Transcript ECP소개자료_201404

ECP for ISMS
(Enterprise Compliance Planning for Information Security Management System)
제안사 : 드림솔루션
홍 창 섭 영업대표
연락처 : 031-718-6039
E-Mail : [email protected]
2014
1 정보보호의 중요성 대두 및 정부의 각 종 제도
2
1. 정보보호의 중요성
정보유출사고 위험성
정보유출사고의 예
해야 할 일
1. 내부소행 정보유출 사전 차단
정보유출사고
금전적/이미지 손실
(대부분 내부소행(85%))
생존 및 신뢰
문제
(예1: 금전배상형 보안사고: LG전자 채용사이트 해킹, 배상금
70만원/1人, 국민은행 - 직원
주의의무 위반, 배상금 20만원 /1人,
ncsoft - 로그파일 고객정보 노출,
배상금 20만원 /1人)
(예2: 집단소송/핵심정보유출:
현대자동차 – USB를 통해 3,000억
상당의 변속기 기술 유출, NATE –
3,500만 명 개인정보유출에 따른
집단소송, DSME – USB로 15만장의
선박설계도면 유출)
(예3; 2014년 KB국민카드,
농협카드, 롯데카드
개인정보 유출 – 고객이탈,
영업정지 처분)
2. 비즈니스보호
3. 책임강화 필요
정부의 각 종 제도
공공분야 공통: ISMS권고
안전행정부: PIPL
미래창조과학부: ISMS,PIMS
국정원: 국정원실태평가
금융: 금융감독규정
국방부: 국방-ISMS
3
#. Ref. 최근 금융권 사고
카드사 중 ISMS 인증 받은 곳은 BC카드 뿐...
사상 초유의 정보유출 사태를 빚은 3개 카드사들이 ‘정보보호관리체계(ISMS)’에는 소홀한 것으로 나타났다. ISMS 인증은 정보통신망으로 서비스를 제공
하는 사업자들이 일정 기준 이상의 정보보호체계를 갖추면 한국인터넷진흥원(KISA)이 인증하는 제도이다.
지난해 정부는 통신사와 IT 서비스 업체, 웹사이트 등 정보통신 서비스로 연 100억원 이상의 매출을 올리거나 하루 평균 이용자 수가 100만명 이상인 사
업자에 대해서만 ISMS인증을 의무화했다.
이에 포털, 쇼핑몰 등 주요 인터넷 기반 사업자는 의무인증 대상자에 포함되었지만 카드사들은 매출 100억원, 이용자 100만명 기준을 충족하지 않아 의
무 대상에서 빠졌다.
미래창조부와 한국인터넷진흥원(KISA)에 따르면, 이러한 이유로 KB국민카드, 롯데카드, 농협카드 뿐 아니라 대부분의 카드사는 ISMS 인증 대상에서 빠
져있고 카드업계를 통틀어 ISMS 인증을 받은 곳은 BC카드뿐이다.
ISMS 인증을 받으려면 104개의 통제항목 기준을 통과해야 한다. 이 가운데는 외부인이 주요 전산망에 접근해 저장기기로 정보를 빼가는 등 이번 정보유
출 범행 수법을 방지하는 항목도 포함되어 있다.
만약 카드사들이 ISMS 인증을 받았다면 이번 개인정보 유출사건 발생의 가능성을 낮출 수 있었다는 것이 KISA 관계자의 설명.
하지만 문제는 카드사들의 ISMS 인증은 의무사항이 아니라 선택사항이라는 점이다. 결국 이번 사건의 카드사들은 자발적으로 보안을 강화하기 위해
ISMS 인증을 신청하지 않았다.
이러한 현상은 은행 업계도 마찬가지다. 인터넷뱅킹 매출과 이용자 측면에서 ISMS 의무 인증 사업자이지만 실제로 ISMS 인증을 받은 곳은
국민은행, NH농협은행, 상호저축은행중앙회, 중소기업은행 등에 불과하다.
의무 대상자가 아니더라도 자발적으로 보안을 강화하기 위해 ISMS 인증을 신청할 수 있지만, 카드사들은 금융당국으로부터 전자금융거래
법과 전자금융감독규정 등 규제를 받는다는 등의 이유로 이를 외면했다.
이에 미래부는 ISMS 적용 확대를 위해 금융당국과 협의할 계획이며 금융위원회도 이른바 ‘금융 ISMS’가 필요하다고 보고 도입방안을 검토
하고 있는 것으로 알려졌다.
