제 6 장 정보보호관리시스템

27
도 도 도 2008.10 [email protected] 도6도 도도도도도도도도도

Upload: bruno-stokes

Post on 03-Jan-2016

209 views

Category:

Documents


0 download

DESCRIPTION

제 6 장 정보보호관리시스템. 도 경 화 2008.10 [email protected]. 1. BS7799 국제보안표준. 1.1 BS7799 소개 1.2 BS7799 구성요소 1.3 BS7799 특징 1.4 BS7799 인증 체계 1.5 BS7799 인증 획득현황. 정보보안 대상의 범위 정의. GAP 분석. 위험평가의 수행 (모의해킹, 스캐닝, 위험분석). 관리할 위험 영역의 도출. BS7799 통제항목의 선택 및 수행과제 선정. 보안 문서 및 절차, 정책의 작성. - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: 제 6 장  정보보호관리시스템

도 경 화

[email protected]

제 6 장 정보보호관리시스템

Page 2: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

1. BS7799 국제보안표준1.1 BS7799 소개

1.2 BS7799 구성요소

1.3 BS7799 특징

1.4 BS7799 인증 체계

1.5 BS7799 인증 획득현황

Page 3: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

1.1 BS7799 소개1. BS7799 국제보안표준

BS7799 체계

지속적인 관리 수행 및 점검

BS7799 감사 및 인증

보안 문서 및 절차 , 정책의 작성

BS7799 통제항목의 선택 및 수행과제 선정

관리할 위험 영역의 도출

위험평가의 수행( 모의해킹 , 스캐닝 ,

위험분석 )

GAP 분석

정보보안 대상의 범위 정의

BS7799 를 표준으로 채택한 국가 영국 , 일본 , 호주 , 뉴질랜드 , 스웨덴 , 브라질 , 덴마크 , 태국 , 아일랜드 , 네덜란드 , 노르웨이 , 남아프리카공화국 등에서 표준으로 채택하였으며 , 미국과 유럽의 대부분의 국가에서 사용되고 있다 . 2000 년 12 월 , 일본 통산성은 BS7799 를 국가표준으로 채택하여 일본 공업 규격화 하고 정보보안 관리체계 (ISMS) 인증 제도를 시행하고 있음

BS7799 의 장점 정보보안을 10 개의 영역 , 127 개 통제 항목으로 구분하여 제시함 조직의 정보보안 관리 체계 (Information Security Management System) 의 수립과 실행에 대한 가이드를 제시함 BS7799 인증 後 대외적인 신뢰도와 경쟁력을 확보할 수 있음

BS7799 도입배경 품질표준 (ISO 9000) , 환경표준 (ISO 14000) 에 이어 대두되는 보안 국제 표준 Security Round(ISO/IEC JTC1 SC27) 에서 국제 표준화 작업 2000 년 10 월 , BS7799 Part1 이 ISO 17799 Part1 으로 이전됨 .2002 년 7 월 31 일 , 산업자원부에서 KS-X ISO/IEC 17799 로 표준화 완료 2006 년 2006 년 BS7799 Part2 도 ISO 27001 표준화 완료

Page 4: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

BS7799-Part1 (Code of practice for information security management)

현재 사용되고 있는 최선의 정보보안 실무들로 구성된 종합적인 보안 통제 목록을 제공

10 개 주요분야의 127 개 통제 항목들로 구성

통제 항목들은 핵심 통제들로서 필수적인 요구 사항이거나 정보보안을 위한 기초적인 구성 요소이며 ,

조직이 정보보안 통제를 구현하는데 기반이 됨

실질적인 업무 또는 책임을 맡고 있는 사람들이 특별한 지역에 적합한 실질적인 세이프 가이드를 식별 할 수

있도록 통제항목을 정의

위험관리의 중요성을 강조하고 있으며 관련된 지침만 실행하면 되는 것으로 하고 있음 .

BS7799 의 범위는 음성과 그래픽 그리고 휴대폰과 팩스와 같은 매체를 포함한 모든 형태의 정보에 대해서 다루고

있음 . 또한 전자상거래 , 인터넷 , 아웃소싱 , 텔레워킹 그리고 이동 컴퓨팅 같은 업무를 수행하는 새로운 방식을

감안하고 있음 ,

현재 사용되고 있는 최선의 정보보안 실무들로 구성된 종합적인 보안 통제 목록을 제공

10 개 주요분야의 127 개 통제 항목들로 구성

통제 항목들은 핵심 통제들로서 필수적인 요구 사항이거나 정보보안을 위한 기초적인 구성 요소이며 ,

조직이 정보보안 통제를 구현하는데 기반이 됨

실질적인 업무 또는 책임을 맡고 있는 사람들이 특별한 지역에 적합한 실질적인 세이프 가이드를 식별 할 수

있도록 통제항목을 정의

위험관리의 중요성을 강조하고 있으며 관련된 지침만 실행하면 되는 것으로 하고 있음 .

