정보보안 (Information Security) 정보보호관리체계 (ISMS) 2013. 8 표월성 passwd74@naver.com 010-4303-5006 Cherub.sungkyul.ac.kr
< Agenda > Ⅰ. 정보보호관리체계개요 1.1 정보 (Information) 1.2 정보윤리와정보보호의필요성 1.3 정보보호 (Information Security) 1.4 정보보호관리체계 (ISMS) 필요성및정의 1.5 기업정보보호현황 Ⅱ. 정보보호관리체계인증제도 2.1 정보보호관리체계 (ISMS) 인증제도 - BS7799, ISO 17799, ISO 27001 2.2 정보보호관리체계 (ISMS) 인증대상
목차 Ⅱ. 정보보호관리체계인증제도 2.1 정보보호관리체계 (ISMS) 인증제도 - BS7799, ISO 17799, ISO 27001 2.2 정보보호관리체계 (ISMS) 인증대상
2.1 정보보호관리체계인증제도 기업이구축한 정보보호관리체계 가적합한가? 누가판단? 정보보호관리체계의적합성을판단 인증부여제도 도입, 시행 기업의정보보호에대한인식및수준을제고 정보보호관리체계추진경과 정보보호관리체계인증제도 어떤조직이 정보보호관리체계 를구축 / 운영하고있을때, 그관리체계가정보보호관리체계의인증기준에적합한지를 인증기관이객관적, 독립적으로평가하여 적합성여부를판단해주는제도
2.1 정보보호관리체계인증제도 BS7799 정보보안에대한인증이필요한조직들의요청에의해 정보보호관리체계인증규격 BS7799제정 (98.2.15) 정보보호관리를위한포괄적인일련의관리방법에대해요건별로해석해놓은산업체를위한규격 주요사항 - 1993.1 : 산업관련검토그룹결성 - 1993.9 : 실행지침발행 - 1995.2 : BS7799 part one 발간 - 1998.2 : BS7799 part two 발간 - 1999.4 : BS7799 part one/two 개정 ( 발간 ) BS7799구성 BS7799 part1 정보보안관리에대한실행지침정보보안관리에대한포괄적인세트제공 10개의 section으로구성심사및인증으로의사용불가참조용문서로사용 BS7799 part2 정보보안관리시스템에대한규격정보보안관리시스템문서화수립실행에대한요구사항규정개별조직의필요성에따라실행될수있는보안관리요건을규정
2.1 정보보호관리체계인증제도 ISO 17799 정보보호경영시스템에대한인증 영국정부의 IT보안표준인 BS7799를기반으로, 국제정보보안표준으로정보보안관리에있어 Best Practice를정의 1. 표준의주요목적을정의, 목적을충족시키기위한일련의보안통제방법정의 2. 위험관리평가결과를기초로 BS7799표준에따라 IT기업에대한공식인증서발행기반이될수있는 " 보안통제방법정의 " 전세계로부터정보보호관리의최선실무방법을수집해서 11개분야, 127개의통제항목을정보보호관리표준으로제시 위험평가관리관점 ISO 17799 구성 - 4단계 (PDCA : Plan, Do, Check, Act) : ISMS수립, 실행및운영 / 모니터링및검토 / 유지관리및개선등 - 세부5단계 : 1. 정책수립, 2. 관리체계범위설정, 3. 위험관리, 4. 구현, 5. 사후관리등 ISO 27001 졍보보호관리체계에대한국제표준으로정보보호분야에가장권위있는국제인증 2005년 10월, ISO 17799를새로운국제표준인 ISO 27001로승격 위험관리와보안정책, 자산분류등 11개분야 133개항목에대한규격
2.2 정보보호관리체계 (ISMS) 인증대상자 자율신청기업 의무대상자이외의기업 정보보호관리체계 (ISMS) 를구축하고, 인증취득을희망할경우 자율적신청가능 의무대상자 정보통신망서비스를제공하는자 (ISP) 집적정보통신시설사업자 (IDC) 연간매출액또는이용자수등이대통령령으로정하는기준에해당하는자
2.2 정보보호관리체계 (ISMS) 인증대상자 정보통신서비스를제공하는자 (ISP) 미래창조과학부장관에게, 기간통신사업허가를받고 인터넷서비스, 인터넷전화서비스, 이동통신서비스등정보통신망서비스제공 서비스제공지역이 서울특별시및모든광역시 인사업자 정보통신서비스
2.2 정보보호관리체계 (ISMS) 인증대상자 집적정보통신시설사업자 (IDC) 매출액, 이용자수에상관없이의무대상자에해당 정보통신서비스를제공하기위해자체적으로시설을구축하여운영하는자 타인의집적정보통신시설의일부를임대하여서비스를재판매하는사업자 (VIDC) - 연간매출액, 이용자수에따라 ( 정보통신망법령제 49 조 2 항 )
