2013. 8. 20(화 - .kr...i. 정보보호관리등급제도소개 추진배경 3단계(2013~)...
TRANSCRIPT
2013. 8. 20(화)
I. 정보보호 관리등급 제도 소개
I. 정보보호 관리등급 제도 소개
추 진 배 경
3단계(2013~)
Excellence
1단계(2002~)
Execution
2단계(2012~)
Expansion
기업의 정보보호 수준을 평가하여 그 결과를 제공함으로써상위 수준의 정보보호 활동 유도 및 정보보호의 경영적 가치 극대화
정보보호 관리체계 인증
기업 자율의 정보보호 관리
환경 조성
인증의무화
정보보호 인식수준 향상에
따른 대상 확대
정보보호 관리등급
기업의 정보보호 신뢰수준
평가체계 및 모델제시
국민의 정보보호 수준 향상에 따라 ISMS는기본적인 기업 준수사항으로 인식
※ 국내 인터넷 이용자의 97.4% 정보보호가중요하다고 응답 (2011년 개인부문 정보보호 실태조사)
ISMS를 취득한 기업 서비스에 대한 정보보호신뢰수준을 증명할 수 있는 객관적 기준 및 평가체계에 대한 사회적 요구
※ ISMS 인증취득 기업 78%가 정보보호 관리등급도입에 동의 (2010년 ISMS 수준평가 방법론 및등급기준 연구 보고서)
I. 정보보호 관리등급 제도 소개
정보보호 관리체계와의 차이
정보보호 관리체계(ISMS) 정보보호 관리등급
목적기업이 스스로 정보보호를 관리할 수 있
는 환경 조성기업의 통합적 정보보호 수준 제시
범위
기업이 정보보호 심사범위를 선택
▶서비스단위 인증
※단, 법적의무대상 서비스 반드시 포함
기업 전사의 IT서비스 대상
▶기업의 정보보호 수준
정보보호
수준
기업 스스로가 위험평가를 통해
정보보호 수준 결정최우수/우수의 수준 제시
결과 인증취득여부만 판단기업 정보보호수준에 따라 차등화
(최우수/우수)
I. 정보보호 관리등급 제도 소개정보보호 관리등급 기준
수치적으로 측정 가능한 정보보호
활동수준
▶ 정보보호 인력, 예산, 주기적인 정
보보호 활동에 대한 정량화 수준에
따라 등급기준(우수, 최우수)
차등화
정보보호 활동의 참여 및 보고체계 수준
▶ 보고체계(현업담당, CISO, CEO 등)에 따른
등급기준(우수, 최우수) 차등화
정보보호대책 이행의 자동화 수준
▶ 정확도 향상, 휴먼 에러 최소화,
정보보호 현황관리 위한
솔루션 도입·개발 등
시스템화 수준에 따라
등급기준(우수, 최우수) 차등화
정보보호
관리등급 기준
(우수, 최우수)
시스템화수준
정량화수준
의사결정수준
정보보호 관리등급 기준
ISMS인증기준(104개) 기반의 2단계 등급(최우수, 우수)
I. 정보보호 관리등급 제도 소개
기 대 효 과
(기업) 정보보호 담당자의 정보보호활동의 기준 및 목표수준 마련
(산업) 정보보호에 투자를 결정할수 있는 근거기준 마련
(이용자/고객) 이용자에게 객관적인 기업 선택의 기준 제시
정보보호 제도의 실효성 강화
정보보호 수준향상
정보보호 산업 활성화
기업 신뢰수준 및 비교우위 경쟁력 확보
(국가/사회)기업 수준별 정보보호정책 마련
II. 고시 제정안 주요 내용
II. 고시 제정안 주요 내용
법적 근거 및 제정 취지
법적 근거 : 정보통신망법 제47조의5(정보보호 관리등급 부여)
제47조의5(정보보호 관리등급 부여) ① 제47조에 따라 정보보호 관리체계 인증을 받은 자는
기업의 통합적 정보보호 관리수준을 제고하고 이용자로부터 정보보호 서비스에 대한 신뢰를
확보하기 위하여 미래창조과학부장관으로부터 정보보호 관리등급을 받을 수 있다.