BS7799 의 범위는 음성과 그래픽 그리고 휴대폰과 팩스와 같은 매체를 포함한 모든 형태의 정보에 대해서 다루고

있음 . 또한 전자상거래 , 인터넷 , 아웃소싱 , 텔레워킹 그리고 이동 컴퓨팅 같은 업무를 수행하는 새로운 방식을

감안하고 있음 ,

보안 통제 항목

1.2 BS7799 구성요소1. BS7799 국제보안표준

Page 5: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

보안방침 : 정보보안에대한 경영방침과 지원사항을 제공하기 위함

보안조직 : 조직 내에서 보안을 효과적으로 관리하기 위해서는 보안에 대한 책임을 배정

자산분류 및 관리 : 조직의 자산에 대한 적절한 보호책 유지

직원의 보안 : 사람에 의한 실수 , 절도 , 부정수단이나 설비의 잘못사용으로 인한 위험 감소

의사소통 및 운영관리 : 정보처리 설비의 정확하고 안전한 운영을 보장하기 위함

접근통제 : 정보에 대한 접근통제를 하기 위함

시스템개발 및 유지 : 정보시스템내에 보안이 수립되었음을 보장하기 위함

사업지속성 관리 : 사업활동에 방해요소를 완화시키며 주요실패 및 재해의 영향으로부터 사업활동을 보호하기 위함

부합성 : 범죄 및 민사상의 법률 , 법규 , 규정 또는 계약 의무사항 및 보안 요구사항의 불일치를 회피하기 위함

Page 6: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

1.2 BS7799 구성요소 - 계속1. BS7799 국제보안표준

BS7799-Part2 (Specification for information security management)

정보보안 관리체계 (ISMS) 에 대한 규격으로 정보보안 관리체계 문서화 수립실행에 대한 요구사항과 개별조직의

필요성에 따라 실행 될 수 있는 정보보안관리 요건을 규정

“ 조직은 문서화된 ISMS 를 구축하고 유지해야 한다 .”

: 보호대상의 자산과 위험관리에 대한 조직의 접근과 통제목표 및 방안 , 그리고 요구되는 보장수준을

언급해야 한다는 것을 의미함 .

PDCA (Plan, Do, Check, Act) 모델로 구성되어 있음

어떻게 BS7799 를 적용하고 ISMS 를 구축하는지 알려줌

정보보안 관리체계 프레임워크를 수립하는 6 단계 프로세스 정의

BS7799 인증을 위한 규격임

ISO 17799-Part2 는 BS7799-Part2 에서 이전 예정임 .

정보보안 관리체계 (ISMS) 에 대한 규격으로 정보보안 관리체계 문서화 수립실행에 대한 요구사항과 개별조직의

필요성에 따라 실행 될 수 있는 정보보안관리 요건을 규정

“ 조직은 문서화된 ISMS 를 구축하고 유지해야 한다 .”

: 보호대상의 자산과 위험관리에 대한 조직의 접근과 통제목표 및 방안 , 그리고 요구되는 보장수준을

언급해야 한다는 것을 의미함 .

PDCA (Plan, Do, Check, Act) 모델로 구성되어 있음

어떻게 BS7799 를 적용하고 ISMS 를 구축하는지 알려줌

정보보안 관리체계 프레임워크를 수립하는 6 단계 프로세스 정의

BS7799 인증을 위한 규격임

ISO 17799-Part2 는 BS7799-Part2 에서 이전 예정임 .

관 리 표 준

Page 7: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

다른 보안관리 표준 지침들이 IT 를 대상으로 보안 기술의 상세 부분까지

규정하고 있는데 비해 , BS7799 는 관리시스템에 대한 보편적 , 포괄적인

가이드 , 기준을 나타내고 있으며 , 또 하나는 전자매체로 한정하지 않고

종이 매체 등 여러 가지 정보자산을 보안의 대상으로 하고 있는 것이다 .

각 조직에 대해서 획일적인 요구사항을 부과하는 것이 아니라 ,

각각의 조직이 위험 분석을 수행하고 보안관리를 실시하도록 요구하는 것이다 .

1.3 BS7799 특징1. BS7799 국제보안표준

Page 8: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

영국의 상무성을 대리하여 영국표준협회 (BSI/DISC) 에서 BS7799 를 관리하고 있다 .

인증서를 발급받기 위해서는 해당 ISMS 는 독립된 제삼자인 BS7799 평가자(assessor) 에 의한 감사를 받아야 한다 .

