<4D F736F F D204954B1E2C8B9BDC3B8AEC1EE2DC0E5BBF3BCF6>

Size: px

Start display at page:

Download "<4D F736F F D204954B1E2C8B9BDC3B8AEC1EE2DC0E5BBF3BCF6>"

충민 당
4 years ago
Views:

1 국내외정보보호관리체계인증에관한연구동향분석 장상수 KISA 한국인터넷진흥원보안관리팀장 1. 개요 2. 국내외정보보호관리체계연구 3. 결언 1. 개요최근 IT 융ㆍ복합환경의급속한변화로인해개인정보및기업정보등정보자산에대한위협및취약성을어느때보다매우심각하게인식하게되었다. 이에대한적절한위험관리활동이필요하며, 이를위해조직에서정보자산을보호하고조직경쟁력을강화하기위한수단으로정보보호관리프로세스개선활동의하나로정보보호관리체계구축및운용에지속적인노력을기울이게되었다. 왜냐하면정보자산의가치는조직의발전과연속성을결정할수있는중요한요소이며, 이러한중요정보자산에대한지속적이고체계적이며종합적인정보보호관리체계운용만이조직의손실을최소화하고경쟁우위를확보하게하여대외신뢰도및조직의가치를높일수있는수단이되기때문이다. 최근에는이러한조직의비즈니스연속성확보뿐만아니라 2009 년 7.7 DDoS(Distribute Denial of Service) 공격과같이매우지능화되고있는침해사고에효율적으로대응하기위해서는제품중심의기술적대응에한계가있다는것을국가나조직의정보보호담당자모두가인식하고정보보호관리체계구축에대한관심이높아지고있다. 또한, 이런사이버공격에능동적이고선제적으로대응하고침해사고에대해사전적예방을위해서국내외적으로정보보호관리체계도입을제도화하고있다. 국내외에서적용하고있는정보보호관리체계로는 ISO27001(Information security management systems Requirements), NIST SP800-39(Managing Risk from Information * 본내용과관련된사항은 KISA 보안관리팀장상수팀장 ( ) 에게문의하시기바랍니다. ** 본내용은필자의주관적인의견이며 NIPA 의공식적인입장이아님을밝힙니다. 13

2 주간기술동향 Systems An Organizational Perspective), KISA ISMS(Korea Internet & Security Agency Information Security Management System, 정보보호관리체계 ), PIMS(Personal Information Management System, 개인정보보호관리체계 ), G-ISMS(Government-Information Security Management System, 전자정부정보보호관리체계 ), ISCS(Information Security Check Service, 정보보호안전진단 ), CIIP(Critical Information Infrastructure Protection, 주요정보통신기반시설취약점분석ㆍ평가 ) 등에대해시행해오고있지만, 정보보호특성상성과나효과로나타내기에는어려움이있다. 본고에서는현재의정보보호관리체계인 ISO27001, NIST SP800-39, KISA ISMS, PIMS, G-ISMS, ISCS, CIIP 등에대한동향분석을통해국내에적용하는제도가올바른방향으로정착되고제도가목표하는조직의정보보호수준제고에획기적으로기여하도록하는한편, 정보보호관리노력의방향과성과향상방법을찾기위한기준을제시하여경영성과차원에서효과적인정보보호투자와의사결정을하는데도움을주고자하였다. 2. 국내외정보보호관리체계연구 가. 1 ISO27001 (1) 개요국제표준화기구 ISO(International Organization for Standardization) 와 IEC(International Electrotechnical Commission) 는연합위원회 (Joint Technical Committee) 를구성하여 2005 년에 ISMS 에대한국제표준인 ISO/IEC27001 과 ISO/IEC27002(Code of practice for information security management) 를발표하였다. 이표준은원래 BS(British Standard) 7799 에서발전한것으로, 모범사례는 BS7799 Part 1, 인증기준은 BS7799 Part 2 로나뉘어졌으며, BS7799 Part 1 이 ISO/IEC17799 로먼저국제표준이되었고, BS7799 Part 2 가뒤이어국제표준이되었다. 개정작업을통해 2005 년에는현재인증기준을위해사용중인 ISO/IEC27001( 이하 ISO27001 이라한다 ) 과모범사례의집합인 ISO/IEC27002 로바뀌었다. ISO27001 에의하면, 정보보호관리체계를 전반적인경영시스템의일부로하여비즈니스위험접근법을기반으로하는정보보호를수립, 구현, 운영, 모니터, 검토, 유지및개선하기위한시스템 으로정의하고있으며, 이러한관리시스템은정보보호조직구조, 정 14