② 미래창조과학부장관은 한국인터넷진흥원으로 하여금 제1항에 따른 등급 부여에 관한 업무
를 수행하게 할 수 있다.
제정 취지 : 정보보호 관리등급 부여를 위한 평가기준 및 심사세부사항 마련
주요 내용
- 추진체계, 심사신청 및 계약, 평가기준 및 평가방법, 심사방법,
- 심사원 자격요건, 위원회 구성 및 운영, 증명서의 발급 등
제도 성격 : 권고 (자격요건이 되는 기업의 자율 신청)
II. 고시 제정안 주요 내용
추 진 체 계
추진체계 : 미래창조과학부, 한국인터넷진흥원(KISA), 등급위원회, 등급심사원
법 제도 개선 및 정책결정
정보보호 관리등급관련사항 심의·의결
• 정보보호 관리등급 제도 운영
• 등급심사 기준, 지침개발
• 정보보호 관리등급 심사원 양성 및 관리
• 정보보호 관리등급 위원회 운영
• 제도홍보 및 교육
정보보호 관리등급심사
정보보호 관리등급 위원회 정보보호 관리등급 심사원
한국인터넷진흥원(KISA)
미래창조과학부
II. 고시 제정안 주요 내용
심사 신청 및 계약
적용대상 : ISMS 인증을 받은 기업 (정보통신망법 제47조의5)
심사신청
- 신청서와 정보보호 관리체계 인증서 사본 등을 한국인터넷진흥원에 제출
- 신청기업 희망 시 정보보호 관리체계 인증심사와 동시신청 가능
※등급 미달 시 정보보호 관리체계를 다시 준비 해야하는 기업의 부담 완화
수수료 : ISMS 인증 수수료 산정기준 준용 (정보통신망법 시행령 제55조의4)
• 다음에 해당하는 경우 수수료 경감
1. 정보보호 관리체계 인증심사와 함께 신청하는 경우
2. 정보보호 관리등급 기준 미달로 1년 이내 심사를 다시 신청하는 경우
3. 정보보호 관리등급 범위의 중요한 변경이 발생하여 다시 심사를 신청하는 경우
II. 고시 제정안 주요 내용
심사기준 및 평가방법
심사기준 (정보통신망법 시행령 제55조의2제1항)
1. 정보보호 관리체계의 구축 범위 및 운영기간
2. 정보보호를 위한 전담조직 및 예산
3. 정보보호 관리 활동 및 보호조치 수준
평가방법 (정보통신망법 시행령 제55조의2제2항)
• 우수등급은 우수에 해당하는 기준을 모두 만족
• 최우수등급은 우수등급의 기준과 최우수등급의 기준을 모두 만족
심사기준 별 세부 평가기준 : III. 세부평가기준 참고
II. 고시 제정안 주요 내용
심사팀 구성 및 방법
심사팀 구성
• 한국인터넷진흥원 소속의 정보보호 관리등급 심사원이 심사팀장 수행
• 신청기업의 소속직원, 컨설팅 참여자 등은 심사팀 구성원에서 배제
심사방법 (정보통신망법 시행령 제55조의2제2항)
• 서면심사와 현장심사를 병행하여 실시
• 정보보호 관리등급 기준 미달 시 별도의 보완조치 기간을 부여하지 않으며
미달 통보를 받은 날로부터 3개월 이후 신청 가능
II. 고시 제정안 주요 내용
심사원 자격
• 대 상 : 최근 3년 정보보호 관리체계 인증심사 4회 20일 이상 참여한 자
• 교육이수 : KISA에서 수행하는 정보보호 관리등급 교육 수료 및 시험 합격
• 자격 유효기간 : 자격을 부여 받은 날로부터 3년
• 자격 취소요건
- 정보보호 관리등급 인증심사원 자격이 취소된 경우
- 정보보호 관리등급 심사원으로서 객관적이고 공정한 심사를 수행하지 않은 경우
- 정보보호 관리등급 심사와 관련된 금전, 금품 등을 수수한 경우
- 정보보호 관리등급 심사 수행 중 취득한 정보를 누설하거나 목적 외에 이를 사용한 경우
심사원 자격: ISMS인증심사원만 수행 (정보통신망법 시행령 제55조의3제3항)
II. 고시 제정안 주요 내용
증명서 발급, 유효기간 등
변경에 따른 등급의 유지
• 유효기간 내 중요한 변경 발생 시 변경내역서를 1개월 이내 제출
• 한국인터넷진흥원 검토결과 필요한 경우 변경에 따른 심사 수행
등급의 유효기간 : 1년 (정보통신망법 시행령 제55조의5)
※ 정보통신망법 제47조제4항 : 관리등급(우수 or 최우수)을 받은 경우 그 유효기간 동안
ISMS 인증을 받은 것으로 봄
정보보호 관리등급 기준 적합 시 ‘정보보호 관리등급 증명서’ 부여
III. 세부 평가기준
정보보호 관리등급 기준정보보호 관리등급 심사기준
심사기준 : 정보통신망법 시행령 제55조의2제1항
제55조의2(정보보호 관리등급 부여의 심사기준) ① 법 제47조의5제1항에
따른 정보보호 관리등급 부여의 심사기준은 다음 각 호와 같다.