평가자의 자격에 대해서는 엄격한 규칙이 적용된다 . 평가자가 소속된 평가기관은 영국인증서비스 (UK Accreditation

Service; UKAS) 의 인가를 받아야 한다 .

평가자는 해당 ISMS 가 적절히 운영되고 있는지 주기적으로 확인한다 .

BS7799BS7799

UKASUKAS

인증기관인증기관

ISMSISMS

BSI/DISC( 스킴관리자 )

BSI/DISC( 스킴관리자 )

준수

평가 및 인증서 발급

BS7799 유지

인증기관인가

1.4 BS7799 인증 체계1. BS7799 국제보안표준

Page 9: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

전세계 BS7799 인증 현황 BS7799 국내 인증 획득업체

2005 년 12 월 기준 , 전세계 2017 개 업체가 BS7799 인증을 획득함 . ( 국내 38 개 업체 )

1. 우리은행 ( 구 , 한빛은행 )2. 한화 S&C3. 현대정보기술4. 프리즘커뮤니케이션5. 데이콤6. 에이쓰리시큐리티컨설팅7. 삼성전자8.( 주 ) 안랩코코넛9. LG 카드10. 삼성생명11. 삼성화재12. 국민은행13. 대구은행14. 부산은행15. BC 카드16. 신한은행17. CJ 홈쇼핑18. 한국씨티은행19. 교보생명20. 동원증권21. KTF22. 인젠23. SK C&C24. LG 화학 기술연구원25. 삼성전자 LCD총괄26. 포스코27. 오토에버시스템즈28. 증권예탁원29. SK 텔레콤30. 삼성전자 미국 오스틴 반도체 사업장 ( 확장 )31. 삼성전자 중국 쑤저우 반도체 사업장 / 연구소 ( 확장 )32. 기업은행33. 서울특별시34. 포스코 기술연구소 35. 삼일회계법인36. 한국개인신용 주식회사37. 한국원자력연구소38. 대한생명보험 ( 주 )

해외 BS7799 인증 획득 업체 : Sony, ABB, Citi Bank, British Telecom, KPMG 등

1.5 BS7799 인증 획득현황1. BS7799 국제보안표준

Page 10: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

2. BS7799 인증 추진절차3.1 개요

3.2 사전 심사 (Pre-Assessment)

3.3 문서 심사 (Desktop Review)

3.4 현장 심사 (본심사 )

3.5 인증 심사결과 보완

3.6 인증 수여식 진행방안

Page 11: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

BS7799 인증 획득을 위하여 문서심사 , 현장심사를 적극 지원하며 , 심사 시 지적된 보완 요구사항에 신속한 대응으로 인증 획득 목표를 달성함

인증 심사 前 사전심사 (Pre-Assessment) 를 실시하여 인증 준비사항을 점검함

BS7799인증심사

문서심사 - 적용성 보고서 심사 ( 한글 / 영문판 )

- 정보보안 정책 / 지침 심사- 정보보안 조직 및 역할 / 책임 할당 심사- 정보보안 관리체계 운용 Evidence 확인

기술심사 - 정보보안 관리체계 운용 담당자 질의응답 - 정보보안 관리체계 운용 Evidence 실사 - 시스템 및 네트워크 보안점검 및 현장 실사

BS7799인증요구사항

PDCA 에 의한 정보보안 관리체계 운용 - 정보보안 계획 수립 - 정보보안 관리체계 운용 - 정보보안 감사 - 정보보안 관리체계 개선

위험 평가 결과에 의한 보안통제 항목 적용

산출물 적용성 보고서 (Statement of Applicability)

인증 심사 신청서 Non-Conformity List

문서 심사

현장 심사

결과 검토

문제점

보완조치요청

보완조치 결과 확인

심사결과보고서 작성

인증위원회 개최

인증서 발급

Yes

No

고객사

보완사항

조치결과

인증서

문서심사 지원

현장심사 지원

인증심사 지원

2. 인증 컨설팅 추진절차

2.1 개요

인증 심사 Process인증 심사 Process RequirementsRequirements

사전 심사

Page 12: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

2.2 사전 심사 (Pre-Assessment) BS7799 인증심사는 문서심사와 현장심사로 구성됨 인증심사 前 사전심사 (Pre-Assessment) 를 통해 인증 준비사항 점검 및 미비점 보완을 실시함 ( 사전심사는 BS7799 인증의 필수 (Mandatory) 요구사항은 아님 )

사전 심사사전 심사

구분 내 용

개요

정보보안 관리체계 운영 및 관련 Evidence 등이 BS7799 인증 요구사항에 부합한지 사전 점검을 통하여 정보보안 관리체계 개선 및 보완을 통하여 인증을 획득을 위한 문서심사 , 현장심사에 대비하고자 함

