한국인터넷진흥원 기업보안관리팀 [email protected] · pdf fileinformation security...
TRANSCRIPT
한국인터넷진흥원 / 기업보안관리팀[email protected]
Information Security Management System
1. ISMS 란?
2. ISMS 인증 제도
3. ISMS 인증 심사 기준
4. ISMS 인증 절차
5. ISMS 추진현황
6. ISMS 홍보 자료
Information Security Management System
1.1 정보보호관리체계란?
1. ISMS란?
조직의 주요 정보자산을 보호하기 위해 정보보호관리 절차와 과정을 체계적으로 수립하여
지속적으로 관리ㆍ운영하기 위한 종합적인 체계
(Information Security Management System)ISMS
관리체계 운영
<보안수준>
Integrated
평가수준
<보안수준>
ㆍ 부분적 보안ㆍ 일회성 관리 ㆍ 산발적 대응
관리체계 부재
평가수준
ㆍ 균형적 보안 ㆍ 지속적 관리 ㆍ 체계적 대응
조직
시설 정책 시설 정책
조직
장비 문서 장비 문서
Islanded
Information Security Management System
1. ISMS란?(계속)
새로운 취약성의 증가신규자산의 증가새로운 보안위협의 증가
지속적인 정보보호관리 없이는 위험의 GAP이 점점 커짐
보안수준
시간
정보보호 컨설팅
지속적인 관리방안의 부족
위험의 GAP
보안위험
보안위험 보안수준
ISMS 수립 필요
1.2 지속적인 정보보호 관리의 필요성
Information Security Management System
2. ISMS 인증 제도
2.1 목적
침해사고가 지능화, 고도화됨에 따라 예방중심의 체계적이고 지속적인
관리적, 기술적, 물리적 정보보호대책을 수립 및 유지
2.1 목적
2.2 인증 제도 도입 배경
단순 일회성, 단편적 보호대책 중심에서 관리적, 기술적 보호대책을 종합한
보안관리체계의 중요성이 대두됨에 따른 정보보호 관리 모델 필요
규제중심에서 기업 스스로 높은 수준의 보호조치를 취할 수 있는 정보보호
관리체계 인증 제도 도입[’02년 7월]
※ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조
Information Security Management System
2.3 인증이 필요한 기업(조직)2.3 인증 필요 기업
2. ISMS 인증 제도(계속)
ISMS인증필요
외부평가 대상 기업 고객정보 아웃소싱 기업
중요자산 취급분야입찰 참여 기업
국가 또는 민간기업 조달 등
입찰에 참가하는 기업
IT 경영평가, 신용평가, 회계감사 등
외부로부터 정보보호 관련 평가를
받아야 하는 기업
국가기관 또는 기업의 정보
시스템 등 주요고객정보를
위탁관리 운영하는 기업
금융 : 계좌, 거래정보
교육 : 학사정보
의료 : 진료정보
통신 : 고객정보
포털 : 회원정보
기타 : 산업 기술 정보 등
Information Security Management System
2. ISMS 인증 제도(계속)
구 분 시 행 기 관 세 부 혜 택 내 용
가산점 부여
지식경제부
소프트웨어 기술성 평가기준(지식경제부고시 제2010-53호)
※ 적용대상 : 공공부문 정보시스템 기획ㆍ구축ㆍ운영 사업자, SW개발 사업자 등
※ 혜 택 : 기술입찰서, 계약이행능력 심사, 제안서 등 평가항목(기밀보안)에
ISMS 인증 취득 시 만점 부여
KISA 정보보호大賞, 입찰, 과제선정 평가 시 인증 취득 기업에 가점 부여
신용평가 기관 한국신용평가정보 등의 경우 기업신용평가 시 가점 5점 부여
보험료 할인 보험사
정보보호관련 보험(개인정보보호배상책임보험 등) 가입 시 보험료 할인
(AIG, LIG, 그린손해본험, 동부화재, 롯데손해보험, 메리츠화재, 삼성화재, 제일화재, 한화손해보험, 현대해상, 흥국화재)
면제 방송통신위원회인증을 받은 당해년도 안전진단 면제
(정보통신망법 제46조의 3)
권고
교육과학기술부 정보시스템 보안 설비 기준 만족으로 인정