2014. 01. 26 ‘보안뉴스’
4
2. 관련 법령 및 대응전략
안전행정부 훈령 제 1호「전자정부 정보보호관리체계 인증 등에 관한 지침」
전자정부 법 제 24조(전자적 대민 서비스 보안대책)
①안전행정부장관은 전자적 대민 서비스와 관련된 보안대책을 국가정보원장과 사전 협의를 거쳐 마련하여야 한다.
②중앙행정기관과 그 소속 기관 및 지방자치단체의 장은 제1항의 보안대책에 따라 해당 기관의 보안대책을 수립·시행하여야 한다.
관련
법령
제56조 (정보통신망 등의 보안대책 수립 · 시행)
①국회, 법원, 헌법재판소, 중앙선거관리위원회 및 행정부는 전자정부의 구현에 필요한 정보통신망과 행정정보 등의 안전성 및 신뢰성 확보를 위한 보안대책
을 마련하여야 한다.
②행정기관의 장은 제1항의 보안대책에 따라 소관 정보통신망 및 행정정보 등의 보안대책을 수립·시행하여야 한다.
③행정기관의 장은 정보통신망을 이용하여 전자문서를 보관·유통할 때 위조·변조·훼손 또는 유출을 방지하기 위하여 국가정보원장이 안전성을 확인한 보안조
치를 하여야 하고, 국가정보원장은 그 이행 여부를 확인할 수 있다.
④제3항을 적용할 때에는 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관의 경우에는 해당
기관의 장이 필요하다고 인정하는 경우에만 적용한다. 다만, 필요하지 아니하다고 인정하는 경우에는 해당 기관의 장은 제3항에 준하는 보안조치를 마련하여
야 한다.
전자정부법시행령 제 20조(전자적 대민 서비스 보안대책의 범위)
법 제24조제1항에 따른 전자적 대민 서비스와 관련된 보안대책은 다음 각 호의 사항으로 한다.①전자적 대민 서비스 보안 관련 기본계획의 수립
②전자적 대민 서비스 시스템에 대한 보안관리
③전자적 대민 서비스 정보보안시스템의 도입 및 운영
④사이버침해 대응 지원체계의 구축
대응
전략
법규 대응
각 종 제도 표준 관리
대국민신뢰
서비스지원
자산의 위험 분석
개인/국가정보
유출사고 방지
정부감독기관
감사, 규정 대응
솔루션
필요
ECP
체계적 대응
지속적 관리
보안업무 가이드
지속적 업무 모니터링
전자정부
서비스의
안정성
신뢰성
확보
전사적/균형적
보안
•
•
ECP : Enterprise Compliance Planning
ISMS : Information Security Management System
5
3. 시장 동향
[ 국내 Compliance 제도 ]
구분
주관기관
근거법률
의무사항 여부
ISMS
미래창조과학부
정망법
의무 + 권고
PIMS
방송통신위원회
개인법
권고
개인정보처리자
PIPL
안전행정부
개인법
선택
공공,민간
선택
ALL
ISO27001
국제표준기구
대상자
ISP/IDC/주요정보통신서비스제공자
국정원 업무실태평가
국정원
내부 규정
의무
공공기관
금융 Compliance
금감원
전금법
의무
금융기관
국방 ISMS
국방부
내부 규정
의무
군기관
[ 대상 구분 ]
대상 구분
일반기업 분야 ISMS
공공분야 ISMS/국정원실태평가
보안표준분야 ISO27001/PIMS/금융감독규정
2013년 기준/출처: KISA
필수여부
대상
필수(의무)
270여 개 ↑
권고/가산점
200여 개 ↑
권고
500여 개 ↑
2017년까지 금융,의료,교육
분야로 ISMS인증의무대상자
확대(약 400여 기관)
6
2
(제도 중) ISMS소개
7
1. ISMS의 국내 도입배경
자료출처: KISA ISMS( http://isms.kisa.or.kr )
ISMS는 2000년 국제 정보보호 표준 ISO27001 과 같은 국제흐름을 반영하고 국내실정에 적합한 정보보호관리체계 표준을
제시하여 국내 정보보호 역량을 배양하고자 도입한 제도
ISMS 제도 소개
ISMS 수립 절차
• 도입 배경
- 2000년 정보보호 관리체계 국제 표준 제정 (ISO/IEC1) 17799) 대응