영역 해당 영역

기간 3 일간

심사원 BS7799 인증기관 ( 심사원 2 명 )

심사대상

인증 신청 Scope Review고객사 정보보안 정책 / 지침해당 영역 정보보안 관리체계 운영 Evidence- 정보보안 정책 / 지침의 적절성 여부 : 정보보안 정책 / 지침 - 자산분류 및 평가의 적절성 : 자산리스트 및 자산평가 Sheet- 정보보안 조직 구성 및 임직원의 역할 / 책임 할당 현황 : 직무기술서 , 조직도 등

지원대상

인증기관과의 일정 협의 / 조정 지원인증심사 통역 지원사전심사 요구 Evidence 산출 지원정보보안 정책 / 지침 개선 지원 등

BS7799 인증심사 신청BS7799 인증심사 신청

2. 인증 컨설팅 추진절차

현장 심사

결과 검토

문제점

보완조치요청

보완조치 결과 확인

인증서 발급

인증 수여식

Yes

No

문서 심사

사전 심사

Page 13: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

2.3 문서 심사 (Desktop Review)

정보보안 정책 , 정보보안 관리체계 운영 Evidence 등에 대한 문서심사 (Desktop Review) 를 실시함

문서 심사 (Desktop Review)문서 심사 (Desktop Review)

[BS7799 문서심사 장면 ]

구분 내용

개요

BS7799 인증 심사의 첫번째 단계로 정보보안 정책 , 조직 및 정보보안 관리체계 운영 증적을 현장실사를 제외한 Desktop Review 함문서 심사 중 심사원은 지적 사항 (Non-Conformity) 리포트를 작성 제출함

영역 해당 영역

기간 4 일간

심사원 BS7799 인증기관 ( 심사원 3 명 )

심사대상

적용성 보고서 (Statement of Applicability)BS7799 Part2:2002 요구사항 준수 여부고객사 정보보안 정책 / 지침해당 영역 정보보안 관리체계 운영 Evidence 등

지원대상

인증기관과의 일정 협의 / 조정 지원인증심사 통역 지원심사원 지적사항 (Non-Conformity) 보완지원

2. 인증 컨설팅 추진절차

현장 심사

결과 검토

문제점

보완조치요청

보완조치 결과 확인

인증서 발급

인증 수여식

Yes

No

사전 심사

문서 심사

Page 14: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

2.3 문서 심사 (Desktop Review) - 계속

정보보안 관리체계의 개선 및 운영을 통해 BS7799 인증 심사 요구문서 확인

※ 인증 심사 시 상기 기술한 정보보안 관리체계 운영 Evidence 의 추가 / 삭제가 가능함 .

BS7799 인증 심사 문서BS7799 인증 심사 문서

2. 인증 컨설팅 추진절차

영역 (Domain) BS7799 인증 심사 요구 문서

1. 정보보안정책 정보보안정책서 , 표준문서 , 지침서 , 절차서 , 정보보안정책 및 관련문서의 변경 내역서

2. 정보보안 조직 조직도 , 정보보안관리자 직무기술서 , 정보보안위원회 운영규정 , 정보보안정책서

3. 자산분류 및 관리 정보자산목록 , 자산분류 기준 , 정보자산 목록 유지관리 절차서

4. 인적 정보보안 계약서 , 서비스 수준 협약서 , 서비스 관리 보고서 , 정보보안대책 적용 명세서 직무기술서 ( 직무분류서 ), 채용조건서 , 인사보안정책 ( 규정 ), 계약서 (샘플 ), 퇴직절차서 (샘플 ) 정보보안 교육 훈련 계호기서 , 정보보안 교육 훈련 자료 , 정보보안 교육 훈련 평가자료

5. 물리적 , 환경적 정보보안 물리적 보안 정책 및 절차 , 각 구역별 출입허가자 명단 , 각 구역별 외부출입자 명부 , 장비 반출입 기록 (샘플 ), 데이터센터 및 우너격지 백업 사이트 시설 배치도 , 장비점검표 및 유지보수 기록

6. 통신 및 운영관리 네트워크 구성도 , 운영지침 및 절차서 , 네트워크 관리 및 보안지침 / 절차서 , 매체관리 지침 / 절차서 , 악성 소프트웨어 지침 / 절차서 , 변경관리 지침 / 절차서 , 성능관리 지침 / 절차서 , 용량관리 지침 / 절차서 , 상호교환합의서 , 전자거래지침 , 법적 요구사항 정의서 , 전자우편 사용 및 관리 지침 , 웹서버 관리지침 , 보안사고 관련 정책 , 지침 , 절차서 , 보안사고 대응 계획서 , 보안사고 보고서 , 보안사고 대응 조직도 등

