1. BS7799 국제보안표준
Download
Report
Transcript 1. BS7799 국제보안표준
제6장
정보보호관리시스템
도경화
2008.10
[email protected]
1. BS7799 국제보안표준
1.1 BS7799 소개
1.2 BS7799 구성요소
1.3 BS7799 특징
1.4 BS7799 인증 체계
1.5 BS7799 인증 획득현황
Copyright © 2008 도경화 :: [email protected]
1. BS7799 국제보안표준
1.1 BS7799 소개
BS7799 도입배경
품질표준(ISO 9000) , 환경표준(ISO 14000)에 이어 대두되는 보안 국제 표준
Security Round(ISO/IEC JTC1 SC27)에서 국제 표준화 작업
2000년 10월, BS7799 Part1이 ISO 17799 Part1으로 이전됨.
2002년 7월 31일, 산업자원부에서 KS-X ISO/IEC 17799로 표준화 완료
2006년 2006년 BS7799 Part2도 ISO 27001 표준화 완료
BS7799 의 장점
BS7799 체계
정보보안 대상의 범위 정의
GAP 분석
위험평가의 수행
(모의해킹, 스캐닝, 위험분석)
정보보안을 10개의 영역, 127개 통제 항목으로 구분하여 제시함
조직의 정보보안 관리 체계(Information Security Management System) 의
수립과 실행에 대한 가이드를 제시함
BS7799 인증 後 대외적인 신뢰도와 경쟁력을 확보할 수 있음
BS7799 를 표준으로 채택한 국가
영국, 일본, 호주, 뉴질랜드, 스웨덴, 브라질, 덴마크, 태국, 아일랜드, 네덜란드,
노르웨이, 남아프리카공화국 등에서 표준으로 채택하였으며, 미국과 유럽의
대부분의 국가에서 사용되고 있다.
2000년 12월, 일본 통산성은 BS7799 를 국가표준으로 채택하여 일본 공업
규격화 하고 정보보안 관리체계(ISMS) 인증 제도를 시행하고 있음
Copyright © 2008 도경화 :: [email protected]
관리할 위험 영역의 도출
BS7799 통제항목의 선택 및
수행과제 선정
보안 문서 및 절차, 정책의
작성
BS7799 감사 및 인증
지속적인 관리 수행 및 점검
1. BS7799 국제보안표준
1.2 BS7799 구성요소
BS7799-Part1 (Code of practice for information security management)
보안 통제 항목
현재 사용되고 있는 최선의 정보보안 실무들로 구성된 종합적인 보안 통제 목록을 제공
10개 주요분야의 127개 통제 항목들로 구성
통제 항목들은 핵심 통제들로서 필수적인 요구 사항이거나 정보보안을 위한 기초적인 구성 요소이며,
조직이 정보보안 통제를 구현하는데 기반이 됨
실질적인 업무 또는 책임을 맡고 있는 사람들이 특별한 지역에 적합한 실질적인 세이프 가이드를 식별 할 수
있도록 통제항목을 정의
위험관리의 중요성을 강조하고 있으며 관련된 지침만 실행하면 되는 것으로 하고 있음.
