100억 이상.전년 말 3개월간 페이지뷰 100만 이상인 정보통신 서비스 제공자.
ISMS 인증 과정 :
기업 정보보호 환경 변화
과학기술 정보통신부에서 인터넷을 통해 수익을 창출하는 기업들의 정보보호 수준 제고를 위해 제도를 정비함에 따라, ISMS 등 고시를 개정했다.
- ISMS 인증 제도 : ICT 환경 변화 및 안전진단 대상자에 대한 ISMS 인증 의무화에 따라 ISMS 기준 명확화, 현실화
- 경영진 참여 및 책임 강화
- 외부자 보안 강화
- 정보보호조직(CISO) 구성 강화
- 주요 직무자 인터넷 접속 제한 (망분리)
-
환경 변화 : 모바일 기기 업무 사용, 클라우드 서비스, APT/DDos(distributed denial of service) 등 공격법 지능화 및 다양화, 개인정보보호법 강화 등.
-
정보보호 사전점검 : 서비스 개시 이전에 사전 점검하여 계획, 설계 단계부터 정보보호를 고려한다.
-
정보보호조치 : 해킹사고 발생을 예방, 대응하기 위해 법을 개정한다.
- 정보보호 최고책임자 지정
- 정보보호 투자 촉진
- 정보보호 현황 공개
- 모니터링, 관리용 단말 보안 강화
- 중요정보 암호화
- 정보보호 사전점검
- ISMS 인증 대상 확대 : 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정에 따라 인증이 의무화 되었다.
정보보호 관리체계 인증제도 개요
정의
ISMS
정보보호 관리체계: 정보보호관리에 대한 표준적 모델 및 기준을 제시하여 기업의 정보보호 관리체계 수립과 운영을 촉진하고, 기업의 정보보호를 위한 일련의 활동 등이 객관적인 인증심사 기준에 적합한지 인증기관이 인증하는 제도이다.
효과
| 관리체계 부재 | 관리체계 운영 |
|---|---|
| 부분적 보안, 일회성 관리, 산발적 대응 | 균형적 보안, 지속적 관리, 체계적 대응 |
| 시설, 장비, 조직, 문서, 정책 등이 각자 보안이다. | 연결된 보안이다. |
ISMS 인증제도
ISMS 인증제도: 정보자산 유출 및 피해를 예방하고 대처하기 위해 기업의 ISMS가 인증심사기준에 적합한지 인증하는 제도이다.
법적 근거 :정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 47조
유효기간 :3년(매년 1회 사후심사)
- 기업이 사설 업체 등 컨설팅을 받는다. (선택사항)
- 인증 심사원이 사전심사를 한다. 통과하지 못하면 다시 보완한다.
- 인증심사를 받는다. (인증 심사원이 수행)
- 인증위원회를 개최한다.
- 인증기관이 인증한다.
- 인증기관 :
KISA- 인증심사원을 양성 및 관리한다.- 인증위원회 : 심사결과 심의 의결
- 인증 심사원 : 인증심사 수행
- 기업 : 인터넷을 이용하여 돈을 버는 기업.
-
인증: 기업의 정보보호 관리체계가 정보보호 관리체계 인증기준에 적합함을 KISA 또는 인증기관이 증명한다. -
인증심사: 적합 여부를 KISA 또는 인증기관이 서면심사(문서로만 확인) 및 현장심사(인증원) 로 확인하는 것- 종류
- 최초심사 : 정보보호 관리체계 최초 인증을 심사한다.
- 사후심사 : 정보보호 관리체계를 유지하고 있는지 심사한다.
- 갱신심사 : 최초 취득 3년 이전에 유효기간 연장을 목적으로 심사한다.
- 종류
기업이 새로운 인터넷 사업을 한다면 최초 심사를 받아야 한다.
ISMS 인증심사 기준
-
정보보호 관리과정 (오름차순) : 5단계, 12개
-
정보보호 정책 수립 및 범위 설정 : 인터넷으로 수익을 내지 않으면 범위에 해당되지 않는다.