7. 접근통제 정보시스템 접근 통제 정책 및 절차 , 사용자 계정 관리 절차 , 접근 통제 소프트웨어 목록 등 , 정보시스템 접근 통제 정책 및 절차 , 사용자 계정 관리 절차 , 정보자산 등급 분류체계

8. 시스템 개발 및 유지 요구사항 분석서 , 분석 및 설계서시스템 개발 표준문서 , 시스템 시험계획 및 결과 , 시스템 개발 및 변경절차서 , 시스템 변경관리 절차 , 변경요청서 및 결과서 , 변경 영향분석서 , 운영 매뉴얼 암호 사용정책 ( 지침 ), 사용되는 암호제품 매뉴얼 , 암호 키 관리지침

9. 사업 연속성 관리 업무연속성관리 방법 , 업무연속성 계획서 , 업무연속성계획 시험 프로그램 , 업무연속성 계획 교육 및 훈련 프로그램 , 업무연속성 계획 갱신 및 변경 관리 절차

10. 준거성 법적 요구사항 정의서 , 점검결과서 , 모니터링 보고서 , 감사증적 관리지침 및 절차서 등

Page 15: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

2.4 현장 심사 (본심사 ) 인증 문서심사 時 지적된 미비점 보완 후 , 정보보안 관리체계 운영에 대한 현장 실사를 실시함- 인증 심사원의 고객사 현장 방문 , Evidence 확인 및 담당자 인터뷰 실시- 소요기간 : 3 일간

현장 심사 ( 본 심사 )현장 심사 ( 본 심사 )

구 분 내 용

개 요BS7799 인증 신청 영역 內 운영 중인 정보보안 관리체계의 BS7799 Part2 요구사항 준수 여부를 현장 실사함 .

영 역 해당 영역

기 간 5 일간

심 사 원 BS7799 인증기관 ( 심사원 3 명 )

심사대상

해당 영역 정보보안 관리체계 운영 현장 실사 실시- 정보보안 관리체계 담당자 인터뷰 실시- 운영 증적 유지관리 현장 확인

지원대상

인증기관과의 일정 협의 / 조정 지원

인증심사 통역 지원

심사원 지적사항 (Non-Conformity) 보완 지원 [BS7799 문서심사 장면 ]

2. 인증 컨설팅 추진절차

결과 검토

문제점

보완조치요청

보완조치 결과 확인

인증서 발급

인증 수여식

Yes

No

사전 심사

문서 심사

현장 심사

Page 16: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

문서심사와 현장심사 時 인증 심사원은 BS7799 Part2:2002 요구사항 준수 여부를 점검하여 부적합 (Non-Conformity) 보고서를 작성하여 고객사 측에 제출함

고객사와 컨설팅하우스는 시기 적절하고 빠른 대응으로 인증 획득 기간을 단축함

3. 인증 컨설팅 추진절차

3.5 인증 심사결과 보완

•부적합 사항에 대한 고객사와 심사원간의 합의 / 서명

• 인증심사 결과 부적합 상세 내용 기술 ( 심사원 )

•부적합 사항에 대하여 고객사 측의 개선 조치사항 기술

•인증기관에 제출 (13 주 이내 )

[ 부적합 보고서 (Non-Conformity Note) 사례 ][ 부적합 보고서 (Non-Conformity Note) 사례 ]

인증서 발급

인증 수여식

사전 심사

문서 심사

현장 심사

결과 검토

문제점

보완조치요청

보완조치 결과 확인

Yes

No

Page 17: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

3.6 인증 수여식 진행방안 BS7799 인증심사 통과 시 인증 관련 내ㆍ외빈 참석 하에 인증 수여식을 진행함

- 인증 획득을 위하여 현장심사 時 지적된 미비점의 보완이 선행되어야 함

인증 수여식 진행인증 수여식 진행

참석 대상 - 외교관급 내외빈- 고객사 임원 , 프로젝트 TFT- 인증기관 임원

장소 - 추후 협의

소요시간- 60 분

지원사항- Global Leading Company로서의 고객사 위상에 부합하는 외교관급 외빈을 초청 진행함 .- 고객사와의 협의 하에 사전 행사 시나리오 작성 , 장소 섭외 , 의전 준비 등의 예행연습으로 인증 수여식 준비에 만전을 기함 .- 인증 수여식의 제반 준비는 외교 의전 수준에 부합하게 준비함 .