정보보호 정책 수립
- 조직의 정보보호 대응 능력 전반을 객관적으로 심사하는 기준 부재
- 이용자에게 올바른 정보를 제공 할 수 있는 적절한 평가메커니즘이 부재(품질보증)
관리체계 범위 설정
- 미래의 Security Round에 대비하여 국내 대응 역량을 지금부터 배양할 필요성 증대
- 2013년 2월 18일 부터 개정 망법 시행 - ‘정보보호 관리체계(ISMS)’ 인증제도 의무화
위험관리
• 도입 목표/목적
- 정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현
- 정보자산의 안전, 신뢰성 향상
- 정보관리에 대한 인식 제고로 국제적 신뢰성 향상
구현
사후관리
- 정보보호서비스 산업의 활성화
8
#. Ref. PIPL 도입배경(한국정보화진흥원(NIA)이 인증기관)
대규모 개인정보 유출사고에 따른 기관이나 기업의 이미지 손상, 자산손실 뿐 아니라 집단소송 등으로 이어져 조직의 생
존에 중대한 위협요인으로 작용하여 사전 예방차원에서 적극적인 개인정보 보호 활동이 필요
PIPL 소개
• 도입 배경
- 각 기관의 자율적인 개인정보 보호 노력을 강화하고 안정적인 정착을 촉진할 수 있는
지원기반 조성도 함께 요구되는 상황
- 개인정보 보호 인증은 기관이나 기업의 자율적인 개인정보 보호 활동에 대해
객관적이고 공신력 있는 검증을 통해 개선 및 보완활동을 이행할 수 있도록 환경을
도입목표
기관이 보유하는 개인정보의
안전성, 신뢰성 확보를 목표로
하여, 다양한 법률적·기술적
요구사항에 체계적으로
대응하고 지속적인 관리를 통해
전사적, 균형적 보호체계를
구축하는 과정임.
조성하는데 핵심적 수단
• PIPL제도란?
 기관이나 기업의 개인정보
보호 수준 향상은 개인정보
‘개인정보 보호 인증(PIPL)’은 개인정보를 처리하는 기관의 개인정보 보호를 위한 조치와 활동이
처리에 대한 대국민 신뢰도
인증심사기준에 부합 하다고 증명하는 과정으로서, -「개인정보 보호법」의 도입 취지에 따라
제고 및 국가 사회전반의
개인정보처리자(신청기관)가 개인정보 보호 관리체계 구축 및 개인정보 보호조치 사항을
개인정보 보호 문화 확산에
이행하고 일정한 보호수준을 갖춘 경우 인증마크를 부여 받는 제도로 인증심사 프레임워크는
크게 이바지
개인정보보호 관리체계와 개인정보보호대책 등 2개의 분야로 구성.
9
2. ISMS 개요
자료출처: KISA ISMS( http://isms.kisa.or.kr )
정보보호관리체계란?
정
의
• 조직의 주요 정보자산을 보호하기 위해 정보보호관리 절차와 과정을 체계적으로 수립하
여 지속적으로 관리 ·운영하기 위한 종합적인 체계
• 조직이 정보자산의 기밀성∙무결성∙가용성을 실현하기 위한 관리체계를 수립하여, 운영
하고 있을 때, 그 관리체계가 방송통신위원회가 고시한 정보보호관리체계 인증심사
기준에 적합한지를 방송통신위원회가 지정한 기관, 한국인터넷진흥원에서 적합성
여부를 보증해주는 것
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조(정보보호 관리체계의 인증)
시행 근거
• ② 정보통신서비스 제공자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른
인증을 받아야 한다. <신설 2012.2.17>
• 정보통신망서비스 제공자(ISP)
의무 대상자
문제발생 시 처벌
• 집적정보통신시설 사업자(IDC)
권고
의무
• 연간 매출액 100억 이상 또는 3개월 일일 평균 이용자 수 100만 명 이상인 정보통신
서비스 제공자 (주요정보통신서비스 제공자)
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조(정보보호 관리체계의 인증)
제76조(과태료)
• ③ 다음 각 호의 어느 하나에 해당하는 자에게는 1천 만원 이하의 과태료를 부과한다.