3 책, 계획활동, 책임, 실무절차, 프로세스및자원을포함하고정보보호활동에대한지속적이고체계적인경영관리일부임을명시하고있다. (2) 현황국제표준규격인 ISO27001 은관리체계수립, 문서화, 지속적운영및관리등일련의정보보호활동업무에대해제 3 자인인증기관에의해표준적합성을심사하는규격이다. 하지만, ISO27001 이보안관리체계국제표준규격임은분명하나아직까지국가간상호인정등다른인증제도처럼국제적으로통용되거나인정되는제도로의단계로는시간이필요하다. 국제표준인 ISO27001 을기반으로현재 (2010 년 11 월기준 ) 인증서발급현황을보면총 82 개국에서 6,826 건의인증서가발급되었으며, 한국은 KISA ISMS 를제외한 ISO27001 인증취득기업이 106 건, 일본이가장많은 3,632 건, 인도 492 건, 중국 483 건순이다 [ (3) ISO27001 관리체계분석 ISO27001 관리체계에대한공통항목을분석한결과, 관리체계분야별내용이모두통제항목에서관리과정에대한요구사항을반영하고있어 4 개의관리과정 (PDCA) 과약 28 개의관리항목으로이루어져있으며, 각 PDCA 단계로다시분류되어단계별상세관리항목을설명하고있다. 정보보호관리체계의가장중요한부분으로관리과정은관리체계생명주기에따라지속적인정보보호활동을하도록하는이론적인배경이되고있다. 위험관리활동을통해체계적이고전략적인접근방법을제시하고있다. (4) ISO27001 인증체계국내 ISO27001 인증체계는외국의인정기관인 UKAS(United Kingdom Accreditation Service, 영국의인정기관 ), 미국의 ANAB(ANSI ASQ National Accreditation Board, 미국의인정기관 ) 등에서인정한인증기관들과국내 ISO27001 인정기관인 KAB(Korea Accreditation Board, 한국인정원 ) 에서인정하고있는인증기관에서 ISO27001 인증업무를수행하고있으며, 교육기관과심사원등록기관을별도지정하여운영하고있다. 여기서인정기관 (Accreditation Body) 이란각국가별로국제인증및규격에대한관리감독을위해설립된정부산하의기관을말하며, 한국은한국인정원 KAB, 영국 UKAS, 미국 ANAB, 15

4 주간기술동향 중국 ANAB, 일본 JAB 등이인정기관이고인증기관 (Certification Body) 은각국의인정기관의승인을받아인증심사, 인증서발행, 인증유지등을실행하는기관이다. 인증기관의모든인증활동은인정기관의인정기준에부합하여야하며이에대한정기적인감사를받아야한다. 나. 미국정보보호관리체계 (1) 개요미국은 9.11 이후연방정부기관의정보시스템을보호하기위해 FISMA(Federal Information Security Management Act, 연방정보보호관리법 ) 를제정하였다. 이법률은 2002 년에제정된 전자정부법 에포함되어있다. FISMA 는미국공공정보보호분야의대표적인법률로서모든연방정부기관은 FISMA 를준수하고, 매년 1 회보안프로그램의유효성및개선계획에관해서 OMB(Office of Management and Budget, 관리예산처 ) 와미국의회에보고하도록되어있다. FISMA 는 2002 년도제정된전자정부법 (e-government Act) 중 3 편 (Title III) 에속하는법으로서미국연방정부의정보및정보시스템에대한정보보호를강화하고정보보호에대한효율성과적절성을확보하기위해제정된연방정보보호관리법이다. 연방정부기관으로하여금정보와정보시스템보호를위해전사적정보보호프로그램을개발, 문서화, 구현하도록하고있으며, 정보보호통제의효과성과충분성을보장하기위해 FISMA 는연방정부기관의 CIO 와정보보호책임자로하여금정보보호프로그램을매년검토하여그결과를대통령직속의 OMB 에보고하도록요구하고있다. OMB 는감독역할을수행하는데, 이결과를보조자료로사용하고있으며의회에 FISMA 법안준거성에대한연간보고서작성에사용하고있다. 감사, 평가및조사를수행하는의회산하기관인 GAO(Government Accountability Office, 과거에는 General Accounting Office, 일반회계감사원 ) 는의회에제출한 OMB 보고서에대한검토결과를 CRS(Congressional Research Service, 의회연구서비스 ) 보고서로발표하고하원정부개혁위원회에서는의회연구보고서를바탕으로매년초연방기관의정보보호수준을 A~F 로평가해서발표하고있다. (2) 현황정부기관은매분기별로정보보호취약점이발견된모든프로그램과시스템을위한세부 16