BS7799의 범위는 음성과 그래픽 그리고 휴대폰과 팩스와 같은 매체를 포함한 모든 형태의 정보에 대해서 다루고
있음. 또한 전자상거래, 인터넷 , 아웃소싱, 텔레워킹 그리고 이동 컴퓨팅 같은 업무를 수행하는 새로운 방식을
감안하고 있음,
Copyright © 2008 도경화 :: [email protected]
보안방침 : 정보보안에대한 경영방침과 지원사항을 제공하기 위함
보안조직 : 조직 내에서 보안을 효과적으로 관리하기 위해서는 보안에 대한 책임을 배
정
자산분류 및 관리 : 조직의 자산에 대한 적절한 보호책 유지
직원의 보안 : 사람에 의한 실수, 절도, 부정수단이나 설비의 잘못사용으로 인한 위험
감소
의사소통 및 운영관리 : 정보처리 설비의 정확하고 안전한 운영을 보장하기 위함
접근통제 : 정보에 대한 접근통제를 하기 위함
시스템개발 및 유지 : 정보시스템내에 보안이 수립되었음을 보장하기 위함
사업지속성 관리 : 사업활동에 방해요소를 완화시키며 주요실패 및 재해의 영향으로부
터 사업활동을 보호하기 위함
부합성 : 범죄 및 민사상의 법률, 법규, 규정 또는 계약 의무사항 및 보안 요구사항의 불
일치를 회피하기 위함
Copyright © 2008 도경화 :: [email protected]
1. BS7799 국제보안표준
1.2 BS7799 구성요소 - 계속
BS7799-Part2 (Specification for information security management)
관리 표준
정보보안 관리체계(ISMS)에 대한 규격으로 정보보안 관리체계 문서화 수립실행에 대한 요구사항과 개별조직의
필요성에 따라 실행 될 수 있는 정보보안관리 요건을 규정
“조직은 문서화된 ISMS를 구축하고 유지해야 한다.”
: 보호대상의 자산과 위험관리에 대한 조직의 접근과 통제목표 및 방안, 그리고 요구되는 보장수준을
언급해야 한다는 것을 의미함.
PDCA (Plan, Do, Check, Act) 모델로 구성되어 있음
어떻게 BS7799를 적용하고 ISMS를 구축하는지 알려줌
정보보안 관리체계 프레임워크를 수립하는 6단계 프로세스 정의
BS7799 인증을 위한 규격임
ISO 17799-Part2는 BS7799-Part2에서 이전 예정임.
Copyright © 2008 도경화 :: [email protected]
1. BS7799 국제보안표준
1.3 BS7799 특징
다른 보안관리 표준 지침들이 IT를 대상으로 보안 기술의 상세 부분까지
규정하고 있는데 비해, BS7799는 관리시스템에 대한 보편적, 포괄적인
가이드, 기준을 나타내고 있으며, 또 하나는 전자매체로 한정하지 않고
종이 매체 등 여러 가지 정보자산을 보안의 대상으로 하고 있는 것이다.
각 조직에 대해서 획일적인 요구사항을 부과하는 것이 아니라,
각각의 조직이 위험 분석을 수행하고 보안관리를 실시하도록 요구하는 것
이다.
Copyright © 2008 도경화 :: [email protected]
1. BS7799 국제보안표준
1.4 BS7799 인증 체계
영국의 상무성을 대리하여 영국표준협회
(BSI/DISC)에서 BS7799를 관리하고 있다.
BSI/DISC
(스킴관리자)
UKAS
인증서를 발급받기 위해서는 해당 ISMS는 독
립된 제삼자인 BS7799 평가자(assessor)에
인증기관
인가
의한 감사를 받아야 한다. 평가자의 자격에 대
해서는 엄격한 규칙이 적용된다. 평가자가 소
BS7799
유지
인증기관
속된 평가기관은 영국인증서비스(UK
Accreditation Service; UKAS)의 인가를 받
평가 및 인증서
발급
아야 한다. 평가자는 해당 ISMS가 적절히 운
영되고 있는지 주기적으로 확인한다.
