ISMS 인증 목적 : ISMS 기준 현실화 및 명확화에 따라 기업의 정보보호 수준을 제고하여 해킹사고발생을 예방하고 대처한다.
ISMS 인증 대상 : 전국 서비스하는 ISP(Internet Service Provider), 전년매출 100억이상인 IDC, 전년매출 100억 이상.전년 말 3개월간 페이지뷰 100만 이상인 정보통신 서비스 제공자.
ISMS 인증 과정 :
과학기술 정보통신부에서 인터넷을 통해 수익을 창출하는 기업들의 정보보호 수준 제고를 위해 제도를 정비함에 따라, ISMS 등 고시를 개정했다.
- ISMS 인증 제도 : ICT 환경 변화 및 안전진단 대상자에 대한 ISMS 인증 의무화에 따라 ISMS 기준 명확화, 현실화
- 경영진 참여 및 책임 강화
- 외부자 보안 강화
- 정보보호조직(CISO) 구성 강화
- 주요 직무자 인터넷 접속 제한 (망분리)
환경 변화 : 모바일 기기 업무 사용, 클라우드 서비스, APT/DDos(distributed denial of service) 등 공격법 지능화 및 다양화, 개인정보보호법 강화 등.
정보보호 사전점검 : 서비스 개시 이전에 사전 점검하여 계획, 설계 단계부터 정보보호를 고려한다.
정보보호조치 : 해킹사고 발생을 예방, 대응하기 위해 법을 개정한다.
- ISMS 인증 대상 확대 : 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정에 따라 인증이 의무화 되었다.
ISMS
정보보호 관리체계
: 정보보호관리에 대한 표준적 모델 및 기준을 제시하여 기업의 정보보호 관리체계 수립과 운영을 촉진하고, 기업의 정보보호를 위한 일련의 활동 등이 객관적인 인증심사 기준에 적합한지 인증기관이 인증하는 제도이다.
관리체계 부재 | 관리체계 운영 |
---|---|
부분적 보안, 일회성 관리, 산발적 대응 | 균형적 보안, 지속적 관리, 체계적 대응 |
시설, 장비, 조직, 문서, 정책 등이 각자 보안이다. | 연결된 보안이다. |
ISMS 인증제도
: 정보자산 유출 및 피해를 예방하고 대처하기 위해 기업의 ISMS가 인증심사기준에 적합한지 인증하는 제도이다.
법적 근거 :정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 47조
유효기간 :3년
(매년 1회 사후심사)
- 인증기관 :
KISA
- 인증심사원을 양성 및 관리한다.- 인증위원회 : 심사결과 심의 의결
- 인증 심사원 : 인증심사 수행
- 기업 : 인터넷을 이용하여 돈을 버는 기업.
인증
: 기업의 정보보호 관리체계가 정보보호 관리체계 인증기준에 적합함을 KISA 또는 인증기관이 증명한다.
인증심사
: 적합 여부를 KISA 또는 인증기관이 서면심사(문서로만 확인) 및 현장심사(인증원) 로 확인하는 것
기업이 새로운 인터넷 사업을 한다면 최초 심사를 받아야 한다.
정보보호 관리과정 (오름차순) : 5단계, 12개
정보보호 정책 수립 및 범위 설정 : 인터넷으로 수익을 내지 않으면 범위에 해당되지 않는다.
경영진 책임 및 조직 구성 : 임원과 직원 모두 참여하여 조직을 구성한다.
위험 관리 : 장비를 가치 순으로 줄세우고 C.I.A에 따라 분류한다.
정보보호대책 구현 : 위험 관리에서 중요한 것부터 미리 대책을 수립한다.
사후관리 : IT환경 변화에 따라 보수, 관리한다.
정보보호 대책 : 13분야, 92개
기밀성
, Integrity무결성
, Availablity가용성
에 따라 정보자산을 분류한다.기업 자율 신청 : 의무대상자가 아니더라도 신청이 가능하다.
의무대상자
기업이 의무대상 여부를 판단하여 ISMS를 구축하고 인증을 취득한다.
종류 | 설명 |
---|---|
ISP (Internet Service Provider) | 인터넷 제공자(통신사). 전국적이어야 대상이다 |
IDC (Internet Data Center) | IDC 사업자이다. 코로케이션 서비스(일부를 빌려서 제공) 기업도 대상이다. 가상IDC는 제외한다. 전년 매출이 100억 이상이어야 한다. |
정보통신서비스제공자 | 인터넷 쇼핑몰, 포털, 게임 등 매출액이 100억 이상이거나, 전년 말 3개월간 페이지 뷰 수 100만명 이상이어야 한다. |
의무대상자 미인증 시 1000만원 이하의 과태료가 발생한다.
3.4분기에는 몰리므로 의무대상자를 우선으로 처리한다.
소요 시간
인증심사 대응
경영진 각 부서별 적극 지원
인증취소 요건
인증에 대한 이해
권고대상자 : 주요 서비스를 포함하여 자율 설정이 가능하다.
의무대상자 : 선정 기준에 해당하는 정보통신 서비스와 그에 필요한 자산(서버, 시설 등)을 반드시 포함해야 한다.
사용자 패스워드 관리 : 안전한 패스워드를 사용해야 한다.
보안시스템 운영
정보자산 식별