국토해양부유비쿼터스도시기반시설에 대하여 ISMS 인증 취득 권고
(유비쿼터스의 건설 등에 관한 법률 제22조)
ISMS 인증
수수료 할인KISA
정보보호 大賞 수상 기업의 경우 할인
(대상․우수상․특별상, 100-50% 할인)
소규모 기업의 경우 할인
(상시 근로자 수 50명 미만 또는 매출액 50억 미만, 50% 할인)
2.4 인증 취득에 따른 혜택
Information Security Management System
2. ISMS 인증 제도(계속)
2.5 인증 범위 선정
2.5 인증 범위 선정2.6 인증심사원 구성 및 심사일수
조직 전체 또는 조직 단위별, 지역별, 시스템별로 구분된 일부를 인증받을
수 있음(신청기관의 주요 정보자산 중심으로 설정 가능)
인증심사원 4명~5명으로 구성(내부심사원 + 외부심사원)
※ 필요 시 시스템 및 네트워크 취약성 점검을 위한 보안전문가 활용
심사일수(평균 최초심사 : 5일, 사후관리심사 : 3일)
Information Security Management System
2. ISMS 인증 제도(계속)
(참고) 인증심사 평균 수수료 : 약 7백 만원
구 분 사용자 수 서버 대수 수수료 (원)
최대 수수료 8,000명 이상 51대 이상 21,340,000
최소 수수료 5명 이하 2대 이하 3,550,000
2.7 인증 심사 수수료 기준
소프트웨어 기술자 등급별 노임단가 적용
※ 서울신용평가, 한국기업평가, 한국신용정보는 현재 협의 중
심사일수 계산방법
※ 사용자 수에 따른 심사일 수 + 서버 급 컴퓨터 수에 따른 심사 일수
인증심사 수수료
※ 신청비 + (심사일수 x 노임단가) + 직접경비
Information Security Management System
2. ISMS 인증 제도(계속)
2.8 인증 추진 체계
인증위원회
인증심사결과 심의
인증취소의 타당성 심의
학계, 연구기관 등 관련
전문가 5인 이상
10명 이내로 구성
인증심사원 풀
인증 심사 지원
각 분야별 외부 전문가로
구성(223명)
방송통신위원회
법, 제도 개선 및 정책 결정
ㅁ
인증심사 신청 접수
인증심사 기준, 지침 개발
인증 활성화 및 제도 개선
인증서 발급 및 관리
인증위원회 및 인증심사원 풀 운영
기술자문 및 상담
인증심사 및 사후관리 등
인증기관(KISA)
Information Security Management System
3. ISMS 인증 심사 기준
정보보호관리체계 인증심사 기준(방통위고시, TTA표준)
정보보호 대책(15분야, 120개 통제사항)
정보보호 관리과정(5단계, 14개 통제사항)
문서화(3개 통제사항)
문서의 요건
문서의 통제
운영기록의 통제
정보보호 정책 수립
관리체계 범위설정
위험관리
구현
사후관리
13
정보보호 정책
정보보호 조직
외부자 보안
정보자산 분류
정보보호 교육 및 훈련
인적 보안
물리적 보안
시스템개발 보안
암호 통제
접근 통제
운영관리
전자거래 보안
보안사고 관리
검토ㆍ모니터링ㆍ감사
업무 연속성 관리
통제분야 통제사항 수 세부 통제사항 수
정보보호 관리과정 14 47
문서화 3 3
정보보호 대책 120 396
소계 137 446
3.1 구성 요소(1/2)
Information Security Management System
3. ISMS 인증 심사 기준(계속)
통제분야 통제내용 통제사항 수 세부 통제사항 수
정보보호
관리과정
1 . 정 보 보 호 정 책 수 립 2 7
2 . 관 리 체 계 범 위 설 정 2 4
3 . 위 험 관 리 5 19
4 . 구 현 2 7
5 . 사 후 관 리 3 10
소 계 14 47
문서화
1 . 문 서 요 건 1 1
2 . 문 서 의 통 제 1 1
3 . 운 영 기 록 의 통 제 1 1
소 계 3 3
정보보호 대책
1 . 정 보 보 호 정 책 5 10
2 . 정 보 보 호 조 직 4 11
3 . 외 부 자 보 안 4 8
4 . 정 보 자 산 분 류 4 7
5 . 정 보 보 호 교 육 및 훈 련 4 14
6 . 인 적 보 안 5 18
7 . 물 리 적 보 안 12 36