Copyright © 2008 도경화 :: [email protected]
준수
ISMS
BS7799
1. BS7799 국제보안표준
1.5 BS7799 인증 획득현황
2005년 12월 기준, 전세계 2017개 업체가 BS7799 인증을 획득함. (국내 38개 업체)
전세계 BS7799 인증 현황
BS7799 국내 인증 획득업체
1. 우리은행 (구, 한빛은행)
2. 한화S&C
3. 현대정보기술
4. 프리즘커뮤니케이션
5. 데이콤
6. 에이쓰리시큐리티컨설팅
7. 삼성전자
8.(주)안랩코코넛
9. LG카드
10. 삼성생명
11. 삼성화재
12. 국민은행
13. 대구은행
14. 부산은행
15. BC카드
16. 신한은행
17. CJ홈쇼핑
18. 한국씨티은행
19. 교보생명
20. 동원증권
21. KTF
22. 인젠
23. SK C&C
24. LG화학 기술연구원
25. 삼성전자 LCD총괄
26. 포스코
27. 오토에버시스템즈
28. 증권예탁원
29. SK텔레콤
30. 삼성전자 미국 오스틴 반도체 사업장 (확장)
31. 삼성전자 중국 쑤저우 반도체 사업장 / 연구소 (확장)
32. 기업은행
33. 서울특별시
34. 포스코 기술연구소
35. 삼일회계법인
36. 한국개인신용 주식회사
37. 한국원자력연구소
38. 대한생명보험(주)
해외 BS7799 인증 획득 업체 : Sony, ABB, Citi Bank, British Telecom, KPMG 등
Copyright © 2008 도경화 :: [email protected]
2. BS7799 인증 추진절차
3.1 개요
3.2 사전 심사 (Pre-Assessment)
3.3 문서 심사 (Desktop Review)
3.4 현장 심사 (본심사)
3.5 인증 심사결과 보완
3.6 인증 수여식 진행방안
Copyright © 2008 도경화 :: [email protected]
2. 인증 컨설팅 추진절차
2.1 개요
BS7799 인증 획득을 위하여 문서심사, 현장심사를 적극 지원하며, 심사 시 지적된 보완 요구사항
에 신속한 대응으로 인증 획득 목표를 달성함
인증 심사 前 사전심사(Pre-Assessment)를 실시하여 인증 준비사항을 점검함
인증 심사 Process
Requirements
문서심사
사전 심사
- 적용성 보고서 심사 (한글/영문판)
문서심사 지원
- 정보보안 정책/지침 심사
문서 심사
- 정보보안 조직 및 역할/책임 할당 심사
현장심사 지원
BS7799
인증심사
현장 심사
- 정보보안 관리체계 운용 Evidence 확인
기술심사
결과 검토
- 정보보안 관리체계 운용 담당자 질의응답
No
인증심사 지원
- 정보보안 관리체계 운용 Evidence 실사
문제점
보완사항
Yes
보완조치요청
고객사
조치결과
- 시스템 및 네트워크 보안점검 및 현장 실사
보완조치 결과 확인
BS7799
인증요구사항
심사결과보고서 작성
위험 평가 결과에 의한 보안통제 항목 적용
적용성 보고서 (Statement of Applicability)
인증위원회 개최
산출물
인증서
인증서 발급
Copyright © 2008 도경화 :: [email protected]
PDCA에 의한 정보보안 관리체계 운용
- 정보보안 계획 수립
- 정보보안 관리체계 운용
- 정보보안 감사
- 정보보안 관리체계 개선
인증 심사 신청서
Non-Conformity List
2. 인증 컨설팅 추진절차
2.2 사전 심사 (Pre-Assessment)
BS7799 인증심사는 문서심사와 현장심사로 구성됨
인증심사 前 사전심사(Pre-Assessment)를 통해 인증 준비사항 점검 및 미비점 보완을 실시함
(사전심사는 BS7799 인증의 필수(Mandatory) 요구사항은 아님)
사전 심사
BS7799 인증심사 신청
구분
개요
정보보안 관리체계 운영 및 관련 Evidence 등
이 BS7799 인증 요구사항에 부합한지 사전 점