-
경영진 책임 및 조직 구성 : 임원과 직원 모두 참여하여 조직을 구성한다.
-
위험 관리 : 장비를 가치 순으로 줄세우고 C.I.A에 따라 분류한다.
-
정보보호대책 구현 : 위험 관리에서 중요한 것부터 미리 대책을 수립한다.
-
사후관리 : IT환경 변화에 따라 보수, 관리한다.
-
-
정보보호 대책 : 13분야, 92개
- 정보보호 정책
- 정보보호 조직
- 외부자 보안
- 정보자산 분류 : Confidentiality
기밀성, Integrity무결성, Availablity가용성에 따라 정보자산을 분류한다. - 정보보호 교육
- 인적 보안 : 출입 태그
- 물리적 보안 : cctv 사각지대
- 시스템 개발보안
- 암호통제
- 접근통제
- 운영보안
- 침해사고 관리 : 해킹 시 대처
- IT 재해복구 : 자연재해 복구 대책
ISMS 인증 준비
인증 심사 절차
-
기업 자율 신청 : 의무대상자가 아니더라도 신청이 가능하다.
-
의무대상자
기업이 의무대상 여부를 판단하여 ISMS를 구축하고 인증을 취득한다.종류 설명 ISP (Internet Service Provider) 인터넷 제공자(통신사). 전국적이어야 대상이다 IDC (Internet Data Center) IDC 사업자이다. 코로케이션 서비스(일부를 빌려서 제공) 기업도 대상이다. 가상IDC는 제외한다. 전년 매출이 100억 이상이어야 한다. 정보통신서비스제공자 인터넷 쇼핑몰, 포털, 게임 등 매출액이 100억 이상이거나, 전년 말 3개월간 페이지 뷰 수 100만명 이상이어야 한다. 의무대상자 미인증 시 1000만원 이하의 과태료가 발생한다.
3.4분기에는 몰리므로 의무대상자를 우선으로 처리한다. -
소요 시간
- ISMS 운영중인 기관 : 3개월
- 미운영 기관 : 6개월
인증 심사 시 유의사항
-
인증심사 대응
- 신청기관 스스로 ISMS의 미흡점을 찾고 개선한다.
- 신청기관이 심사원에게 ISMS가 구축, 운영되는 것을 보인다.
-
경영진 각 부서별 적극 지원
- 경영진의 참여와 관심, 의지가 중요하다.
- 독립된 정보보호 조직, CISO를 두어야 한다.
- 각 분야 별 협조가 필요하다.
-
인증취소 요건
- 부정한 방법으로 인증받은 경우
- 인증기준에 미달한 경우
- 사후관리를 거부 또는 방해한 경우
-
인증에 대한 이해
- 해킹을 완전히 막는 것이 아니라 정보보호 수준을 올리는 것이다.
- 지속적으로 인증기준을 준수한다.
인증 범위 설정
-
권고대상자 : 주요 서비스를 포함하여 자율 설정이 가능하다.
-
의무대상자 : 선정 기준에 해당하는 정보통신 서비스와 그에 필요한 자산(서버, 시설 등)을 반드시 포함해야 한다.
- 정보통신 서비스 중 매출액이 없는 경우는 대상이 아니다.
- 매출 발생 시에는 개별 서비스 매출이 100억 미만이어도 의무이다.
- 패치관리를 위한 시스템은 포함한다.
주요 결함 사례
-
사용자 패스워드 관리 : 안전한 패스워드를 사용해야 한다.
-
보안시스템 운영
- 접근 미통제
- 정책 변경절차 부재로 인한 이력 확인 불가
- 과도한 정책 허용
-
정보자산 식별
- 중요한 장비가 위험관리 대상에서 제외되지 않아야 한다.
- 정보자산의 변경 내역을 관리하지 않는 경우이다.
- 자산의 중요도 산정 기준이 없는 경우이다.