5 POA&M(Plan of Action and Milestone, 정보보호구현계획서 ) 보고서를 OMB 에게제출해야하며, 정보보호프로그램관리자는기관 CIO 가기관전반에걸친정보보호노력을모니터링할수있도록정기적으로보고해야한다 년 5 월미국상무성산하기관인 NIST (National Institute of Standards and Technology, 국가표준기술국 ) 은 SP 을 1) 발표하여국가보안시스템을제외한모든연방정보시스템에대한정보보호 C&A( 인증및승인 ) 과정과방법에대해소개하고있다 년 4 월 21 일 OMB 는 FISMA 에따라 2010 회계연도연방정보보안관리및프라이버시관리보고지침을각연방기관에사달하였다 년지침은여러가지로많은변화가보이고있으며, 이는우리나라의정보보호정책에시사하는바가있다고할수있다. NIST 는 FISMA 에의거연방정부의정보보호와관련한 SP(Special Publication) 시리즈를발표하고있으며 FIPS(Federal Information Processing Standards Publications) 를발표하였다. 또한연방정보보호관리를지원하는관리실태평가의기본절차인 NIST SP r3 과 2) 다른새로운방식을적용한지침인 NIST SP r1 을발간하였다. 새로발간된지침은실시간위험관리에초점을맞추고있다. 실시간위험관리는실시간적으로자산ㆍ취약점ㆍ위협을종합하여위험을분석하고컴플라이언스준수를포함한정보보호성과관리측면에서정량화된점수를제시한다. 기존평가방식은매년시스템목록을제출하고 3 년마다인증을받는형식이었다. 이는정보보안항목의준수여부를확인하는방식으로써문서중심으로수행되며점검기간이오래소요되는단점이있다. 이러한종래방식의개선책으로보다실질적으로시스템의위험을평가할수있는방법이도입되었다. 이에따라지속적으로감시할 10 개의항목을지정하고모든 PC 와서버를조사하여각항목에대해점수를종합하게되었다. 그리고특정항목의점수계산은거의매일이루어지고이틀이넘어가지않도록하여점수계산주기를지속적으로단축하기위한노력을보여주었다. 이는준수여부점검에서성능점검으로의변화를의미한다. (3) 미국 (NIST) 정보보호관리체계분석 FISMA 위험관리체계표준인 NIST SP 는영향력에기반한정보및정보시스 1) NIST SP : 연방정보시스템의보안인가 (authorize) 를위한지침 2) NIST SP : 연방정보시스템을위한권고된보안통제 (Revision 3) 17