검을 통하여 정보보안 관리체계 개선 및 보완을
통하여 인증을 획득을 위한 문서심사, 현장심사
에 대비하고자 함
영역
해당 영역
기간
3일간
사전 심사
문서 심사
현장 심사
결과 검토
심사원
Yes
심사
대상
지원
대상
인증기관과의 일정 협의/조정 지원
인증심사 통역 지원
사전심사 요구 Evidence 산출 지원
정보보안 정책/지침 개선 지원 등
보완조치 결과 확인
인증서 발급
인증 수여식
BS7799 인증기관 (심사원 2명)
인증 신청 Scope Review
고객사 정보보안 정책/지침
해당 영역 정보보안 관리체계 운영 Evidence
- 정보보안 정책/지침의 적절성 여부
: 정보보안 정책/지침
- 자산분류 및 평가의 적절성
: 자산리스트 및 자산평가 Sheet
- 정보보안 조직 구성 및 임직원의 역할/책임
할당 현황 : 직무기술서, 조직도 등
No
문제점
보완조치요청
내 용
Copyright © 2008 도경화 :: [email protected]
2. 인증 컨설팅 추진절차
2.3 문서 심사 (Desktop Review)
정보보안 정책, 정보보안 관리체계 운영 Evidence 등에 대한 문서심사(Desktop Review)를 실시함
문서 심사 (Desktop Review)
구분
사전 심사
문서 심사
개요
BS7799 인증 심사의 첫번째 단계로 정보보
안 정책, 조직 및 정보보안 관리체계 운영 증
적을 현장실사를 제외한 Desktop Review함
문서 심사 중 심사원은 지적 사항(NonConformity) 리포트를 작성 제출함
영역
해당 영역
기간
4일간
현장 심사
결과 검토
No
문제점
Yes
심사원
보완조치요청
보완조치 결과 확인
심사
대상
인증서 발급
인증 수여식
내용
지원
대상
BS7799 인증기관 (심사원 3명)
적용성 보고서 (Statement of Applicability)
BS7799 Part2:2002 요구사항 준수 여부
고객사 정보보안 정책/지침
해당 영역 정보보안 관리체계 운영 Evidence
등
인증기관과의 일정 협의/조정 지원
인증심사 통역 지원
심사원 지적사항(Non-Conformity)보완지원
Copyright © 2008 도경화 :: [email protected]
[BS7799 문서심사 장면]
2. 인증 컨설팅 추진절차
2.3 문서 심사 (Desktop Review) - 계속
정보보안 관리체계의 개선 및 운영을 통해 BS7799 인증 심사 요구문서 확인
BS7799 인증 심사 문서
영역(Domain)
BS7799 인증 심사 요구 문서
1. 정보보안정책
정보보안정책서, 표준문서, 지침서, 절차서, 정보보안정책 및 관련문서의 변경 내역서
2. 정보보안 조직
조직도, 정보보안관리자 직무기술서, 정보보안위원회 운영규정, 정보보안정책서
3. 자산분류 및 관리
정보자산목록, 자산분류 기준, 정보자산 목록 유지관리 절차서
4. 인적 정보보안
계약서, 서비스 수준 협약서, 서비스 관리 보고서, 정보보안대책 적용 명세서
직무기술서(직무분류서), 채용조건서, 인사보안정책(규정), 계약서(샘플), 퇴직절차서(샘플)
정보보안 교육 훈련 계호기서, 정보보안 교육 훈련 자료, 정보보안 교육 훈련 평가자료
5. 물리적, 환경적 정보보안
물리적 보안 정책 및 절차, 각 구역별 출입허가자 명단, 각 구역별 외부출입자 명부, 장비 반출입 기록(샘플),
데이터센터 및 우너격지 백업 사이트 시설 배치도, 장비점검표 및 유지보수 기록
6. 통신 및 운영관리
네트워크 구성도, 운영지침 및 절차서, 네트워크 관리 및 보안지침/ 절차서, 매체관리 지침/절차서, 악성
소프트웨어 지침/절차서, 변경관리 지침/절차서, 성능관리 지침/절차서, 용량관리 지침/절차서, 상호교환합의서,
전자거래지침, 법적 요구사항 정의서, 전자우편 사용 및 관리 지침, 웹서버 관리지침, 보안사고 관련 정책, 지침,