8 . 시 스 템 개 발 보 안 13 53
9 . 암 호 통 제 3 6
1 0 . 접 근 통 제 14 38
1 1 . 운 영 관 리 22 99
1 2 . 전 자 거 래 보 안 5 21
1 3 . 보 안 사 고 관 리 7 20
1 4 . 검 토 , 모 니 터 링 및 감 사 11 37
1 5 . 업 무 연 속 성 관 리 7 18
소 계 120 396
3.1 구성 요소(2/2)
Information Security Management System
3. ISMS 인증 심사 기준(계속)
모니터링 및 개선
정보보호관리체계의 재검토
내부감사
정보보호 교육 및 훈련
정보보호대책의 효과적 구현
정보보호관리체계 범위설정
정보보호정책의 수립
정보보호관리과정
위험분석
위험관리전략 및 계획 수립
위험평가정보보호대책 선택
정보보호 계획 수립
정보자산의 식별
조직 및 책임의 설정
사후관리
구현
정보보호정책수립
위험관리
관리체계범위설정
3.2 정보보호 관리과정(5단계,14개 통제사항)
Information Security Management System
3. ISMS 인증 심사 기준(계속)
문서화
문서요건 : 정보보호관리체계 수립 및 이행 관련 내용의 문서화
문서의 통제 : 문서관리의 통제를 정의한 절차수립 및 이행
운영기록의 통제 : 정보보호관리체계 운영 기록 절차수립 및 유지관리
3.3 문서화 요구사항(3개 통제사항)
인증심사를 위해 요구되는 문서
정보보호 정책서
위험분석 평가보고서
정보보호 계획서
정보보호 대책 명세서
정보보호관리체계 내부감사 결과보고서
주요정보통신설비의 목록과 시스템 구성도
정보보호관리체계와 관련이 있는 주요문서목록 및 실무지침, 증적 자료 등
Information Security Management System
3. ISMS 인증 심사 기준(계속)
운영적/기술적 통제
조직적/관리적 통제
조직적/관리적 통제
정보보호 대책(15개 분야, 120개 통제사항)
운영관리
정보보호 정책
전자거래 보안
정보보호 조직
업무 연속성 관리
외부자 보안
정보자산 분류
암호 통제
접근 통제
물리적 보안
시스템개발 보안
정보보호 교육 및 훈련
인적 보안
보안사고 관리
검토 ㆍ 모니터링 ㆍ 감사
3.4 정보보호 대책(15개 분야, 120개 통제사항)
Information Security Management System
4. ISMS 인증 절차
19
인증심사팀
⑦ 인증심사결과심의ㆍ의결 요청
⑧ 심의ㆍ의결결과
통보
인증신청기관
① 인증심사 신청
② 사전심사 및 계약
③ 인증심사팀
구성
⑥ 인증심사결과보고서 제출
인증기관인증위원회④ 인증심사
⑤ 보완조치결과통보
① 인증심사 신청 ② 사전심사 및 계약 ③ 인증심사팀 구성 ④ 인증심사 ⑤ 보완조치결과 통보
⑥ 인증심사 결과보고서 제출 ⑦ 인증심사결과 심의ㆍ의결 요청 ⑧ 심의ㆍ의결결과 통보 ⑨ 인증서 발급
4.1 인증 절차 흐름도
⑨ 인증서 발급
Information Security Management System
4. ISMS 인증 절차(계속)
4.2 인증 심사 절차 세부내용
심사보고서 작성
인증위원회 심의 ㆍ 의결
심사결과의 통보
인증서 교부
사후관리심사
재심사 및 갱신심사
심사결과보고서 작성 및 제출
인증위원회의 심사결과 검토 ㆍ 심의
인증결과 통보
인증서 유효기간 : 3년
인증의 유지 상태 주기적 확인 : 매년 1회
최초심사 후 인증범위 등에 변경이 있는 경우 유효기간 만료 시
서면심사
기술심사
신청 및 접수
인증심사 계약
제출 문서의 검토 및 확인
심사원간의 문서심사의 문제점 공유
네트워크 및 시스템 취약점 점검 등
심사기준에 따른 심사(CHECKLIST)
위험 분석 결과 및 확인
관련 증적 자료 및 문서 확인
보호대책 수립 및 구현 이행 여부 확인
연장 이행 점검 및 관계자 면담
신청기관과의 심사결과에 대한 확인
신청서류의 접수 및 보완요청
인증심사 계획의 협의 및 통보
준비단계
심사단계
인증단계
사후관리단계
Information Security Management System