6 주간기술동향 템분류 (SP800-60), 정보시스템의최소보안통제선택 (SP800-53), 보안통제구현 (SP800-70), 보안통제평가 (SP800-53A), 정보시스템운영인가 (SP800-37), 보안통제모니터링 (SP800-53A) 등 6 개관리과정, 7 개관리항목으로구성되어있으며정보보호관리과정접근법으로분류가가능하다. 다. KISA ISMS( 정보보호관리체계 ) (1) 개요 KISA ISMS 는정보통신망의안전성및정보의신뢰성을확보하고, 조직의정보보호수준제고를위해관리적, 기술적, 물리적보호조치를종합한것으로써조직의정보보호관리체계를효과적으로수립하도록 2001 년모델을개발하여국내표준제정하여활용되고있다. 이는새로운보안위협및취약성이점차적으로증가하는시점에서조직의주요정보자산을보호하기위해정보보호관리절차및과정을전사적인차원에서체계적이고지속적으로관리하기위한국내보안관리모델을제시하고표준화하는데의미가있다. 특히, 그동안국내조직에서단편적이고일회적이며산발적으로대응하던침해사고예방에대해보다체계적이고종합적이고균형적인정보보호관리체계가무엇보다시급한실정을감안할때, 이에대한방법론을제시하고자개발하여국내조직에적합한표준적인보안관리모델을제시하고국내정보보호수준제고와정보보호서비스산업활성화에크게기여하였다. 또한정보보호관리체계구축을촉진하고동기부여를위해 정보통신망이용촉진및정보보호등에관한법률 에근거규정을마련하였다. 아울러현재전자정부서비스를대상으로추진하는전자정부정보보호관리체계 (G- ISMS) 와개인정보취급자를대상으로하는개인정보보호관리체계 (PIMS) 를탄생하게한계기가되었다. 정보보호관리체계는 정보자산의무결성, 비밀성, 가용성을실현하기위한절차와과정을체계적으로수립, 문서화하고지속적으로관리, 운영하는체계 로정의하고있다. 즉, 조직의적절한정보보호를위해정보보호관리과정을통해구현된여러정보보호대책들이유기적으로통합된시스템을의미한다고정의하고있다. KISA ISMS 는위험분석기반으로반드시관리과정을단계별로구축하게하여모든조직에규모와관계없이어떤업종및형태가다양해도국내표준모델로서모두적용이가능하다는것이특징이다. 18

7 (2) 현황 KISA ISMS 는조직이침해사고를선제적으로예방하기위해정보자산보호를위해관 리체계를구축ㆍ운용을하고있는것이다른관리체계등과조금차이가있다. 다시말하 면취약점분석이나위험관리등기술적관점에초점을두고관리체계를지속적으로운영 하도록하고있다 년이후각종보안관련사건ㆍ사고가발생하고, 국가적보안에대한인식이높아짐 에따라보안성및신뢰성향상을위해인증을취득하는기업들이늘어나고있는추세이다. < 표 1> 연도별 KISA ISMS 인증현황 연도 계 인증건수 * KISA ISMS 인증현황 < 자료 >: 국가정보보호백서, (3) KISA ISMS 관리체계분석또한관리과정뿐만아니라문서화, 통제항목모두 S-PDCA 이론이도입되어정보보호관리전과정이프로세스화되어있다. 관리체계분야별내용이모두통제항목에서관리과정에대한요구사항을반영하고있으며, 전체적으로위험관리분야를가장중심에두고 5 개관리과정, 14 개측정항목으로구성되어있다. (4) KISA ISMS 인증체계현재의 KISA ISMS 인증체계는방송통신위원회가인정기관역할을하고있으며, 인증기관으로한국인터넷진흥원 (KISA) 이수행하고있다. 인증심사원은 KISA 에서자체양성ㆍ관리하고인증위원회를운영하고있다. 라. PIMS( 개인정보보호관리체계 ) (1) 개요개인정보보호강화를목적으로도입한 PIMS 는개인정보보호에대한법규준수여부를집중점검하기위해개인정보를취급하는조직이전사차원에서개인정보보호활동을체계적ㆍ지속적으로수행하는데필요한보호조치체계를구축하여고객의개인정보보호를위해필요한법적인 ( 정보통신망법, 개인정보보호법등 ) 요구사항을포함한총 3 개분야

