ISMS(Information Security Management System)

 정보보호 관리체계은 한국인터넷 진흥원에 인증을 부여 하는것으로 정보통신서비스를 제공하는 정보통신 제공자에 대한 인증이다
 정보보호 관리체계 인증은 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)을 근거로 하고 정보통신 제공자에대한 인증이다.
 

• 법적 근거

 정보통신 제공자의 용어는 전기통신사업법, 정보통신망법에 정의되어 있다. 즉, 정보통신망법 제2조에서 정보통신서비스 제공자란 
 전기통신사업법 제2조 제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 
 정보의 제공을 매개하는자를 말한다

• 전기통신사업법

 전기통신역무란 전기통신설비를 이용하여 타인의 통신을 매개하거나 전기통신설비를 타인의 통신용으로 제공하는것을 말한다.
 전기통신사업자란 이 법에 따른 허가를 받거나 등록 또는 신고(신고가 면제 된 경우를 포함) 하고 전기통신 역무를 제공하는 자를 말한다.

• 정보통신망법

 미래창조과학부장관은 정보통신망의 안정성 신뢰성 확보를 위하여
 관리적 기술적 물리적 보호조치를 포함한 종합적 관리체계(이항 정보보호 관리체계)를 수립 운영하고 있는 자에 대하여
 제 3항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다.

• 의무인증 대상자

 정보통신망서비스를 제공하는자 : ISP 사업자(KT, SKT)
 직접정보통신시설 사업자 : IDC ; VIDC 제외
 대통령령으로 정하는 기준에 해당하는 매출액 100억이상 , 이용자수 직전 3개월간 1일평군 100만명 이상인 사업자
 연간매출액 15억 이상인 기업중 상급종합병원, 재학생이 1만명 이상인 학교

• 미인증시 : 3천만원 이하 벌금

• 인증 : 3년

 최초
 사후 (1년)
 사후 (1년)
 갱신

심사방법 : 현장, 서면

 

• ISMS 인증기준

1. 관리적 인증기준 ( Security PDCA : Plan, Do, Check, Act )

 정보보호 정책 수립 및 범위 설정 => 자산 그룹핑 (기준 : 자산중요도, 자산유사성, 자산위치, 자산용도)
 경영진 참여 및 조직구성
 위험관리
 정보보호 대책 구현 : 2개월 이상 운영실적
 사후관리 : 내부감사, 성과관리

2. 보호대책 인증기준

 정보보호정책 : 기업의 정보 보호 원칙과 표준, 준수사항 등을 정의 , 임직원에게 공표
 정보보호 조직 : 정보 보호 최고 책임자, 실무조직, 정보보호 위원회
 외부자 보안 : 시스템 통합및 운영과 유지보수를 통하여 업무를 위탁할때 반드시 지켜야하는 보안 요구사항을 정의
 정보자산 분류 : 정보보호 관리체계 인증 범위 내에 있는 자산을 식별하고 관리, 자산 그룹별로 보안등급을 부여하여 각 자산의 가치를 파악
 정보보호 교육 : 각 직무별(보안담당자, 개인정보취급자, 개인정보 최고 책입자, 개발자등) 정보보안 교육을 수행
 인적 보안 : 주요 직무자를 정의하고 책임과 역할 정의, 보안 서약서 작성, 정보 보안 위배 시에 인사규정, 퇴직자 발생 시에 권한회사 및 보안 서약서작성
 물리적 보안 : 보호구역 지정
 시스템 개발보안 : 소프트웨어 개발 초기에 보안 요구사항및 IT Compliance 식별하여 분석/설계 단계에서 정보 보안을 고려한 분석/ 설계를 수행
 암호통제 : 패스워드는 SHA-256 이상의 해시함수 사용, 단방향 암호화, 대칭키 암호화는 128Bit 이상의 키를 사용
 접근통제 : 접근통제 정책, 권한관리, 인증 및 식별, 접근통제 영역을 정의
 운영보안 : 정보시스템을 운영하기 위한 절차, 시스템 운영 보안, 전자상거래, 매체보안, 악성코드 관리, 로그 및 모니터링
 침해사고 관리 : 누가, 어떻게 대응하고 보고 할것이며 재발방지를 위해서 어떠한 활동을 수행 할것인지를 결정
 IT 재해복구  : 자산의 연속성을 확보하고 이를 통해 기업의 신뢰도와 정보 자산의 안전성을 향상

 

• PDCA 사이클 기반의 정보보호 관리과정 구체적 요구사항

- 정보보호정책 수립및 범위설정

 조직 전반에 걸친 상위 수준의 정보보호 정책 수립
 정보보호 관리체계 범의 설정
 정보보호정책서
 정보보호 관리체계 범위서
 정보자산 목록(정보통신설비 목록)
 네트워크 및 시스템 구성도

- 경영진 책임 및 조직 구성

 정보보호를 수행하기 위한 조직내 각 부문의 책임 설정
 경영진 참여 가능하도록 보고 및 의사 결정체계 구축
 정보보호조직도
 최고책임자 실무자구성 정보보호위원회

- 위험관리

 위험관리 방법및 계획 수립
 위험 식별 및 위험도 평가
 정보보호대책 선정
 구현 계획 수립
 위험관리지침서
 00년 위험관리 계획서
 위험 분석,평가 보고서

- 정보보호 대책 구현

 정보보호 대책 구현 및 이행확인
 내부 공유 및 교육
 정보보호 대책 명세서
 정보보호계획서
 정보보호계획 이행결과 보고서
 2개월이상 운영

- 사후관리

 법적 요구사항 준수 검토
 정보보호 관리체계 운영 현황관리
 정기적인 내부감사를 통해 정책 준수 확인
 정보보호 관리체계, 내부감사보고서
 정보보호 관리체계, 운영현황표

 

• 침해사고 분석절차

 사고 전 준비
 사고 탐지 : 복구, 해결과정 병행
 초기 대응
 대응 전략 체계화
 데이터 수집
 테이터 분석
 보고서 작성