절차서, 보안사고 대응 계획서, 보안사고 보고서, 보안사고 대응 조직도 등
7. 접근통제
정보시스템 접근 통제 정책 및 절차, 사용자 계정 관리 절차, 접근 통제 소프트웨어 목록 등, 정보시스템 접근
통제 정책 및 절차, 사용자 계정 관리 절차, 정보자산 등급 분류체계
8. 시스템 개발 및 유지
요구사항 분석서, 분석 및 설계서시스템 개발 표준문서, 시스템 시험계획 및 결과, 시스템 개발 및 변경절차
서, 시스템 변경관리 절차, 변경요청서 및 결과서, 변경 영향분석서, 운영 매뉴얼 암호 사용정책(지침), 사용되는
암호제품 매뉴얼, 암호 키 관리지침
9. 사업 연속성 관리
업무연속성관리 방법, 업무연속성 계획서, 업무연속성계획 시험 프로그램, 업무연속성 계획 교육 및 훈련
프로그램, 업무연속성 계획 갱신 및 변경 관리 절차
10. 준거성
법적 요구사항 정의서, 점검결과서, 모니터링 보고서, 감사증적 관리지침 및 절차서 등
※ 인증 심사 시 상기 기술한 정보보안 관리체계 운영 Evidence의 추가/삭제가 가능함.
Copyright © 2008 도경화 :: [email protected]
2. 인증 컨설팅 추진절차
2.4 현장 심사 (본심사)
인증 문서심사 時 지적된 미비점 보완 후, 정보보안 관리체계 운영에 대한 현장 실사를 실시함
- 인증 심사원의 고객사 현장 방문, Evidence 확인 및 담당자 인터뷰 실시
- 소요기간 : 3일간
현장 심사 (본 심사)
구
분
내 용
개
요
BS7799 인증 신청 영역 內 운영 중인
정보보안 관리체계의 BS7799 Part2
요구사항 준수 여부를 현장 실사함.
영
역
해당 영역
기
간
5일간
사전 심사
문서 심사
현장 심사
결과 검토
No
문제점
심사원
BS7799 인증기관 (심사원 3명)
심사대상
인증서 발급
해당 영역 정보보안 관리체계 운영 현
장 실사 실시
- 정보보안 관리체계 담당자 인터뷰 실
시
- 운영 증적 유지관리 현장 확인
인증 수여식
인증기관과의 일정 협의/조정 지원
Yes
보완조치요청
보완조치 결과 확인
지원대상
Copyright © 2008 도경화 :: [email protected]
인증심사 통역 지원
심사원 지적사항(Non-Conformity) 보
완 지원
[BS7799 문서심사 장면]
3. 인증 컨설팅 추진절차
3.5 인증 심사결과 보완
문서심사와 현장심사 時 인증 심사원은 BS7799 Part2:2002 요구사항 준수 여부를 점검하여 부적합
(Non-Conformity) 보고서를 작성하여 고객사 측에 제출함
고객사와 컨설팅하우스는 시기 적절하고 빠른 대응으로 인증 획득 기간을 단축함
사전 심사
• 부적합 사항에 대한 고객사
와 심사원간의 합의/서명
문서 심사
현장 심사
• 인증심사 결과 부적합 상세
내용 기술 (심사원)
결과 검토
No
문제점
• 부적합 사항에 대하여 고객사
측의 개선 조치사항 기술
Yes
보완조치요청
• 인증기관에 제출 (13주 이내)
보완조치 결과 확인
인증서 발급
인증 수여식
[ 부적합 보고서 (Non-Conformity Note) 사례 ]
Copyright © 2008 도경화 :: [email protected]
3. 인증 컨설팅 추진절차
3.6 인증 수여식 진행방안
BS7799 인증심사 통과 시 인증 관련 내ㆍ외빈 참석 하에 인증 수여식을 진행함
- 인증 획득을 위하여 현장심사 時 지적된 미비점의 보완이 선행되어야 함
인증 수여식 진행
[노르웨이 대사(아륄드 브로스타드)의 BS7799 인증 수여 장면]
참석 대상
사전 심사
- 외교관급 내외빈
- 고객사 임원, 프로젝트 TFT
- 인증기관 임원
문서 심사
장소
현장 심사
- 추후 협의
소요시간
결과 검토
- 60분
No
문제점
Yes
보완조치요청
보완조치 결과 확인
인증서 발급
인증 수여식
지원사항
- Global Leading Company로서의
고객사 위상에 부합하는 외교관급
외빈을 초청 진행함.