8 주간기술동향 개통제항목에대한점검항목을준수해야한다. 개인정보보호관리체계란정보통신망법에명시된최소한의보호조치만으로개인정보침해사고방지에어려움을겪었던조직들에게체계적인개인정보보호활동을위한세부기준및방법을제시하였으며, 국민들에게는개인정보를안전하게관리하는조직을객관적으로식별할수있는기준을제시함으로써조직스스로개인정보유ㆍ노출및개인정보의수집ㆍ보관ㆍ이용등취급절차상에서발생할수있는침해요인을파악하여이를미연에방지하도록하는체계적이고종합적인관리체계이다 [ 방송통신위원회, 2010]. (2) 현황다른정보보호제도들이시스템이나네트워크침해사고위주의가용성중심의정보보호분야에대한관리체계수립에초점을둔반면, PIMS 는변화하는개인정보보호문제를별도로집중다루어야한다는요구사항으로개인정보보호법규준수여부를주로점검하고있다 년시범인증 3 건을수행하고 2010 년 11 월에제도도입근거를마련하여 2011 년제도도입원년으로개인정보를다량취급하는이동통신사및포탈등을중심으로 6 건의인증서 ( ) 를취득한바있다. 최근개인정보유출사고가빈발하여국민적관심이고조되고있으며, 기업의사회적책임이매우중요한기업의가치로인식되어개인정보보호관리체계인증제도에많은관심이쏠리고있다. (3) PIMS 관리과정분석 PIMS 관리체계는관리체계분야별내용이모두국내표준관리체계프레임워크인 KISA ISMS 을기반으로설계를했기때문에 KISA ISMS 관리체계를준용하고있으며, 통제항목에서개인정보보호생명주기를포함하여요구사항을반영하고있어 5 개관리과정, 11 개측정항목에정보보호관리과정접근법으로분류가가능하다. (4) PIMS 인증체계 PIMS 인증체계는 KISA ISMS 인증체계와동일하며인정기관역할은방송통신위원회가, 인증기관은 KISA, 인증위원회는 KISA ISMS 와통합하여운영하고있다. 인증심사원만현재별도양성활용하고있으나향후통합예정이다. 20

9 마. G-ISMS( 전자정부정보보호관리체계 ) (1) 개요행정안전부는세계적으로우수성을인정을받은전자정부의보안성강화를위해전자정부대민서비스의정보보호강화대책일환으로정보보호관리체계도입을 2008 년부터검토하기시작하여행정기관특성상잦은인사이동과정보보호담당자의전문성등의문제점이지속됨에따라 2009 년행정기관용정보보호관리체계모델을개발ㆍ보급하게되었다. 제도도입배경으로는행정기관의경우전자정부대민서비스측면에서, 정보보호관리능력에대한보증은민원서비스, 전자거래, 개인정보보호등의분야에서서비스의안전성과신뢰성을확보하는데중요한요소가될수있으나기관내부뿐만아니라외부에정보시스템및서비스의정보보호수준에대한신뢰를제공하기란더욱힘들다. 이러한한계를극복하기위해서는정보보호수준에대한대외적인신뢰성을확보하기위해정보보호관리체계를구축운영하는것이최선이라하겠다. (2) 현황전자정부정보보호관리체계인증제도인 G-ISMS 는 KISA ISMS 와 ISO27001 를기반으로행정기관특히전자정부대민서비스에적합한모델을개발하였다. 이는 KISA ISMS 모델이정부및민간조직의모두에게적용가능한프레임워크였으나, 전자정부의특수성과 KISA ISMS 가국내표준모델임에도불구하고국가행정기관에적용하기에는정책적차이점으로한계가있다고판단하여전자정부대민서비스에적합한관리체계인 G- ISMS 를개발적용하게되었다. KISA ISMS 와의차이점은우선법체계상민간분야 (KISA ISMS) 와공공분야 (G-ISMS) 에대한적용대상이다르다는것이고, 인증체계나인증심사원양성에서도차이가있으며행정기관의특성상인증심사에공무원과 KISA 심사원이반드시참여하고있다는것이특징이다 년시범인증을통해인증심사기준에대한검증을통해 2010 년본격시행을통해 < 표 2> G-ISMS 인증부여현황구분중앙행정기관광역자치단체기초자치단체공공기관총계발급현황 ( 건수 ) 4 건 1 건 3 건 6 건 14 건 21

