진주성 블로그 방문하기
진주성 블로그 방문하기
보안 ISMS - 정보보호관리체계
2017.11.01 07:31
ISMS(Information Security Management System)
정보보호 관리체계은 한국인터넷 진흥원에 인증을 부여 하는것으로 정보통신서비스를 제공하는 정보통신 제공자에 대한 인증이다 정보보호 관리체계 인증은 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)을 근거로 하고 정보통신 제공자에대한 인증이다.
- 법적 근거
정보통신 제공자의 용어는 전기통신사업법, 정보통신망법에 정의되어 있다. 즉, 정보통신망법 제2조에서 정보통신서비스 제공자란 전기통신사업법 제2조 제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는자를 말한다
- 전기통신사업법
전기통신역무란 전기통신설비를 이용하여 타인의 통신을 매개하거나 전기통신설비를 타인의 통신용으로 제공하는것을 말한다. 전기통신사업자란 이 법에 따른 허가를 받거나 등록 또는 신고(신고가 면제 된 경우를 포함) 하고 전기통신 역무를 제공하는 자를 말한다.
- 정보통신망법
미래창조과학부장관은 정보통신망의 안정성 신뢰성 확보를 위하여 관리적 기술적 물리적 보호조치를 포함한 종합적 관리체계(이항 정보보호 관리체계)를 수립 운영하고 있는 자에 대하여 제 3항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다.
- 의무인증 대상자
정보통신망서비스를 제공하는자 : ISP 사업자(KT, SKT) 직접정보통신시설 사업자 : IDC ; VIDC 제외 대통령령으로 정하는 기준에 해당하는 매출액 100억이상 , 이용자수 직전 3개월간 1일평군 100만명 이상인 사업자 연간매출액 15억 이상인 기업중 상급종합병원, 재학생이 1만명 이상인 학교
- 미인증시 : 3천만원 이하 벌금
- 인증 : 3년
최초 사후 (1년) 사후 (1년) 갱신
심사방법 : 현장, 서면
- ISMS 인증기준
1. 관리적 인증기준 ( Security PDCA : Plan, Do, Check, Act )
정보보호 정책 수립 및 범위 설정 => 자산 그룹핑 (기준 : 자산중요도, 자산유사성, 자산위치, 자산용도) 경영진 참여 및 조직구성 위험관리 정보보호 대책 구현 : 2개월 이상 운영실적 사후관리 : 내부감사, 성과관리
2. 보호대책 인증기준
정보보호정책 : 기업의 정보 보호 원칙과 표준, 준수사항 등을 정의 , 임직원에게 공표 정보보호 조직 : 정보 보호 최고 책임자, 실무조직, 정보보호 위원회 외부자 보안 : 시스템 통합및 운영과 유지보수를 통하여 업무를 위탁할때 반드시 지켜야하는 보안 요구사항을 정의 정보자산 분류 : 정보보호 관리체계 인증 범위 내에 있는 자산을 식별하고 관리, 자산 그룹별로 보안등급을 부여하여 각 자산의 가치를 파악 정보보호 교육 : 각 직무별(보안담당자, 개인정보취급자, 개인정보 최고 책입자, 개발자등) 정보보안 교육을 수행 인적 보안 : 주요 직무자를 정의하고 책임과 역할 정의, 보안 서약서 작성, 정보 보안 위배 시에 인사규정, 퇴직자 발생 시에 권한회사 및 보안 서약서작성 물리적 보안 : 보호구역 지정 시스템 개발보안 : 소프트웨어 개발 초기에 보안 요구사항및 IT Compliance 식별하여 분석/설계 단계에서 정보 보안을 고려한 분석/ 설계를 수행 암호통제 : 패스워드는 SHA-256 이상의 해시함수 사용, 단방향 암호화, 대칭키 암호화는 128Bit 이상의 키를 사용 접근통제 : 접근통제 정책, 권한관리, 인증 및 식별, 접근통제 영역을 정의 운영보안 : 정보시스템을 운영하기 위한 절차, 시스템 운영 보안, 전자상거래, 매체보안, 악성코드 관리, 로그 및 모니터링 침해사고 관리 : 누가, 어떻게 대응하고 보고 할것이며 재발방지를 위해서 어떠한 활동을 수행 할것인지를 결정 IT 재해복구 : 자산의 연속성을 확보하고 이를 통해 기업의 신뢰도와 정보 자산의 안전성을 향상
- PDCA 사이클 기반의 정보보호 관리과정 구체적 요구사항
- 정보보호정책 수립및 범위설정
조직 전반에 걸친 상위 수준의 정보보호 정책 수립
정보보호 관리체계 범의 설정
정보보호정책서
정보보호 관리체계 범위서
정보자산 목록(정보통신설비 목록)
네트워크 및 시스템 구성도
- 경영진 책임 및 조직 구성
정보보호를 수행하기 위한 조직내 각 부문의 책임 설정
경영진 참여 가능하도록 보고 및 의사 결정체계 구축
정보보호조직도
최고책임자 실무자구성 정보보호위원회
- 위험관리
위험관리 방법및 계획 수립
위험 식별 및 위험도 평가
정보보호대책 선정
구현 계획 수립
위험관리지침서
00년 위험관리 계획서
위험 분석,평가 보고서
- 정보보호 대책 구현
정보보호 대책 구현 및 이행확인
내부 공유 및 교육
정보보호 대책 명세서
정보보호계획서
정보보호계획 이행결과 보고서
2개월이상 운영
- 사후관리
법적 요구사항 준수 검토
정보보호 관리체계 운영 현황관리
정기적인 내부감사를 통해 정책 준수 확인
정보보호 관리체계, 내부감사보고서
정보보호 관리체계, 운영현황표
- 침해사고 분석절차
사고 전 준비 사고 탐지 : 복구, 해결과정 병행 초기 대응 대응 전략 체계화 데이터 수집 테이터 분석 보고서 작성
댓글 0
| 번호 | 제목 | 날짜 | 조회 수 |
|---|---|---|---|
| 125 | HP-UX networking - 11.31 10G NIC | 2019.03.19 | 912 |
| 124 | TCP/IP Tuning parameter | 2019.03.15 | 2874 |
| 123 | hpux cmsnmpd daemon 중지 | 2019.02.28 | 272 |
| 122 | 아파치 2.2.29 버젼에서 SSLProtocol 중 TLSv1.2로 설정 | 2019.02.27 | 4422 |
| 121 | usage: raspistill [options] - Image parameter commands | 2018.11.16 | 1266 |
| 120 | [python] MySQL 사용법 예제 | 2018.10.24 | 523 |
| 119 | netcat | 2018.10.09 | 1194 |
| 118 | hpux cron job 실행 에러 처리 방안 | 2018.07.06 | 353 |
| 117 | GeoIP 를 이용한 Apache 설정 - 국가별 접속 차단 | 2018.06.13 | 654 |
| 116 | 시스템 보안 과목 예상문제 풀이 | 2018.05.26 | 767 |
| 115 | Parameters for Web Server Plug-Ins | 2018.05.10 | 2436 |
| 114 | HTTP Status Code HTTP 상태 코드 | 2018.05.03 | 573 |
| 113 | http protocol 기본적인 이해 | 2018.04.27 | 217 |
| 112 | name server 보안 (bind) | 2018.04.26 | 1492 |
| 111 | BroadCast 주소 | 2018.04.03 | 442 |
