ISMS 인증 컨설팅_v0 4 1(16 6 2 시행)_드림솔루션

Download Report

Transcript ISMS 인증 컨설팅_v0 4 1(16 6 2 시행)_드림솔루션 

ISMS 인증 컨설팅
1. 개요
정보보호관리체계(ISMS) 인증은 다음과 같은 제도입니다
정보보호관리체계
(ISMS) 정의
• 조직의 주요 정보자산을 보호하기 위해 정보보호관리 절차와 과정을 체계적으로 수립
하여 지속적으로 관리 ·운영하기 위한 종합적인 체계
정의
• 조직이 정보자산의 기밀성∙무결성∙가용성을 실현하기 위한 관리체계를 수립하여, 운영
하고 있을 때, 그 관리체계가 방송통신위원회가 고시한 정보보호관리체계 인증심사
기준에 적합한지를 방송통신위원회가 지정한 기관, 한국인터넷진흥원에서 적합성
여부를 보증해주는 것
정보보호
관리체계
(ISMS)
인증제도
시행
근거
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조(정보보호 관리체계의 인증)
• ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통
신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의
어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. <신설 2015.12.1.>
• 정보통신망서비스 제공자(ISP)
의무
대상자
• 집적정보통신시설 사업자(IDC)
• 연간 매출액 또는 세입 등이 1,500억원 이상인 의료기관 및 금융회사이거나 정보통신
서비스 부문 전년도 매출액이 100억 이상 또는 3개월간의 일일평균 이용자 수 1만명
이상인 정보통신 서비스 제공자 (주요정보통신서비스 제공자) <신설 2015.12.1.>
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조(정보보호 관리체계의 인증)
제76조(과태료)
벌칙
• ① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하
는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다. <개정 2015.12.1.>
- 6의3. 제47조제2항을 위반하여 정보보호 관리체계 인증을 받지 아니한 자
※ 2015.12.1. 신설∙개정 사항은 2016.6.2. 시행됩니다.
Copyright(c) 2015 Dreamsolution., Ltd. All rights reserved
2
2. ISMS 인증기준
ISMS 인증기준은 관리과정 12개, 정보보호대책수립 92개의 104개 기준으로 254개의 세부점검항목이
있습니다
[ 관리과정 ]
단계
1
관리과정
정보보호정책수립
및 범위설정
항목
세부관리과정
1.1 정보보호정책의 수립
1.2 범위설정
[정보보호대책수립 ]
항목 수
단계
2
1
2.1 경영진 참여
2
경영진 책임 및 조직
정보보호 조직 구성 및
구성
2.2
자원 할당
3.1
3
위험관리
4
정보보호대책 구현
위험관리 방법 및 계획
수립
3.2 위험식별 및 평가
3.3
2
3
정보보호대책 선정 및
이행계획 수립
정보보호대책의 효과
4.1
적 구현
2
4.2 내부 공유 및 교육
법적요구사항 준수검
토
정보보호 관리체계 운
5.2
영현황 관리
5.1
5
사후관리
3
5.3 내부감사
계
통제분야
통제목적
항목 수
정보보호정책
정책의 승인, 공표, 유지관리 등
6
2
정보보호조직
조직 체계, 책임과 역할
4
3
외부자 보안
외부자 보안 이행
3
4
정보자산분류
정보자산 식별, 분류, 관리 등
3
5
정보보호교육
계획 수립, 시행 및 평가
4
6
인적보안
정보보호책임, 인사규정
5
7
물리적보안
물리적 보호구역, 사무실보호 등
9
8
시스템개발보안
분석, 설계, 구현, 이관보안 등
10
9
암호통제
암호정책, 키관리
2
10
접근통제
정책, 권한관리, 인증 및 식별 등
14
11
운영보안
시스템 및 서비스 운영 보안 등
22
12
침해사고관리
절차 및 체계, 대응 및 복구 등
7
13
IT재해복구
체계 구축, 대책 구현 등
3
계
92
12
참고 : http://isms.kisa.or.kr/kor/notice/dataList.jsp?p_No=48&b_No=48
Copyright(c) 2015 Dreamsolution., Ltd. All rights reserved
3
3. ISMS 인증절차 및 유효기간
ISMS 인증을 받기 위한 절차와 유효기간은 다음과 같습니다
7. 인증심사결과
심의의결 요청
인증
절차
인증
위원회
8. 심의의결
결과 통보
1. 인증심사 신청
2. 사전심사 및 계약
인증
기관
(KISA)
3. 인증심사팀 구성
6. 인증심사
결과보고서 제출
인증 심사팀
4. 인증심사
5. 보안조치
결과통보
인증
신청기관