- 고객사와의 협의 하에 사전 행사
시나리오 작성, 장소 섭외, 의전 준비
등의 예행연습으로 인증 수여식 준비에
만전을 기함.
- 인증 수여식의 제반 준비는 외교 의전
수준에 부합하게 준비함.
Copyright © 2008 도경화 :: [email protected]
[KISA 김창곤 원장의 정보보안 관리체계 인증 수여 장면]
3. 인증 컨설팅 추진절차
3.6 인증 수여식 진행방안 - 계속
BS7799 인증 수여식의 원활한 진행을 위하여 외교 의전 수준에 부합한 행사 시나리오를 사전
준비하여 행사 준비에 만전을 기함
인증수여식 진행 시나리오 사례
진행 계획
의전준비
(11:00 ~ 11:03)
사장 상견례
(11:10 ~ 11:20)
세부 사항
비고
외교관급 외빈 도착
- 11시 00분 고객사 정문 도착
- 안내접견
: 홍길동 차장 안내하여 12층 사장실 안내
- 사장실에서 상견례 및 환담 (10분)
: 고객사 사장/임원, 외빈
- 인증 수여식장으로 이동 (10층 행사장)
안내데스크 1명
홍길동 차장 안내
사장 비서 안내
홍길동 차장 안내
BS7799 인증 수여식
행사 시작
(11:30)
가. 인사말 : 홍길동 차장
- 지금부터 고객사 국제보안표준 BS7799 인증 수여식을 시작하겠습니다.
행사 진행
(11:30 ~ 12:00)
나. 소개 : 홍길동 차장
- 먼저 바쁘신 와중에도 본 BS7799 인증 수여식에 참석해 주신 OOO 외빈님, 인증기관 관계자 여러분,
고객사 사장님 외 임원진 여러분께 감사드립니다.
다. 경과보고 : 홍길동 차장
- 다음은 고객사 국제보안표준 BS7799 인증획득에 대한 경과를 간단히 말씀 드리겠습니다. - 중략 –
라. 인증서 수여 : 홍길동 차장
- 다음은 인증서 수여가 있겠습니다. 인증서 수여는 OOO외빈님께서 고객사 사장님께 해주시겠습니다.
- 사장님과 OOO외빈님께서는 앞으로 나와주시기 바랍니다.
- 인증서 수여식 (박수)
- 자리로 돌아가 주시기 바랍니다.
마. 축사 : 홍길동 차장
- 이어서 축사가 있겠습니다. 먼저 고객사 사장님께서 축사를 해주시겠습니다.
- 다음으로 OOO 외빈님께서 말씀해주시겠습니다. – 중략 –
– 중략 –
바. 마무리 : 홍길동 차장
- 이상으로 고객사 국제보안표준 BS7799 인증수여식 행사를 모두 마치겠습니다. 감사합니다.
- 이어서 기념촬영이 있겠습니다. 모두 앞으로 나와 주시기 바랍니다.
* 고객사 인증 수여식 상세 일정은 사전 협의하에 변경 가능함
Copyright © 2008 도경화 :: [email protected]
3. 인증 컨설팅 추진절차
3.6 인증 수여식 진행방안 - 계속
BS7799 인증 수여식의 사내ㆍ외 홍보를 위하여 국내 주요 일간지 및 사내 신문/방송을 활용함.