1. 정보보호 관리체계의 구축 범위 및 운영기간
2. 정보보호를 위한 전담조직 및 예산
3. 정보보호 관리 활동 및 보호조치 수준
② 제1항에 따른 심사기준별 세부 평가기준 및 평가방법 등에 관하여 필요한
사항은 미래창조과학부장관이 정하여 고시한다.
III. 세부 평가기준
III. 세부 평가기준
1. 정보보호 관리체계 구축 범위 및 운영기간
구분 평가기준 등급
구축범위• 정보보호 관리체계 범위를 전사로 지정하고 있는가?
※ SI 관련 아웃소싱업체 또는 관계사 등 포함우수
운영기간
• 정보보호 관리체계 인증을 연속 3년 이상 유지하고 있는가?
• 전사범위로 1년 이상 정보보호 관리체계 운영하였는가?우수
• 정보보호 관리체계 인증을 연속 3년 이상 유지하고 있는가?
• 정보보호 관리체계 인증을 전사의 범위로 1년 이상 유지하고
있는가?
최우수
정보보호 관리등급 기준정보보호 관리등급 세부평가 기준
III. 세부 평가기준
2. 정보보호를 위한 전담조직 및 예산
구분 평가기준 등급
전담조직 • 정보보호 전담조직을 구성하고 있는가? 우수
전담인력
• 전체 임직원 대비 정보보호 인력의 1년 평균비율을 0.25%이상으로 유지하고
있는가? (외주, 아웃소싱 제외)우수
• 전체 임직원 대비 정보보호 인력의 3년 평균비율을 0.5% 이상으로 유지하고
있는가? (외주, 아웃소싱 제외)최우수
예산
• IT 예산 대비 정보보호 예산 1년 평균비율을 최소 5% 이상 유지하고 있는가? 우수
• IT 예산 대비 정보보호 예산 3년 평균비율을 최소 7% 이상 유지하고 있는가? 최우수
정보보호
현황공개
• 다음의 정보보호 활동의 공시하고 있는가?
(정보보호 활동 예산, 조직(인력포함), 보안 인증 포함 3가지 이상)
• 공시의 내용은 반기별로 업데이트를 수행하고 있는가?
우수
• 다음의 사항을 추가 적인 내용 공시하고 있는가?
(보안사고와 조치 결과, 기타 보안활동을 포함 5가지 이상)최우수
III. 세부 평가기준
3. 정보보호 관리활동 및 보호조치 수준
가. 정보보호 관리활동
통제분야 통제목적 평가기준 등급
1. 정보보호
정책 수립 및
범위설정
1.1 정보보호
정책의 수립
• 다음의 항목이 포함된 최상위 수준의 정보보호정책을 수립하고 있
는가?