2.2 정보보호관리체계 (ISMS) 인증대상자 연간매출액, 이용자수기준에해당하는자 전년도매출액 100 억원이상 - 정보통신서비스제공을통해발생한연간총매출액의합 - 여러가지정보통신서비스를제공할경우, 해당서비스의매출액을모두합산하여계산 - 매출액 : 국세청신고금액, 공인회계사의검증을거친내부결산자료, 부서장의승인을거친내부회계자료 전년도말기준, 직전 3 개월간일일평균이용자수 100 만명이상
2.2 정보보호관리체계 (ISMS) 인증대상자 Chapter Ⅱ. 정보보호관리체계인증제도
2.2 정보보호관리체계 (ISMS) 인증대상자 Chapter Ⅱ. 정보보호관리체계인증제도
4 사후심사 사후심사 1 년마다 ISMS 구축및운영 인증신청신청접수계약체결수수료납부 ISMS 구축및운영 인증기준에따른정보보호관리체계구축 최소 2개월이상운영 정보보호관리체계인증등에관한고시 제15조
ISMS 구축및운영 인증신청 신청접수계약체결수수료납부 인증신청 공문 정보보호관리체계인증신청서 정보보호관리체계명세서 법인등기사항증명서 (or 법인사업자등록증 ) 인증신청연말쏠림현상방지 사업자등록일이속한분기가끝나기 1개월전신청한경우우선심사해줌 우선순위에밀려인증을취득하지못한경우과태료부가대상가능 [ 정보보호관리체계인증등에관한고시 ] 제 16 조 ( 인증의신청등 )
ISMS 구축및운영 인증신청 신청접수계약체결수수료납부 ISMS 범위 정보보호관리체계명세서 주요통신설비의목록및시스템구성도 ( 범위내속한 ) ISMS 를구축, 운영하는방법과절차 관련주요문서목록 관련국내외품질경영체제의인증을취득한경우, 그명세
ISMS 구축및운영 인증신청 신청접수계약체결수수료납부
ISMS 구축및운영 인증신청 신청접수계약체결수수료납부
ISMS 구축및운영 인증신청 신청접수계약체결수수료납부
ISMS 구축및운영 인증신청 신청접수계약체결수수료납부
ISMS 구축및운영 인증신청 신청접수계약체결수수료납부
ISMS 구축및운영 인증신청 신청접수 계약체결 수수료납부 접수증 1 개월이내 서류검토 계약체결 보안요청 정보보호관리체계 (ISMS) 인증심사계약서 - 심사기간, 심사인원, 인증수수료, 인증범위등협의 10 일이내재신청 현장방문 수수료납부 = 직접인건비 + 직접경비 + 제경비 + 기술료 투입되는심사원인건비 (3~5 명 ) - 선임심사원, 심사원, 심사원보 기술자등급별단가 ⅹ 심사일수 인증업무수행시발생하는비용 교통비, 숙박비, 식대등 최대인건비 ⅹ 120% 최대 ( 직접인건비 + 제경비 ) ⅹ 40%
4 사후심사 사후심사 1 년마다 인증심사팀구성인증심사계획통보인증심사대응인증심사보완조치요청 심사결과보고서작성및위원회상정 인증심사팀구성 심사팀장 - 인증기관의소속직원중심사원이상으로선정 - 인증심사의품질제고및책임성강화목적 인증대상기관의컨설팅참여직원배제 ( 고시제19조 ) 인증심사계획통보 수수료납부완료후, 30일이내통보 인증심사계획서 - 인증심사기간, 심사팀구성, 심사준비사항등 수수료납부완료 30 일이내통보 인증심사계획서
인증심사팀구성인증심사계획통보인증심사대응인증심사보완조치요청 심사결과보고서작성및위원회상정 인증심사대응 인증심사계획서에따라심사준비 - 장소, 세부문서, 운영기록, 담당자면담등 인증심사 관리과정, 정보보호대책통제항목이적절히이행되고있는지확인 서면심사, 현장심사병행실시 - ISMS관련정책, 지침, 절차, 내부규정등확인및심사 - 각종문서및이행증적자료검토 - 정보보호대책적용여부확인등 - 문서에명시된통제사항들이잘실행되고 있는지확인 결함보고서작성 서면심사, 현장심사를통해도출된문제점에대해 보고서작성 결과확인회의 신청기관과결함내용을확인
인증심사팀구성인증심사계획통보인증심사대응인증심사보완조치요청 심사결과보고서작성및위원회상정 결함보고서전달 보안조치요청 해당결함에대하여보완조치요청서작성하여통보 심사결과보서작성 / 인증위원회상정 심사결과에대한객관성, 공정서확보 일정수준이상의품질확보 신청기관인증기관인증위원회 결함보고서전달 보완조치요청서 보완조치요청서작성 보완조치실행 보완조치내역서 작성 보완조치내역서 (30 일이내 ) 심사결과보고서작성및검토 심사결과위원회상정 ( 위원회개최 5 일전까지 ) 보완조치에따라현장확인 재보완조치실행 재조치요구 (60 일이내 )
4 사후심사 사후심사 1 년마다 구성 : 인증위원회 - 5 인이상 10 인이내의위원 - 정보보호전문가, 정보시스템감리사, 기술사, 대학교수등정보보호분야에학식과경험이있는자 - 인터넷진흥원장이위촉 - 위원장 : 위원에서호선 인증기관 심사결과보고서작성및검토 심사결과위원회상정 ( 위원회개최 5 일전까지 ) 인증위원회 심의, 의결 인증서발급 심의, 의결결과제출 ( 인터넷진흥원장에게 )
4 사후심사 사후심사 1 년마다 사후심사 정보보호관리체계 (ISMS) 인증 - 유효기간 : 3 년 (3 년마다갱신 ) 사후심사 - 1 년에 1 번이상관리체계점검 - 지속적인유지운영목적