- 국내 언론 홍보 : 한국경제신문, 매일경제신문, 전자신문, 디지털타임스, 파이낸셜 뉴스 등
- 사내 홍보
: 사내 정기 간행지, 사내 방송 등
- 인증 획득을 IR 자료로 활용 가능함.
언론 홍보 사례
삼성화재, 국제 보안인증, 2003년 05월 28일 (수)
삼성화재는 국내 보험업계 최초로 고객정보 보안과 관련된 안전성을 인정
하는 '국제 보안인증'을 받았다.
삼성화재(www.samsungfire.com 사장 이수창)는 노르웨이 국제 표준인증
기관(DNV)으로부터 역시 BS7799 인증을 받았다 고 28일 밝혔다.
삼성화재, BS7799 인증 수여식 개최
전자신문, 2003년 06월
'BS7799'는 1955년 영국에서 제정된 세계 유일의 국제보안 표준규격으로,
삼성화재가
DNV 등의 기관에서 이를 대행해주고 있다. 이 인증은 95년 제정된
영국 정 11일 본사 경영 회의실에서 이수창 삼성화재 사장(왼쪽에서
부의 정보보안 관리체계로서 정보보안 분야의 유일한 국제 표준 네번째)과
인증방식 아릴드 브로스타드 노르웨이 대사(왼쪽에서 다섯번째) 등 50여
명의 관계자들이 참석한 가운데 ‘국제보안표준 BS7799 인증 수여식’ 행
으로 공인 받고 있다.
사를 가졌다. 삼성화재의 이번 ‘BS7799’ 보안인증서는 IT 전부문을 대상
획득한
삼성화재는 이번 인증 획득을 위해 각각 지난해 12월과 올초부터으로
10개
분 것이다. IT 전부문 획득은 국내 금융기관 중 처음이다.
야 127개 심사항목에 맞춰 보안 전담조직 부문을 신 설해 보안요소를 체계
삼성화재 국제 보안인증 획득
적으로 관리해왔다.
2003년 05월 28일 (수)
삼성화재가 국내 보험업계에서는 처음으로 국제 보안인증을 받았다.
삼성화재는 28일 세계적 국제표준 인증기관인 영국표준협회(BSI)로부터 국 제 정보보안 표준 규격인 'BS7799' 인
증을 획득했다고 밝혔다.
현재 전 세계 27개국 245개 기업이 인증을 받았으며 국내에서는 삼성전자 를 비롯한 11개 업체가 인증을 획득했다.
삼성화재는 노르웨이의 국제 표준 인증기관인 DNV로부터 BS7799 인증을 받았다.
Copyright © 2008 도경화 :: [email protected]
4. 국내 정보보호관리시스템 인증 제도
4.1 인증제도
정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절
차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시
스템
즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현,
사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유
기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여
– 제3자의 인증기관(한국정보보호진흥원)이 객관적이고 독립적으로 평가
하여 기준에 대한 적합 여부를 보증해주는 제도
Copyright © 2008 도경화 :: [email protected]
목적
– 정보자산의 안전, 신뢰성 향상
– 정보보호관리에 대한 인식 제고 (내부자소행 85%)
– 조직의 정보보호역량 강화를 통한 국가 주요정보통신기반시설의보호 및 국제
적신뢰도 향상
– 정보보호서비스 산업의 활성화
법적 근거
– <의무사항은 아니며 대상사업자가 자율적으로 신청>
- “정보통신망이용촉진및정보보호등에관한법률” 제47조
- “정보통신망이용촉진및정보보호등에관한법률시행령” 23조의2
- “정보통신망이용촉진및정보보호등에관한법률시행규칙”6조
※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이
효율적일 수 있도록 하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로