참석 대상 - 외교관급 내외빈- 고객사 임원 , 프로젝트 TFT- 인증기관 임원

장소 - 추후 협의

소요시간- 60 분

지원사항- Global Leading Company로서의 고객사 위상에 부합하는 외교관급 외빈을 초청 진행함 .- 고객사와의 협의 하에 사전 행사 시나리오 작성 , 장소 섭외 , 의전 준비 등의 예행연습으로 인증 수여식 준비에 만전을 기함 .- 인증 수여식의 제반 준비는 외교 의전 수준에 부합하게 준비함 .

[ 노르웨이 대사 ( 아륄드 브로스타드 ) 의 BS7799 인증 수여 장면 ]

[KISA 김창곤 원장의 정보보안 관리체계 인증 수여 장면 ]

3. 인증 컨설팅 추진절차

사전 심사

문서 심사

현장 심사

결과 검토

문제점

보완조치요청

보완조치 결과 확인

Yes

No

인증서 발급

인증 수여식

Page 18: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

BS7799 인증 수여식의 원활한 진행을 위하여 외교 의전 수준에 부합한 행사 시나리오를 사전 준비하여 행사 준비에 만전을 기함

인증수여식 진행 시나리오 사례인증수여식 진행 시나리오 사례

진행 계획 세부 사항 비고

의전준비(11:00 ~ 11:03)

사장 상견례(11:10 ~ 11:20)

외교관급 외빈 도착- 11 시 00 분 고객사 정문 도착- 안내접견 : 홍길동 차장 안내하여 12층 사장실 안내- 사장실에서 상견례 및 환담 (10 분 ) : 고객사 사장 / 임원 , 외빈- 인증 수여식장으로 이동 (10층 행사장 )

안내데스크 1 명

홍길동 차장 안내사장 비서 안내

홍길동 차장 안내

행사 시작(11:30)

행사 진행(11:30 ~ 12:00)

BS7799 인증 수여식가 . 인사말 : 홍길동 차장

- 지금부터 고객사 국제보안표준 BS7799 인증 수여식을 시작하겠습니다 .나 . 소개 : 홍길동 차장

- 먼저 바쁘신 와중에도 본 BS7799 인증 수여식에 참석해 주신 OOO 외빈님 , 인증기관 관계자 여러분 , 고객사 사장님 외 임원진 여러분께 감사드립니다 .

다 . 경과보고 : 홍길동 차장- 다음은 고객사 국제보안표준 BS7799 인증획득에 대한 경과를 간단히 말씀 드리겠습니다 . - 중략 –

라 . 인증서 수여 : 홍길동 차장- 다음은 인증서 수여가 있겠습니다 . 인증서 수여는 OOO외빈님께서 고객사 사장님께 해주시겠습니다 .- 사장님과 OOO외빈님께서는 앞으로 나와주시기 바랍니다 .- 인증서 수여식 (박수 )- 자리로 돌아가 주시기 바랍니다 .

마 . 축사 : 홍길동 차장- 이어서 축사가 있겠습니다 . 먼저 고객사 사장님께서 축사를 해주시겠습니다 . – 중략 –- 다음으로 OOO 외빈님께서 말씀해주시겠습니다 . – 중략 –

바 . 마무리 : 홍길동 차장- 이상으로 고객사 국제보안표준 BS7799 인증수여식 행사를 모두 마치겠습니다 . 감사합니다 .- 이어서 기념촬영이 있겠습니다 . 모두 앞으로 나와 주시기 바랍니다 .

* 고객사 인증 수여식 상세 일정은 사전 협의하에 변경 가능함

3. 인증 컨설팅 추진절차

3.6 인증 수여식 진행방안 - 계속

Page 19: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

3. 인증 컨설팅 추진절차

3.6 인증 수여식 진행방안 - 계속 BS7799 인증 수여식의 사내ㆍ외 홍보를 위하여 국내 주요 일간지 및 사내 신문 / 방송을 활용함 .- 국내 언론 홍보 : 한국경제신문 , 매일경제신문 , 전자신문 , 디지털타임스 , 파이낸셜 뉴스 등- 사내 홍보 : 사내 정기 간행지 , 사내 방송 등- 인증 획득을 IR 자료로 활용 가능함 .

언론 홍보 사례언론 홍보 사례

삼성화재 , 국제 보안인증 , 2003년 05월 28 일 ( 수 )

삼성화재는 국내 보험업계 최초로 고객정보 보안과 관련된 안전성을 인정하는 '국제 보안인증 '을 받았다 . 삼성화재 (www.samsungfire.com 사장 이수창 ) 는 노르웨이 국제 표준인증 기관 (DNV) 으로부터 역시 BS7799 인증을 받았다 고 28 일 밝혔다 .

'BS7799'는 1955년 영국에서 제정된 세계 유일의 국제보안 표준규격으로 , DNV 등의 기관에서 이를 대행해주고 있다 . 이 인증은 95년 제정된 영국 정부의 정보보안 관리체계로서 정보보안 분야의 유일한 국제 표준 인증방식으로 공인 받고 있다 .