- 6. 제47조제2항을 위반하여 정보보호 관리체계 인증을 받지 아니한 자
10
3. ISMS 인증절차 및 심사종류
자료출처: KISA ISMS( http://isms.kisa.or.kr )
K-ISMS
G-ISMS
인증
절차
인증심사의 종류는 최초심사, 재심사, 사후관리, 갱신심사로 구분한다. 기본적으로 인증유효기간
은 3년이며, 인증취득 후 1년 에 1회 이상 사후심사를 받아야 한다.
인증
심사
종류
및
기간
l 최초심사 : 정보보호관리체계 인증 취득을 위한 심사
l 사후관리 : 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상)
l 갱신심사 : 유효기간(3년)만료일 이전에 유효기간의 연장을 목적으로 하는 심사
※ 인증을 받은 정보보호 관리체계 범위 내에서 중대한 변경이 발생한 경우 최초심사를 다시 받음
11
4. ISMS 인증 기준
자료출처: KISA ISMS( http://isms.kisa.or.kr )
구 분
정보보호
관리과정
통제분야
통제항목 수
1. 정보보호정책 수립 및 범위 설정
2
2. 경영진 책임 및 조직 구성
2
3. 위험관리
주요내용
1. 정보보호 정책
정책의 승인 및 공표, 정책의 체계, 정책의
유지관리
3
2. 정보보호 조직
조직의 체계, 책임과 역할
4. 정보보호대책 구현
2
3. 외부자 보안
보안요구사항 정의, 외부자 보안 이행
5. 사후관리
3
4. 정보자산 분류
정보자산 식별 및 책임, 정보자산의 분류 및
취급
소계
정보보호
대책
통제분야
12
1. 정보보호 정책
6
5. 정보보호 교육
교육 프로그램 수립, 교육 시행 및 평가
2. 정보보호 조직
4
3. 외부자 보안
3
6. 인적 보안
정보보호 책임, 인사규정
4. 정보자산 분류
3
7. 물리적 보안
물리적 보호구역, 시스템 보호, 사무실 보안
5. 정보보호 교육
4
6. 인적 보안
5
8. 시스템개발 보안
7. 물리적 보안
9
분석 및 설계 보안관리, 구현 및 이행 보안,
외부개발 보안
8. 시스템개발 보안
10
9. 암호통제
암호정책, 암호키 관리
9. 암호 통제
2
10. 접근통제
10. 접근 통제
14
접근통제 정책, 접근권한 관리, 사용자 인증
및 식별, 접근통제 영역
11. 운영 보안
22
12. 침해사고 관리
7
11. 운영관리
13. IT 재해복구
3
운영절차 및 변경관리, 시스템 및 서비스 운
영보안, 전자거래 및 정보전송 보안, 매체 보
안, 악성코드 관리, 로그관리 및 모니터링
12. 침해사고 관리
절차 및 체계, 대응 및 복구, 사후관리
13. IT 재해복구
체계구축, 대책구현
소계
총계
92
104
12
5. ISMS 운영모델
자료출처: KISA ISMS( http://isms.kisa.or.kr )
정보보호관리체계에 대한 PDCA모델(Plan-Do-Check-Act)이 지속 가능한 체계를 설계, 운영해야 합니다.
사후관리 부분
13
6. ISMS 인증 취득기업 혜택
자료출처: KISA ISMS( http://isms.kisa.or.kr )
구분
시행기관
혜택내용
보안관제 전문업체 "업무수행능력 평가기준"의 신뢰도 항목에서 정보보호 인증기업에
5점 만점 부여
지식경제부
※ 보안관제 전문업체 지정 등에 관한 공고(지식경제부 공고 제2010-478호)(2011년 신설 혜택)
공공부문 정보시스템 기획? 구축? 운영 사업자, SW개발사업자 선정 시 평가항목
(기밀보안) 만점 부여 (2010년 신설 혜택)
가산점
부 여
KISA
정보보호대상, 입찰, 과제선정 평가 시 가점 부여
신용평가 기관 한국신용평가정보의 기업신용평가 시 가점 부여
한국기업지배
상장기업 ESG(환경, 사회, 지배구조) 평가 시, 소비자항목에 가산점 부여 (2010년 신설 혜택)
구조원
요금할인
보험사
권고
교육과학
기술부
국토해양부
ISMS 인증
수수료 할인
KISA
정보보호관련 보험(배상책임보험 등) 가입 시 할인(AIG, LIG, 그린손해보험, 동부화재,
롯데손해보험, 메리츠화재, 삼성화재, 제일화재, 한화손해보험, 현대해상, 흥국화재)
원격교육설비기준에 ISMS 인증 취득 권고
유비쿼터스 도시기반시설에 대하여 ISMS 인증 취득 권고
정보보호 大賞 수상 기업의 경우 할인(대상? 우수상? 특별상, 100~50%)
소규모 기업의 경우 할인(상시 근로자 수 50명 미만 또는 매출액 50억 미만, 50%)
14
3 ISMS인증의 한계 및 ECP for ISMS의 필요성
15
1. ISMS인증제도의 한계 및 대책
인증제도의 한계
1) 체계유지를 위한 보안담당자의 부족
대
책
1) 손쉬운 체계 유지
담당자들에게 쉽게 사용 가이드
2) 과중한 ISMS업무
모든 작업이 수작업
2) 전산화로 업무부하 최소화
증적(evidence), 할 일 리스트 제공
3) 종이 증적(evidence) 관리
분실, 조작의 위험
4) 인증만을 위한 인증 업무
사후관리 문제 발생
5) 지속적인 보안체계가 유지되지 못함
보안체계가 무너지게 되는 어려운 현실.