법적 책임과는 무관함
Copyright © 2008 도경화 :: [email protected]
Copyright © 2008 도경화 :: [email protected]
4. 국내 정보보호관리시스템 인증 제도
4.2 인증제도 특징
국내 실정에 적합한 정보보호관리 모델 제시
- 공신력 있는 정보보호 전문기관(KISA)에 의한 심사 및 인증
- 국내 최고의 분야별 전문가들에 의한 인증 심사
- 국내 정보보호관련 법제도 반영
- 기술심사 강화를 위한 모의진단 수행(요청시)
- 안전진단 대상자가 ISMS 인증 취득 시 면제(당해년도)
추진체계
Copyright © 2008 도경화 :: [email protected]
Copyright © 2008 도경화 :: [email protected]
인증심사의 종류
– 인증심사, 갱신심사, 재심사, 사후관리심사로 구분한다. 기본적으로 인증유효기간은
3년이며, 인증취득 후 1년 에 1회 이상 사후관리심사를 받아야 함
– 인증심사 :최초로 인증을 받는 경우의 심사
– 갱신심사 : 인증 유효기간(3년) 만료 이전에 유효기간의 연장을 목적으로 실시하는
심사
– 재심사 : 인증을 받은 ISMS 범위 내에 중대한 변화가 발생하는 경우 실시하는 심사
(이때, 인증유효기간은 재심사 후 3년 임)
– 사후관리심사 : 인증 받은 기관이 ISMS를 지속적으로 유지하고 있는 지를 점검하는
심사
Copyright © 2008 도경화 :: [email protected]
4.3 인증심사 수수료
소프트웨어 기술과 등급별 노임단가 적용
- 인증심사수수료는 종업원수, 서버수를 고려한 심사일 수에 따라 산정됨
인증심사 수수료 = 신청비 + 직접인건비 + 직접경비심사일 수 = 종업원 수에
따른 심사일 수 + 정보보호시설 규모에 따른 심사일수
직접인건비 = 기술자등급별단가(노임단가) × 심사일 수
Copyright © 2008 도경화 :: [email protected]
4. 국내 정보보호관리시스템 인증 제도
4.2 인증제도 특징
인증받은 기관(예) – 49개
ISMS 06-002
(주)다음커뮤니케이션
다음 인터넷 서비스 인프라 운영
2006-02-17 ~ 2009-02-16
ISMS 06-001
이니텍(주)
컨설팅 사업부문
2006-02-08 ~ 2009-02-07
ISMS 05-009
(주)안철수연구소
컨설팅서비스사업부
2005-12-28 ~ 2008-12-27
ISMS 05-008
한국통신인터넷기술(주)
KTIDC 종합 보안서비스
2005-12-07 ~ 2008-12-06
ISMS 05-007
상호저축은행중앙회
통합금융정보시스템(여의도전산센터)
2005-12-07 ~ 2008-12-06
ISMS 05-006
넷시큐어테크놀러지(주)
보안관제서비스
2005-12-07 ~ 2008-12-06
ISMS 05-005
한진정보통신(주)
Co-Location 및 서버온디맨드 서비스
2005-07-19 ~ 2008-07-18
ISMS 05-004
(주)대한항공
인터넷 예약, 발권 시스템
2005-06-27 ~ 2008-06-26
ISMS 05-003
(주)케이티프리텔
보안시스템 운영
2005-04-04 ~ 2008-04-03
ISMS 05-002
시큐아이닷컴(주)
정보보호센터(컨설팅사업팀)
2005-04-04 ~ 2008-04-03
ISMS 05-001
중소기업은행
인터넷뱅킹시스템
2005-03-08 ~ 2008-03-07
ISMS 04-018
법원행정처
등기인터넷서비스
2004-12-21 ~ 2007-12-20
ISMS 04-017
한국과학기술정보연구원
Korea@Home 사업
2004-11-22 ~ 2007-11-21
ISMS 04-016
(주)케이티
청주 KTIDC, Co-Location & 서버호스팅
2004-10-27 ~ 2007-10-26
Copyright © 2008 도경화 :: [email protected]