삼성화재는 이번 인증 획득을 위해 각각 지난해 12월과 올초부터 10 개 분야 127 개 심사항목에 맞춰 보안 전담조직 부문을 신 설해 보안요소를 체계적으로 관리해왔다 .

삼성화재 , 국제 보안인증 , 2003년 05월 28 일 ( 수 )

삼성화재는 국내 보험업계 최초로 고객정보 보안과 관련된 안전성을 인정하는 '국제 보안인증 '을 받았다 . 삼성화재 (www.samsungfire.com 사장 이수창 ) 는 노르웨이 국제 표준인증 기관 (DNV) 으로부터 역시 BS7799 인증을 받았다 고 28 일 밝혔다 .

'BS7799'는 1955년 영국에서 제정된 세계 유일의 국제보안 표준규격으로 , DNV 등의 기관에서 이를 대행해주고 있다 . 이 인증은 95년 제정된 영국 정부의 정보보안 관리체계로서 정보보안 분야의 유일한 국제 표준 인증방식으로 공인 받고 있다 .

삼성화재는 이번 인증 획득을 위해 각각 지난해 12월과 올초부터 10 개 분야 127 개 심사항목에 맞춰 보안 전담조직 부문을 신 설해 보안요소를 체계적으로 관리해왔다 .

삼성화재 , BS7799 인증 수여식 개최 전자신문 , 2003년 06월

삼성화재가 11 일 본사 경영 회의실에서 이수창 삼성화재 사장 (왼쪽에서 네번째 ) 과 아릴드 브로스타드 노르웨이 대사 (왼쪽에서 다섯번째 ) 등 50여명의 관계자들이 참석한 가운데 ‘국제보안표준 BS7799 인증 수여식’ 행사를 가졌다 . 삼성화재의 이번 ‘ BS7799’ 보안인증서는 IT 전부문을 대상으로 획득한 것이다 . IT 전부문 획득은 국내 금융기관 중 처음이다 .

삼성화재 , BS7799 인증 수여식 개최 전자신문 , 2003년 06월

삼성화재가 11 일 본사 경영 회의실에서 이수창 삼성화재 사장 (왼쪽에서 네번째 ) 과 아릴드 브로스타드 노르웨이 대사 (왼쪽에서 다섯번째 ) 등 50여명의 관계자들이 참석한 가운데 ‘국제보안표준 BS7799 인증 수여식’ 행사를 가졌다 . 삼성화재의 이번 ‘ BS7799’ 보안인증서는 IT 전부문을 대상으로 획득한 것이다 . IT 전부문 획득은 국내 금융기관 중 처음이다 .

삼성화재 국제 보안인증 획득 2003년 05월 28 일 ( 수 )

삼성화재가 국내 보험업계에서는 처음으로 국제 보안인증을 받았다 . 삼성화재는 28 일 세계적 국제표준 인증기관인 영국표준협회 (BSI) 로부터 국 제 정보보안 표준 규격인 'BS7799' 인증을 획득했다고 밝혔다 . 현재 전 세계 27 개국 245 개 기업이 인증을 받았으며 국내에서는 삼성전자 를 비롯한 11 개 업체가 인증을 획득했다 . 삼성화재는 노르웨이의 국제 표준 인증기관인 DNV로부터 BS7799 인증을 받았다 .

삼성화재 국제 보안인증 획득 2003년 05월 28 일 ( 수 )

삼성화재가 국내 보험업계에서는 처음으로 국제 보안인증을 받았다 . 삼성화재는 28 일 세계적 국제표준 인증기관인 영국표준협회 (BSI) 로부터 국 제 정보보안 표준 규격인 'BS7799' 인증을 획득했다고 밝혔다 . 현재 전 세계 27 개국 245 개 기업이 인증을 받았으며 국내에서는 삼성전자 를 비롯한 11 개 업체가 인증을 획득했다 . 삼성화재는 노르웨이의 국제 표준 인증기관인 DNV로부터 BS7799 인증을 받았다 .