신청인의 정보보호관리체계가 인증심사기준에 규정된 요구사항을 충족하지
못하는 사항이 발견되고 있으며 발견된 문제점이 정보보호관리체계에 중대한
영향을 미치는 사항
신청인의 정보보호관리체계가 인증심사기준에 규정된 요구사항을 충족하지
못하는 사항이 발견되고 있으나 발견된 문제점이 정보보호관리체계에 중대한
영향을 미치는 않는 사항
중결함
결 함
4. ISMS 인증 절차(계속)
4.3 인증 심사 지적 사항의 유형
Information Security Management System
4. ISMS 인증 절차(계속)
최초심사 사후관리 사후관리 갱신심사
재심사
종 류 내 용
최초심사 정보보호관리체계 인증 취득을 위한 심사
재심사 인증을 받은 정보보호관리체계의 범위 내에서 중대한 변경이 발생한 경우의 심사
사후관리정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상)
갱신심사 유효기간(3년) 만료일 이전에 유효기간 연장을 목적으로 하는 심사
4.4 인증 심사 종류 및 주기
Information Security Management System
5. ISMS 추진현황
2010년 ISMS 인증서 발급 88건 발급
연 도 2002 2003 2004 2005 2006 2007 2008 2009 2010 합 계
ISMS 1 6 18 9 4 8 12 19 11 88
5.1 인증서 발급현황(2009.12 기준)(1/2)
정보보호업체
24%
ISP/IDC
24%
금융/보험업
8%인터넷쇼핑몰/포털
6%
학교(교육)
19%
의료/항공운송
3%
기타
16%
정보보호업체
ISP/IDC
금융/보험업
인터넷쇼핑몰/포털
학교(교육)
의료/항공운송
기타
Information Security Management System
5. ISMS 추진현황(계속)
0
10
20
30
40
50
60
70
80
90
2002 2003 2004 2005 2006 2007 2008 2009 2010연도
누적
신규
연도 발급건수 누적건수
2002 1 1
2003 6 7
2004 18 25
2005 9 34
2006 4 38
2007 8 46
2008 12 58
2009 19 77
2010 11 88
합 계 88
5.1 인증서 발급현황(2010.12 기준)(2/2)
Information Security Management System
5. ISMS 추진현황(계속)
업 체 인 증 효 과
N사(은행) ISMS 인증을 계기로 정보보호조직 구성의 발판 마련
K사(IDC)모든 임직원의 정보보호 마인드의 확연한 변화 및 정보보호 활동을 자체적으로
수행할 수 있는 자생력 확보 , 고객 신뢰성 제고 및 기업 이미지 제고
K사(통신)정보자산에 대한 체계적인 보안관리로 보안사고 최소화 ,
정보보호수준 향상 및 정보보호관리 절차를 정착시킬 수 있는 환경 조성
정보보호컨설팅
전문업체자사 ISMS 컨설팅 방법론 검증으로 고객 신뢰감 향상
H그룹 (항공, 운송)
ISMS 수립 시작부터 마무리까지 TFT 구성을 통한 자체 수립을 통해 자체 보안
관리체계 수립 방법 습득 및 능력 배양, 기업 이미지 제고를 통한 매출 증대,
침해사고 시 최고경영진의 책임에 대한 문제 고려(배상금 등)
5.2 인증 취득 업체(고객의 소리)
Information Security Management System
6. ISMS 홍보 자료
6.1 지하철 홍보
Information Security Management System
6. ISMS 홍보 자료(계속)
6.2 홍보 브로슈어
Information Security Management System
6. ISMS 홍보 자료(계속)
6.3 모범 사례집
Information Security Management System
6. ISMS 홍보 자료(계속)
6.4 관리과정 가이드 플래시
Information Security Management System
6. ISMS 홍보 자료(계속)
6.4 인증 취득 업체 인터뷰 플래시
Information Security Management System