ISMS: Information Security Management System 정보보호 관리체계 인증은 정보 통신 서비스 제공자가 정보 통신망의 안정성 및 신뢰성을 확보하기 위해 만들어졌습니다.
정보 자산의 기밀성, 무결성, 가용성을 실현하기 위한 관리적, 기술적 수단과 절차 및 과정을 체계적으로 관리하고 운영하기 위한 제도입니다.
과학기술정보통신부와 방송통신위원회, 행정안전부가 법과 제도 개선 및 정책 결정을 하며, 인증기관 및 심사기관을 지정합니다.
ISMS-P의 경우 한국인터넷진흥원(KISA)이 한국정보통신진흥협회(KAIT)와 한국정보통신기술협회(TTA)에 위임하여 심사를 진행합니다.
ISO27001의 경우 BSI, DNV GL등에서 심사를 진행합니다.
인증심사는 최초 심사와 2회의 사후 심사, 그 후 갱신심사로 이루어져 있습니다.
102개의 인증기준(ISO27001 114개)을 가지고 있으며
으로 되어 있습니다.
의무신청대상
전기통신사업법 제2조 제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신 역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음의 목록(출처: KISA)에서 기술한 의무대상자 기준에 하나라도 해당하는 경우입니다.
의무대상자의 미인증시 매년 3,000만원의 과태료가 부과됩니다.
자율신청대상
의무대상자 기준에는 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축운영하는 기업기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있습니다.
인증 기준에 맞는 조직 체계 구축, 최소한 2개월 이상의 증적, 인증심사 그리고 결함 보완 조치의 순서로 진행됩니다. 소요 기간은 최소 4개월에서 평균적으로 6개월 이상의 시간이 소요됩니다.
준비기간도 짧지 않고, 2개월이상의 운영 증적과 최대 100일의 결함 조치 기간이 포함되므로 적지 않은 시간이 소요됩니다. 충분한 시간을 갖고 대비한다면 어렵지 않게 대응할 수 있습니다.
다음의 차트는 최근 아이시큐어의 고객사 컨설팅 결과 결함 내용등을 정리한 것입니다. 대부분의 경우 서버를 운영하면서 발생하는 문제들과 중요 서비스에 대한 접근통제에 관련된 문제가 최상위에 있음을 알 수 있습니다.
컨설팅의 수행의 주체는 관리, 기술 부분을 담당하는 전문 컨설턴트와 고객사의 보안 담당자가 주축이 되어야 합니다. 또한 무엇보다도 경영진의 적극적인 지원과 관심이 필요합니다.
컨설턴트는 보안담당자와 각 부문의 담당자들과 인터뷰와 현장조사를 통해 현재의 보안 현황을 파악하고, 보안정책부터 시작하여 해당 조직에 맞는 보안 프로세스를 구축해 나갈 것입니다.
최종적으로 충분한 교육과 인수인계 작업을 통해 보안 인식 제고와 인증심사 대비를 하게 됩니다.
사업은 위험을 관리하여 효율적으로 조직의 목적을 달성하는 것입니다.
위험을 처리하는 방법에는 4가지가 있습니다.
위험을 수용(특정 위험이 현실화되기 전에 적극적인 조치를 취하지 않고, 사후에 조치를 취하는 대응 방식)하는 이유는 해당 위험의 노출 수준이 높지 않을 경우, 투자 비용 대비 얻을 수 있는 효과가 미비하다고 생각하기 때문입니다.
하지만 수많은 보안사고에서 보여주듯이 위험 수준은 이미 감내할 수 있는 임계치를 넘어서고 있으며, 무관심한 사이 벌어지는 보안사고는 막대한 피해를 유발시킬 수 있습니다.
보안사고의 직접적인 피해뿐만 아니라 법적인 규제도 강화되고 있습니다. 고객에게 잘못 보낸 문자 하나로도 신고를 통해 수백만원의 과태료가 부과되거나, 보안사고로 인해 법인뿐만 아니라 보안책임자들에 대한 형사고발이 진행되고 있습니다.
이러한 위험을 최소화하기 위해서는 더욱 적극적인 위험감소 활동이 필요합니다.
인증 여부를 떠나 기업, 조직, 개인의 정보보호를 위한 활동은 사회적 존재 가능성을 결정짓는 중요한 역할을 하고 있습니다.
이제 보안에 대한 관심과 적절한 투자는 사업의 목표를 이루기 위한 필수조건입니다.
보안에 대한 위험을 감소시키기 위해 주요 자산들에 대한 보호, 사무 환경 보호, 보안 인식 제고등에 필요합니다. 이러한 기존의 단편적이고 체계적이지 못한 보안 체계를 ISMS-P(정보보호관리체계 인증)를 통해서 강력하게 구축할 수 있습니다.
체계적인 정보보호 관리체계를 구축하여 안전하고 신뢰할 수 있는 서비스를 제공하세요.
귀하의 조직에 맞는 최적의 보안 솔루션을 제안해 드립니다