Page 20: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

정보보호의 목적인 정보자산의 비밀성 , 무결성 , 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립 , 위험관리 , 대책구현 , 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 ( 이하 “정보보호관리체계”라 한다 ) 에 대하여 – 제 3 자의 인증기관 ( 한국정보보호진흥원 ) 이 객관적이고 독립적으로

평가하여 기준에 대한 적합 여부를 보증해주는 제도

4. 국내 정보보호관리시스템 인증 제도

4.1 인증제도

Page 21: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

목적– 정보자산의 안전 , 신뢰성 향상– 정보보호관리에 대한 인식 제고 ( 내부자소행 85%)– 조직의 정보보호역량 강화를 통한 국가 주요정보통신기반시설의보호 및

국제적신뢰도 향상 – 정보보호서비스 산업의 활성화

법적 근거– <의무사항은 아니며 대상사업자가 자율적으로 신청>

- “정보통신망이용촉진및정보보호등에관한법률” 제 47 조 - “정보통신망이용촉진및정보보호등에관한법률시행령” 23 조의 2 - “정보통신망이용촉진및정보보호등에관한법률시행규칙” 6 조

※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있도록 하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함

Page 22: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

Page 23: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

국내 실정에 적합한 정보보호관리 모델 제시- 공신력 있는 정보보호 전문기관 (KISA) 에 의한 심사 및 인증- 국내 최고의 분야별 전문가들에 의한 인증 심사- 국내 정보보호관련 법제도 반영- 기술심사 강화를 위한 모의진단 수행 ( 요청시 )- 안전진단 대상자가 ISMS 인증 취득 시 면제 (당해년도 ) 추진체계

4. 국내 정보보호관리시스템 인증 제도

4.2 인증제도 특징

Page 24: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

Page 25: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

인증심사의 종류– 인증심사 , 갱신심사 , 재심사 , 사후관리심사로 구분한다 . 기본적으로 인증유효기간은 3

년이며 , 인증취득 후 1 년 에 1 회 이상 사후관리심사를 받아야 함

– 인증심사 : 최초로 인증을 받는 경우의 심사 – 갱신심사 : 인증 유효기간 (3 년 ) 만료 이전에 유효기간의 연장을 목적으로 실시하는 심사 – 재심사 : 인증을 받은 ISMS 범위 내에 중대한 변화가 발생하는 경우 실시하는 심사 ( 이때 ,

인증유효기간은 재심사 후 3 년 임 ) – 사후관리심사 : 인증 받은 기관이 ISMS 를 지속적으로 유지하고 있는 지를 점검하는 심사

Page 26: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

소프트웨어 기술과 등급별 노임단가 적용 - 인증심사수수료는 종업원수 , 서버수를 고려한 심사일 수에 따라 산정됨

인증심사 수수료 = 신청비 + 직접인건비 + 직접경비심사일 수 = 종업원 수에 따른 심사일 수 + 정보보호시설 규모에 따른 심사일수직접인건비 = 기술자등급별단가 (노임단가 ) × 심사일 수

4.3 인증심사 수수료

Page 27: 제 6 장  정보보호관리시스템

Copyright © 2008 도경화 :: [email protected]

인증받은 기관 (예 ) – 49 개

ISMS 06-002 ( 주 ) 다음커뮤니케이션 다음 인터넷 서비스 인프라 운영 2006-02-17 ~ 2009-02-16

ISMS 06-001 이니텍 ( 주 ) 컨설팅 사업부문 2006-02-08 ~ 2009-02-07

ISMS 05-009 ( 주 ) 안철수연구소 컨설팅서비스사업부 2005-12-28 ~ 2008-12-27

ISMS 05-008 한국통신인터넷기술 ( 주 ) KTIDC 종합 보안서비스 2005-12-07 ~ 2008-12-06

ISMS 05-007 상호저축은행중앙회 통합금융정보시스템 ( 여의도전산센터 ) 2005-12-07 ~ 2008-12-06

ISMS 05-006넷시큐어테크놀러지

( 주 ) 보안관제서비스 2005-12-07 ~ 2008-12-06

ISMS 05-005 한진정보통신 ( 주 ) Co-Location 및 서버온디맨드 서비스 2005-07-19 ~ 2008-07-18

ISMS 05-004 ( 주 ) 대한항공 인터넷 예약 , 발권 시스템 2005-06-27 ~ 2008-06-26

ISMS 05-003 ( 주 ) 케이티프리텔 보안시스템 운영 2005-04-04 ~ 2008-04-03

ISMS 05-002 시큐아이닷컴 ( 주 ) 정보보호센터 ( 컨설팅사업팀 ) 2005-04-04 ~ 2008-04-03

ISMS 05-001 중소기업은행 인터넷뱅킹시스템 2005-03-08 ~ 2008-03-07

ISMS 04-018 법원행정처 등기인터넷서비스 2004-12-21 ~ 2007-12-20

ISMS 04-017 한국과학기술정보연구원 Korea@Home 사업 2004-11-22 ~ 2007-11-21

ISMS 04-016 ( 주 ) 케이티 청주 KTIDC, Co-Location & 서버호스팅 2004-10-27 ~ 2007-10-26

4. 국내 정보보호관리시스템 인증 제도

4.2 인증제도 특징