3) 자산의 위험요소까지 관리
4) 인증체계를 지속적으로 관리
솔루션을 통한 자연스러운 사후관리
5) 체계적으로 정보보호관리체계 수립
정보보호에 대한 깊은 이해가 없는 인력
도 정보보호업무를 수행할 수 있어야 함.
16
2. 시스템 개념도 및 기대효과
ECP for ISMS
일반적인 정보보호관리체계 구축 및 인증의 문제점을 해결하기 위해 서는 실질적인 운영을 위한 요건,
업무, 증적, 수행자 중심의 설계를 기반으로 관리활동 및 통제운영을 자동화된 솔루션을 통해 수행하도
록 하는 것이 필요합니다.
기대효과
정보보호 관리기반 조성
대외 요소
정보보호정책
기타 보안업무
정보자산 분류
규정 보안업무체계
(관리적 보안)
기술
요소
통합관리
담당자 1
보안
위험
• 외부 위험에 대한 전략적 관리
-식별된 위험에 대한 보호대책 수립을
통한 위험관리
…
법률
비지
니스
특성
• 법적 준거성 확보
- 정보보호관리체계 구축 및 인증을
통한 법률 의무 사항 이행
규정 요건
IT재해복구
• 체계적인 정보보호 업무체계 수립
- 조직 내에서 수행이 필요한 정보보호
업무 식별 및 해당 업무에 대한
체계적이고 효율적인 이행체계 수립
ECP
담당자 2
담당자 n
[사람]
증적 n
[증적]
…
증적 1
증적 2
수립/적용/운영/모니터링/검토/유지보수/개선
기준/
절차
3. ECP for ISMS의 도입목적 및 기대효과
ECP for ISMS
컨설팅의 결과를 ECP를 통해 유지해 나감으로써 정보보호관리체계 지속적
으로 유지하여 조직의 보안수준을 지속적으로 제고합니다.
업무 링크의 간소화
1)복잡한 업무 링크 관계를 ECP를 통해 간소화하여 담당자의 업무부하 경감.
2) ECP 기반의 중앙집중시스템을 통한 관리 효율성 증대.
3)체계적인 업무증적 생산/관리를 통해 차기ISMS/PIMS 등 인증 컨설팅(갱신심사)
비용의 획기적인 절감.
시스템을 통한 지속적인 보안체계 유지
1) 규정-업뮤-주기-담당자의 연결고리로 자동 업무가이드.
2) 컨설팅 후 보안체계를 시스템을 통한 관리로 인적관리의
한계를 극복.
3) 인증으로 검증된 보안체계를 지속적으로 관리.
(Plan-Do-Check-Act의 프로세스에 의한 지속관리)
18
4. 구현 방안(1/2) - 프로세스
개발자
방화벽운영자
ISMS요건과
불일치
통보
(적용)
ACL 신청
개발자
팀장
ACL 신청
승인
보안담당
방화벽운영자
ISMS요건과
일치
합의
통보
(적용)
컨설팅을 통해 ISMS규격에 기반한 업무 프로세스를 정립하고, 이를 시스템에서 구현해줘야 함
19
4. 구현 방안(2/2) – 다양한 표준관리
ECP for ISMS는 보안업무 기반의 설계로 다양한 표준업무관리가 가능하도록 설계되었습니다.