9. 인증서 발급
재심사
인증
유효
기간
최초심사
1년
사후관리심사
1년
사후관리심사
1년
• 최초심사: 정보보호관리체계 인증 취득을 위한 심사
• 재심사: 인증을 받은 정보보호관리체계의 범위 내에서 중대한 변경이 발생한 경우의 심사
• 사후관리심사: 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상)
• 갱신심사: 유효기간(3년) 만료인 이전에 유효기간의 연장을 목적으로 하는 심사
Copyright(c) 2015 Dreamsolution., Ltd. All rights reserved
4
갱신심사
4. ISMS 인증 컨설팅 수행 단계
ISMS 인증 컨설팅 수행 단계는 다음과 같습니다
단계
계획 수립
현황 분석
위험평가
정보보호 문서화
고객사 준비사항
컨설팅 진행사항
 인증 범위 선정
 인증 범위 업무, 담당자, 정보시스템 현황 파악
 관련 자료 제공
 정보보호관리체계 범위 정의서 작성
 ISMS 인증 교육 참여
 ISMS 인증 교육 자료 작성 및 교육 실시
 인터뷰 지원
 정보보호대책 통제사항 선택
 위험평가 교육/인터뷰 참여
 위험평가 교육 자료 작성 및 교육 실시
 정보시스템 자산목록 작성 및 가치 산정
 정보시스템 자산목록 취합 및 정리
 위협/취약성 분석 수행
 위협/취약성 분석 지원
 위험분석 • 평가 보고서 및 정보보호 계
획서 검토
 위험도 산정 및 보호대책 선정
 기존의 보안관련 지침, 운영절차 제공
 정보보호 정책/지침/절차 갱신 및 신규 작성
- 신규작성 문서 : 위험평가 지침, 정보보호관리
체계 운영절차
 정보보호 정책/지침/절차 검토
 정보보호 정책/지침/절차 및 인증 관련
정보보호 문서 숙지
모니터링
 위험분석 • 평가 보고서 및 정보보호 계획서 작성
 정보보호대책명세서 작성
 정보보호 정책/지침/절차에 따른 정보보호
활동 수행
 정보보호 정책/지침/절차에 따른 보안운영 모니
터링 및 보안운영 증적자료 확보/작성
 정보보호 정책/지침/절차에 명시한 증적자료
작성 지원
 ISMS 인증 심사 대비 보안담당자 교육 실시
Copyright(c) 2015 Dreamsolution., Ltd. All rights reserved
5
 ISMS 인증 모의심사를 통한 최종 점검 및 수정
5. ISMS 인증 컨설팅 산출물
ISMS 인증 컨설팅 산출물은 다음과 같습니다
단계
세부 수행절차
내용
산출물
범위 선정 및 일정 수립
ISMS 인증 범위 선정 및 인증 추진계획 수립
정보보호관리체계
범위 정의서
ISMS 교육 수행
ISMS 인증 소개 및 추진방향에 대해 교육 수행
정보보호관리체계
인증 교육자료
Gap 분석
자료검토, 인터뷰 등을 통해 인증기준 대비 Gap
분석 수행
Gap 분석 보고서
위험평가 교육 수행
위험평가 방법론 교육 수행
위험분석
자산분석, 위협분석, 취약성 분석을 통해 위험도
산정
보호대책 선정
위험에 대한 보호대책 선정
정보보호 계획 수립
위험을 감소시키기 위한 정보보호계획 수립
정보보호 정책/지침
수립
정보보호 정책, 지침, 절차 수립
정보보호 정책서
정보보호지침/절차서
문서화
정보보호관리체계 관련 문서 작
성
정보보호대책명세서를 비롯한 관련 문서 작성
정보보호대책명세서
모니터링
정보보호관리체계 관련 증빙자
료 확보 및 작성
기술심사 대비 증빙자료 확보 및 양식 작성
문서심사, 기술심사
수행
ISMS 인증 대비 문서심사, 기술심사 수행
보완사항 조치
예비심사 결과 보완사항에 대해 보완조치 수행
계획수립
현황분석
위험평가
정보보호
예비심사
Copyright(c) 2015 Dreamsolution., Ltd. All rights reserved
6
위험평가 교육자료
정보시스템 취약점분석 결과보고서
위험분석•평가 보고서
정보보호 계획서
각종 증빙자료
ISMS 인증 대비 정보보호관리체계
내부 보안감사 결과보고서
보완조치 결과보고서
6. ISMS 구축 기대효과
정보보호관리체계(ISMS) 구축 및 인증 획득 시 대내외적 측면의 기대효과는 다음과 같습니다
대내적 측면
대외적 측면
기대효과
기대효과
전반적인 정보보호 활동 개선
고객 및 비즈니스 파트너로
부터 신뢰감 확보 및 조직
이미지 제고
정보보호의 지속적 개선에 기여
서버, 네트워크, 등 정보시스템에
대한 안전성 및 가용성 확보
KISA ISMS
인증 획득
동종 업종간의 기업경쟁력 우위
확보
보안사고에 대한 체계적 대응
보안에 대한 법적 요구사항
적합성 향상
정보보호 부서의 역할 및 활동
기업간 상거래 시 정보보호
전제 조건 해결 등
대외 홍보
전사적 정보보호 업무협조 활성
화등
Copyright(c) 2015 Dreamsolution., Ltd. All rights reserved
7
감사합니다
견적문의 :
Tel: 홍창섭 이사 010-7343-3686
Mail: [email protected]