10 주간기술동향 년 6 월현재 G-ISMS 인증서부여현황은 < 표 2> 와같이중앙부처및지방자체단체를포함하여총 14 개기관이인증을취득하였다. (3) G-ISMS 관리체계분석 G-ISMS 관리체계에대한공통항목을분석한결과는관리체계분야별내용이모두통제항목에서관리과정에대한요구사항을반영하고있어 4 개의관리과정, 15 개측정항목에정보보호관리과정접근법으로분류가가능하다. (4) G-ISMS 인증체계현재의 G-ISMS 인증체계는행정안전부가인정기관역할을하고있으며, 인증기관으로한국인터넷진흥원 (KISA) 이수행하고있다. 별도의심사원양성을위한교육기관이나연수기관은지정하고있지않다. 인증심사원의경우국가기관및행정기관에대한중요정보접근에따른보안문제로철저하게자격요건을심사하여임명하고이러한이유로심사원구성도공무원이참여하도록하고있다. ISMS 와 PIMS 인증제도와의차이는인증위원회와인증심사원양성업무를행정안전부가수행하고있다. 바. 정보보호안전진단 (1) 개요정보보호안전진단제도는인터넷을기반으로한정보통신서비스의정보통신망에대한침해사고예방을통해조직의정보보호수준을강화하여정보통신망및정보통신서비스에대한안정성및신뢰성을확보하고자 2004 년부터도입된제도이다 년도 1.25 인터넷침해사고 발생에따라침해사고시사회적혼란과경제적손실을야기할수있는 ISP, IDC, 대형쇼핑몰등주요정보통신서비스제공자를대상으로최소한의정보보호조치이행등의책임을다하도록하려는취지로시작된것이다. 법적근거인 [ 정보통신망이용촉진및정보보호등에관한법률 ] 제 46 조제 3 항에근거하여주요정보통신서비스제공자 (ISP), 집적정보통신시설사업자 (IDC), 정보통신서비스매출액 100 억원이상또는일평균이용자수 100 만명이상의포털및쇼핑몰등이 정보보호조치및안전진단방법ㆍ절차ㆍ수수료에관한지침 에대한이행여부를 안전진단수행기관 으로부터매년의무적으로수검을받도록하고있다 [ 국가정보보호백서 12]. 안전진단수행기관은정보보호기술인력을 15 인이상, 3 년이내의정보보호컨설팅실적을갖추고방송통 22

11 신위원회로부터정보보호안전진단을수행하도록방송통신위원회로부터지정받은기관 (2011 년 4 월현재 19 개업체 ) 을말한다. (2) 현황정보보호안전진단은안전진단대상자가안전진단수행기관으로부터안전진단수검및보호조치개선을통해조직의정보보호체계를확립함으로써서비스이용자의만족도를제고할수있다. 그동안안전진단수검을통해대상자는정보보호수준이제도시행전 39%(2005) 수준에서시행후매년수준이향상되어 95%(2009) 수준으로정보보호수준이향상되었다 [ 국가정보보호백서, 2010]. (3) 안전진단관리체계분석정보보호안전진단도기존 KISA ISMS 를기반으로개발되어기본적인관리체계는유사하며 10 개관리과정, 14 개관리항목으로구성되었다. (4) 정보보호안전진단수행체계정보보호안전진단수행체계는방송통신위원회가인정기관역할과한국인터넷진흥원 (KISA) 는안전진단제도운영전반에대한위임을받아제도개선, 수행기관관리, 진단결과품질제고등업무를수행하며, 인증기관과유사한안전진단수행기관을지정하여운영하고있으며법규정에따라기술인력에대한자격기준을준수하도록하고있다. 4. 결언국내외정보보호관리체계인 ISO27001, NIST SP800-39, KISA ISMS, PIMS, G-ISMS, ISCS, CIIP 등을분석한결과정보보호관리체계에대한관리과정을중심으로정보보호관리과정항목을분류하고, Deming(1992) 박사의 PDCA 모형으로재분류하였다. PDCA 모형을기반으로정보보호관리체계에서공통적으로적용하고있는관리과정의구체적인요구사항을분석해서정보보호 PDCA 모형으로재분류하면정보보호정책수립단계에서는조직전반에걸친상위수준의정보보호정책을수립하고, 정보보호를수행하기위한조직내각부문의책임을설정하도록하고있으며, 관리체계범위를설정하고범위내의정보자산을식별하여범위를명확히하도록하고있다. 계획단계인위험관리단계에서는조직문화와정보자산에적절한위험관리전략과계획 23