[잘못된 설계]
표준항목 기반의 설계
[바른 설계]
ISMS점검 항목
PIMS점검 항목
ISMS점검 항목
계정관리
계정관리
PC관리
PC관리
금강원 점검 항목
국정원 점검 항목
PIPL 점검 항목
보안업무 기반의 설계
PIMS점검 항목
금강원 점검 항목
ACL관리
ACL관리
패치관리
패치관리
국정원 점검 항목
PIPL 점검 항목
20
4. ECP for ISMS 도입의 장점
구분
도입 전
ECP for ISMS 도입 후
서비스
Only 컨설팅
ECP for ISMS + 컨설팅
인증 유지/관리 위한 보안 전문가 필요
전문성
누구나 따라만 하면 전문가처럼 할 수 있음
고객의 득
전산화 관점의 보안 체계화
보안생활화
자동화 관리 X
1년 단위
사후관리
보안
품질
&
효율성
시간 절감
유실된 자료 확보
심사 요건 별 증빙 자료
취합 /분류
보안 업무 증거 자료 자동화 관리
보안 지속성
인증을 위한 일회성 관리
365일/24시간 지속적 유지 관리
보안강도
보안 관련 담당자의 업무
전사직원의 보안의 생활화
복수인증 관리
인증 복수 운영 시 어려움
ECP for ISMS에서 일괄 관리
-. ISO27001, PIMS, PIPL, 국정원실태평가 등
업무 Template
보안 절차와 과정의 Template 제공 (X)
보안 절차와 과정의 Template 제공
보안 일정 관리
업무별 일정 확인 / 별도 공지
자동 일정 관리/ 알람 / 공지 기능
처리 건당 별도 수기 결재
전자 결재 관리
분기/월/주 단위 수동 리포팅 작업
시스템상 자동 리포팅
담당자 별도 변경 작업/추가 컨설팅 작업
솔루션 업그레이드/ 패치로 해결
결재
보고 체계
법규 변경 / 개정
3년 단위
인증 유지
비용
초기컨설팅 (100%)
갱신 심사 컨설팅 (100%)
인증 사후관리
재심사에 대한 철저한 준비
보안 위협요소의 전사적인 방어
손쉬운 관리
40~50%
시간 절감 효과
(최대 90% 절감)
초기 컨설팅(50~60%) +솔루션(40~50%)
-. 초기 컨설팅 비용(최대 50% 절감 목표)
갱신 재심사 컨설팅(50%)+ 솔루션 (MA비용)
-. 갱신 재심사 컨설팅(70%절감 목표)
인증 유지 비용
약 50% 절감
보안
담당자
보안 전문가
(600~800만원 1M/M)
일반 사무직
(200~300만원 1M/M)
인건비 절감 가능
문서 관리
종이 문서(관리 문제)
전자 문서(전산화)
출력 비용 감소
21
4
ECP for ISMS 소개
22
1. ECP for ISMS 개요
기능상 특징
개발 환경 특징
1. 정보보호 관리 체계 수립
2. 자산위험관리 및 방법제공
3. 각 종 인증 확대 반영 가능
1. 표준화 된 전자정부프레임워크
2. Secure Coding
3. CUBRID DB(
사용 )
-. ISMS, ISO27001, PIMS, PIPL etc.
-. Oracle, DB2, MS-SQL 확장 가능
4. 향후 물리적 보안 연결을 위한 플랫폼
정보보호관리체계를 이용하여 시간 경과에 따라 변동되는
조직의 자산의 상황에 따라 달라지는 위험상황을 지속적으로
분석하여 능동적으로 대처할 수 있는 ECP for ISMS
유지보수성
확장성
보안성
사용성
업그레이드
비용절감
(도입/운영)
표준화된 개발 환경
23
#. ECP for XXX
ISMS
PIMS
PIPL
ISO27001
SST - ECP
24
2. ECP for ISMS 기능소개
컨설팅을 통해 얻어진 정보보호 체계를 ECP for ISMS 솔루션에서 업무가이드와 지속적 관리 정보보호관리
체계의 유지 및 인증심사의 편리성을 제공합니다.