- 최고경영자 등 경영진의 정보보호에 대한 의지 및 방향
- 조직의 정보보호 목적, 범위, 책임
- 조직이 준수 해야하는 정보보호 법적 요구사항
- 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거
우수
2. 경영진 책임
및 조직구성2.1 경영진 참여
• 경영진(CEO, 대표이사, 사업총괄 등)에게 분기 1회 이상 보고가 필
요한 정보보호 관련 의사결정 사항을 정의하고 정기적인 보고를 수행
하고 있는가?
- 사회적으로 이슈화된 사안에 대해 내부 보안현황과의 연관성
- 정보보호 예방활동 검토
우수
• 경영진(CEO, 대표이사, 사업총괄 등)에게 월 1회 이상 보고가 필요
한 정보보호 관련 의사결정사항을 정의하고 매월 최소 1회 이상 보고
를 수행하고 있는가?
최우수
III. 세부 평가기준
가. 정보보호 관리활동
통제분야 통제목적 평가기준 등급
3. 위험관리
3.1 위험관리
방법 및
계획수립
• 반기별 1회이상 위험관리를 할 수 있는 관리체계를 수립하고 있는가?
• 조직 환경(신규 서비스 출시 등)의 변화로 정보보호 관리체계에 영향을 미칠
때마다 위험관리를 수행하고 있는가?
• 관리적, 기술적, 물리적, 법적 분야 등 조직 전 영역에 대한 위험식별 및 평
가가 가능하도록 각 영역별 특성을 반영한 위험관리 방법을 선정하고 있는가?
• 위험관리대장, 관리방법, 위험관리이력 등을 관련담당자가 체계적으로 관리
할 수 있는 절차를 수립하여 운영하고 있는가?
우수
• 상시적인 위험평가 및 위험관리를 할 수 있는 관리체계를 수립하고 있는가?
• 위험관리대상, 위험 유형별 관리방법, 위험 관리이력 등을 위험관리 담당자
및 관련 부서에서 입력, 조회를 용이하게 할 수 있도록 자동화하고 있는가?
최우수
III. 세부 평가기준
가. 정보보호 관리활동
통제분야 통제목적 평가기준 등급
3. 위험관리
3.2 위험 식별 및
평가
• 인증기준, 조직의 정보보호정책, 글로벌 기준에 명시된 내용을
포함한 모든 위험요소를 식별하고 있는가?
• 위험평가결과를 CEO에게 보고하고 있는가?
우수
• 위험평가결과 중요사안과 그에 따른 대책을 이사회(주주)에 보
고서로 제출하는가?최우수
3.3 정보보호 대책
선정 및 이행계획
수립
• 정보보호대책 구현의 우선순위를 정한 후에 일정, 담당부서 및
담당자, 예산 등의 항목을 포함한 정보보호대책 이행계획을 수립
하고 정보보호 최고책임자 등 경영진의 승인을 받고 있는가?
우수
4. 정보보호
대책 구현
4.1 정보보호대책의
효과적 구현
• 정보보호 최고책임자 및 경영진에게 정보보호대책 이행 실행 결
과를 분기별 최소 1회 이상 보고하고 있는가?우수
4.2 내부 공유 및
교육
• 정보보호 활동업무에 영향을 발생하는 관련부서 및 담당자를 파
악하여 정보보호대책의 내용을 공유하고 교육을 수행하고 있는가?우수
III. 세부 평가기준
가. 정보보호 관리활동
통제분야 통제목적 평가기준 등급
5. 사후관리
5.1 법적요구사항
준수검토
• 매월 (개인)정보보호 관련 법령, 보안 동향이 포함된 보고서를 발간
하고 정보보안부서, 정보시스템 관련 부서(운영 및 개발), 정보보호
최고책임자를 포함한 경영진에게 공유하고 있는가?
• 법적 요구사항 준수 여부 검토 시 법률적 지식이 있는 인력(변호사,
법무팀 담당자 등)을 포함시키고 있는가?
우수
5.2 정보보호 관리
체계
운영현황 관리
• 정보보호 관리체계 운영현황(표)를 반기별 최소 1회 이상 검토하고
발견된 문제점과 개선안 등을 정보보호 최고책임자에게 보고하고 있
는가?
