ISMS-P/ISO27001 인증 컨설팅
#### <mark-yellow>ISMS: Information Security Management System</mark-yellow>정보보호 관리체계 인증은 정보 통신 서비스 제공자가 정보 통신망의 안정성 및 신뢰성을 확보하기 위해 만들어졌습니다.
#### 정보 자산의 기밀성, 무결성, 가용성을 실현하기 위한 관리적, 기술적 수단과 절차 및 과정을 체계적으로 관리하고 운영하기 위한 제도입니다.
#### 과학기술정보통신부와 방송통신위원회, 행정안전부가 법과 제도 개선 및 정책 결정을 하며, 인증기관 및 심사기관을 지정합니다.
#### ISMS-P의 경우 한국인터넷진흥원(KISA)이 한국정보통신진흥협회(KAIT)와 한국정보통신기술협회(TTA)에 위임하여 심사를 진행합니다.
#### ISO27001의 경우 BSI, DNV GL등에서 심사를 진행합니다.
## 인증심사
#### 인증심사는 최초 심사와 2회의 사후 심사, 그 후 갱신심사로 이루어져있습니다.
#### 102개의 인증기준(ISO27001 114개)을 가지고 있으며
#### * 관리체계 수립 및 운영에 4개 분야 16개의 인증기준(필수),
#### * 정보보호대책 요구사항부분에 12개분야 64개의 인증기준(필수),
#### * 개인정보 처리단계별 요구사항에 4개 분야 22개의 인증기준(선택)
#### 으로 되어 있습니다.
<img class="img img-raised rounded" src="/static/assets/img/isecure/standard2.png" alt="인증심사" >
## 심사대상
#### 자율신청자와 의무대상자가 있습니다.
#### <mark-yellow>자율신청자</mark-yellow>의 경우 의무대상자 기준에는 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축운영하는 기업기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있습니다.
#### <mark-yellow>인증 의무대상자(정보통신망법 제47조 2항)</mark-yellow>는 <전기통신사업법> 제2조 제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신 역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음의 목록(출처: KISA)에서 기술한 의무대상자 기준에 하나라도 해당하는 경우입니다.
```
* ISP: 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자
* IDC: 정보통신망법 제46조에 따른 집적정보통신시설 사업자
* 다음의 조건 중 하나라도 해당하는 자:
* 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
* 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자
* 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
* 「의료법」 제3조의4에 따른 상급종합병원
* 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
```
#### 의무대상자의 미인증시 매년 3,000만원의 과태료가 부과됩니다.
## 인증심사 절차
#### 인증 기준에 맞는 조직 체계 구축, 최소한 2개월 이상의 증적, 인증심사 그리고 결함 보완 조치의 순서로 진행됩니다. 소요 기간은 최소 4개월에서 평균적으로 6개월 이상의 시간이 소요됩니다.
#### 준비기간도 짧지 않고, 2개월이상의 운영 증적과 최대 100일의 결함 조치 기간이 포함되므로 적지 않은 시간이 소요됩니다. 충분한 시간을 갖고 대비한다면 어렵지 않게 대응할 수 있습니다.
## 주요 결함
#### 다음의 차트는 최근 아이시큐어의 고객사 컨설팅 결과 결함 내용등을 정리한 것입니다. 대부분의 경우 서버를 운영하면서 발생하는 문제들과 중요 서비스에 대한 접근통제에 관련된 문제가 최상위에 있음을 알 수 있습니다.
<img class="img img-raised rounded" src="/static/assets/img/isecure/result.png" alt="결함">
## 컨설팅
#### 컨설팅의 수행의 주체는 관리, 기술 부분을 담당하는 전문 컨설턴트와 고객사의 보안 담당자가 주축이 되어야 합니다. 또한 무엇보다도 <mark-yellow>경영진의 적극적인 지원과 관심</mark-yellow>이 필요합니다.
<img class="img img-raised rounded" src="/static/assets/img/isecure/consulting.png" alt="컨설팅">
#### 컨설턴트는 보안담당자와 각 부문의 담당자들과 인터뷰와 현장조사를 통해 현재의 보안 현황을 파악하고, 보안정책부터 시작하여 해당 조직에 맞는 보안 프로세스를 구축해 나갈 것입니다.
#### 최종적으로 충분한 교육과 인수인계 작업을 통해 보안 인식 제고와 인증심사 대비를 하게 됩니다.
<img class="img img-raised rounded" src="/static/assets/img/isecure/process.png" alt="컨설팅">
## 위험관리
#### 사업은 위험을 관리하여 효율적으로 조직의 목적을 달성하는 것입니다.
#### 위험을 처리하는 방법에는 4가지가 있습니다.
```
1. 위험 수용(Acceptance): 잠재적인 위험을 감수하고 수행
2. 위험 감소(Reduction): 대책을 마련하여 위험발생 가능성을 감소
3. 위험 회피(Avoidance): 위험이 존재하는 사업, 프로세스를 포기
4. 위험 전가(Transfer): 보험이나 외주등을 통해 위험을 이전
```
#### <mark-yellow>위험을 수용</mark-yellow>(특정 위험이 현실화되기 전에 적극적인 조치를 취하지 않고, 사후에 조치를 취하는 대응 방식)하는 이유는 해당 위험의 노출 수준이 높지 않을 경우, 투자 비용 대비 얻을 수 있는 효과가 미비하다고 생각하기 때문입니다.
#### 하지만 수많은 보안사고에서 보여주듯이 위험 수준은 이미 감내할 수 있는 임계치를 넘어서고 있으며, 무관심한 사이 벌어지는 보안사고는 막대한 피해를 유발시킬 수 있습니다.
#### 보안사고의 직접적인 피해뿐만 아니라 법적인 규제도 강화되고 있습니다. 고객에게 잘못 보낸 문자 하나로도 신고를 통해 수백만원의 과태료가 부과되거나, 보안사고로 인해 법인뿐만 아니라 보안책임자들에 대한 형사고발이 진행되고 있습니다.
#### 이러한 위험을 최소화하기 위해서는 더욱 적극적인 <mark-yellow>위험감소</mark-yellow> 활동이 필요합니다.
<img class="img img-raised rounded" class="img img-raised rounded" src="/static/assets/img/isecure/investment.png" alt="위험관리">
## 인증의 필요성
#### 인증 여부를 떠나 기업, 조직,개인의 정보보호를 위한 활동은 <mark-yellow>사회적 존재 가능성</mark-yellow>을 결정짓는 중요한 역할을 하고 있습니다.
#### 이제 보안에 대한 관심과 적절한 투자는 사업의 목표를 이루기 위한 필수조건입니다.
#### 보안에 대한 위험을 감소시키기 위해 주요 자산들에 대한 보호, 사무 환경 보호, 보안 인식 제고등에 필요합니다. 이러한 기존의 단편적이고 체계적인 못한 보안 체계를 ISMS-P(정보보호관리체계 인증)를 통해서 강력하게 구축할 수 있습니다.