12 주간기술동향 을수립하고, 이에따라위험을분석ㆍ평가하여대응이필요한위험과우선순위를결정한후위험을수용가능한수준으로감소시키기위해필요한정보보호대책을선택하도록하고있다. 실행단계에서는위험관리단계에서수립된정보보호계획에따라정보보호대책을효과적으로구현하고, 필요한교육과훈련을진행하게된다. 점검단계에서는관리체계가효과적으로실행되는지를점검하기위해기준, 범위, 통제내용, 주기및방법을설정하고, 정기적으로내부감사수행하여그결과의보고, 기록을유지하고보안수준의지속적인측정ㆍ평가와함께관리체계적용성을재검토하게된다. 마지막으로개선단계에서는정보보호정책, 정보보호목적, 감사결과, 사건분석, 시정및예방조치, 검토등통해정보보호관리체계지속적인개선과개선요구사항에따른조치결과를공식적으로조직내에공지하여목적달성이행여부를확인하도록요구하고있다. 국내외정보보호관리체계제도에대한차이점은제도별도입취지나배경면에서조금씩다르며, ISO27001, KISA ISMS, PIMS, G-ISMS 는관리체계프레임워크에서는앞에서분류한 S-PDCA 로대부분분류되며, ISCS, CIIP 는시스템이나네트워크안정성보호측면에, 점검방식에서는감사성격의 ISO27001, KISA ISMS, PIMS, G-ISMS, ISCS 와컨설팅개념인 CIIP 와차이가있다. 법적근거, 적용범위측면에서도약간의차이가있다. 감사성격의경우객관성, 독립성, 공정성이생명인만큼제 3 자에의한점검방식으로시행주체가외부기관에의해이루어지며주로인증제도가여기에해당된다. CII 의경우는컨설팅개념으로자체적으로또는외부컨설팅전문기관으로부터취약점분석ㆍ평가를받을수있다는것이특징이다. 다만관리체계프로세스나점검항목에서는유사한면을보이고있다. 관리체계 (Management System) 특성상프레임워크는국제표준규격등에따라일반적으로유사하며, 국가적차원에서의보안정책과부처별적용대상에대한부처별정책에따라별도의제도가운영되고있음을알수있다. 국내외정보보호관리체계인증기준또한제도별특성에따라약간의차별화가있으나기본적인관리체계측면에서프레임워크는크게관리과정, 문서화, 통제항목 3 개로분류되며, ISO27001 과 G-ISMS 는 4 단계프로세스와문서화과정이동일하다. KISA ISMS 와 PIMS 의경우프로세스는동일하고 PIMS 에서는문서화부분을통제항목으로분류하고있다. ISO27001 의경우는상위개념의통제항목으로구성되어있으며세부점검항목은별도제시하지않고있다. 24

13 < 참고문헌 > [1] 정보보호관리체계인증등에관한고시, 방송통신위원회, [2] 정보보호조치및안전진단방법ㆍ절차ㆍ수수료에관한지침, 방송통신위원회, [3] PIMS 도입에관한방통위의결자료, 방송통신위원회, [4] 전자정부정보보호관리체계인증등에관한지침, 행정안전부, [5] 2010 국가정보보호백서, 방송통신위원회, 행정안전부, 지식경제부, [6] 장상수, 신승호, 정보보호안전진단성과관리측정모델및성과분석방안연구, 정보보호학회지논문, [7] Information security management systems-requirement, ISO/IEC, [8] NIST SP (Risk Management Framework), NIST,

벤처연구사업(전동휠체어) 평가

벤처연구사업(전동휠체어) 평가 정보보안 (Information Security) 정보보호관리체계 (ISMS) 2013. 8 표월성 passwd74@naver.com 010-4303-5006 Cherub.sungkyul.ac.kr < Agenda > Ⅰ. 정보보호관리체계개요 1.1 정보 (Information) 1.2 정보윤리와정보보호의필요성 1.3 정보보호 (Information Security)