구분
기능 상세기능
내용
구분
기능
상세기능
진행상황
대시보드
업무 프로세스 정의로 업무 진행 상황 및 월별 업무 확인
할 일 체크
-진행 중, 반려, 완료, 예정
알림함
업무수행
포털
개인정보
정보확인
업무지시
사용자 정보 확인 및 변경
-아이디, 패스워드, 이름, 직책, 핸드폰, 이메일
재수행 요청업무
관리체계
업무 프로세스
관리
정의된 업무 프로세스 실행
-업무구분, 주기성(주기/비주기), 제목, 등록일, 업무개시
통제 항목
업무
진행되는
업무
업무 프로세스 진행 상황 확인 및 검색
-업무구분, 주기성, 제목, 담당자, 처리기간, 상태, 개시일
준수확인
정책서
문서
지침절차서
양식서
지침절차서 등록 및 변경
-지침절차서명, 등록일
양식서 등록 및 변경
-양식서명, 등록일
시스템
(관리)
진행사항 확인
알림내용 확인
담당자가 수행해야 할 업무 리스트
-번호, 업무구분, 제목, 개시일
담당자가 재수행 해야 할 업무 리스트
-번호, 업무구분, 제목, 개시일
업무 프로세스 등 업무 프로세스 등록 및 변경
록 관리
-번호, 업무구분, 주기성, 제목, 등록일
업무 유형 관리
ISMS
업무 유형 생성 및 변경
-업무 유형
ISMS 통제항목 등록 및 변경
증적관리
사용자가 수행한 증적 산출물 확인
-기간, 검색, 선택, 부서명, 성명, 직책, 연락처,
메일, 통제번호, 통제명, 통제내용, 주기, 시작일,
완료일
코드
업무 코드 생성
-규제, 부서, 업무구분, 중요도, 직책, 주기성, 진
행상태, 정보보호 조직
통제관리
정책서 등록 및 변경
-정책서명, 등록일
수행할 업무
내용
조직도
팝업
사용자 등록 및 등록 정보 변경
-아이디, 이름, 직위
사용자 로그인 시 팝업 출력
-번호, 제목, 기간, 등록일
25
3. ECP 주요기능소개
데시보드
기능 설명
 월별업무차트
-월별 생성된 업무/완료된
업무의 통계
 업무진척도
-기관 전체 업무진행률
(완료/상신/대기/지연))
 업무 상세 리스트
-담당자별,업무별 상세
업무리스트 확인
 보안뉴수(RSS)
-최근 이슈되는 보안뉴스
를 확인
•
계열사별, 사업부별, 권한별
현황보기 가능
3. ECP 주요기능소개
나의 업무
기능 설명
 나의 업무
-예정업무, 완료업무,
미완료업무, 반려업무
비주기업무, 오늘할일
결제업무 확인
 캘린더
-업무현황 캘린더로 업무
상태 및 스케줄 관리
27
3. ECP 주요기능소개
통제항목관리
기능 설명
 통제항목 관리
-통제항목 추가,수정,삭제
-ISMS & PIMS 복수표준
관리
28
3. ECP 주요기능소개
업무정의
기능 설명
 업무등록
-업무주기선택
-업무수행기간 설정
-업무승인단계 설정
-정책,지침,절차 매핑
-업무양식 매핑
-표준항목 매핑
(ISMS & PIMS 동시 가능)
•
결재는 GroupWare연동 가능
29
3. ECP 주요기능소개
업무수행
기능 설명
 업무수행
-업무관련 문서 확인
(정책,지침,절차)
-승인단계 확인(결재,반려)
-업무관련 항목 확인
-업무파일 업로드
-웹 양식 업무 수행
(증적의 전자문서화)
•
웹양식은 HTML문서 입니다.
30
3. ECP 주요기능소개
업무지시
기능 설명
 업무지시
-주기적 업무 이외 별도의
업무수행이 필요한 경우
관리자가 담당자에게 업
무지시
 진행중 업무
진행중 업무
-보안업무 담당자들의
업무진행상태를 리스트
화하여 확인
31
3. ECP 주요기능소개
준수확인(증적관리)
기능 설명
 준수확인(증적관리)
-보안표준 항목별 업무,
수행주기,증적현황 파악
-ISMS와 PIMS 각 표준들
의 준수상태 확인
3. ECP 주요기능소개
증적확인
기능 설명
 증적확인
-업무완료된 증적에대한
관련내용
(업무 주기, 관련 항목내
용, 관련 정책,지침,절차
서, 승인단계)
-관련항목에대한 증적리
스트
(업무번호,시작일,완료일,
담당자)
-증적 출력
•
출력 범위(항목내용 등)에 대
해서는 협의하여 기능구현
감사합니다!
34