우수
• 년 1회 이상 ISMS 및 정보보호 대책의 효과성을 검토하고 발견된
문제점과 개선안 등을 정보보호 최고책임자에게 보고하고 있는가?최우수
5.3 내부감사
• 내부감사를 반기별 최소 1회 이상 실시하고 이에 따른 보안조치를
수립 및 이행하고 있는가?
• 독립성/객관성/전문성을 확보할 수 있는 인력으로 감사팀을 구성하
여 감사가 이루어지도록 하고 개선조치 여부를 관리하는가?
우수
• 내부감사의 독립성 보장 및 실효성 확보를 위하여 최소 년1회 이상
은 독립된 제3자에 의해 수행하고 있는가?최우수
III. 세부 평가기준
나. 보호조치 수준 (일부)
통제분야 통제목적 평가기준 등급
1. 정보보호
정책
1.1 정책의 승인
및 공표
• 정보보호정책의 제 ∙ 개정 내용은 공지하여야 하며 최고책임자가 직
접 또는 명의로 공표하고 있는가? (메일, 화상, 조회 등 다양한 방법
사용)
우수
2. 정보보호
조직
2.1 조직 체계
• 정보보호 활동을 수행하는 실무 담당자로 구성된 실무협의회를 구
성하고 정보보호 관련 주요 현안 사항에 대해 부서간 합의를 도출하
고 의사결정이 필요한 사항은 정보보호위원회로 상정하고 있는가?
우수
2.2 역할과 책임
• 조직 내 KPI, MBO, 인사평가와 같은 평가체계 내 정보보호 활동의
책임과 역할을 평가할 수 있는 항목을 포함하여 주기적으로 정보보호
최고책임자와 정보보호 관련 담당자의 활동을 평가하고 있는가?
우수
III. 세부 평가기준
나. 보호조치 수준 (일부)
통제분야 통제목적 평가기준 등급
7. 물리적 보안7.1 물리적
보호구역
• UPS, 비상발전기 등의 용량이 3개월간 평균 순간사용전력의 130%
에 해당하는 전력을 최소 20분 이상 공급할 수 있는가?
• 분기 1회 이상 보호설비에 대한 상태를 점검하고 점검결과를 책임
자에게 보고하고 있는가?
우수
10. 접근통제
10.3 사용자 인
증 및 식별
• 주요 정보시스템의 사용자 인증을 위해 접근제어 솔루션을 구축하
고 2 factor 인증방식을 적용하고 있는가?
- 단, 구현 및 시험 목적의 정보시스템인 경우 2 factor 인증을 동일하
게 구축하지 않아도 됨
우수
10.4 접근통제영역 관리
• 중요정보(개인정보 포함)를 취급하는 DB 서버의 경우 일반 서버와
논리적 ∙ 물리적으로 분리하고 있는가?우수
III. 세부 평가기준
나. 보호조치 수준 (일부)
통제분야 통제목적 평가기준 등급
11. 운영보안11.2 시스템 및
서비스 운영 보안
• 취약점 점검은 분기별 최소 1회 이상, 모의침투테스트는 반기별 최소
1회 이상 정보보호 관리체계 범위 내 정보시스템 및 정보보호시스템을
대상으로 수행하고 있는가?
• 취약점 점검 및 침투테스트 결과는 보고서로 작성하여 정보보호 최고
책임자에게 보고하고 있는가?
우수
12. 침해사고관리
12.1.2 침해사고대응체계 구축
• 조 직 내 침 해 사 고 대 응 조 직 (CERT, Computer Emergency
Response Team) 을 구축하고 있는가?우수
13. IT재해복구
13.1 체계구축
• IT 재해 발생 시 대응을 위한 공간 및 기본설비(네트워크, 전력설비
등) 갖춘 DR사이트를 확보하고 있는가?우수
• IT 재해 발생 시 대응을 위한 DR 사이트가 웜 사이트 이상 수준으로
구축되어 있어야 하며 중요도가 높은 정보시스템 및 서비스인 경우 핫
사이트로 구축하고 있는가?
최우수
IV. 향후 계획
IV. 향후 계획
정보보호 관리등급 부여에 관한 고시 제정 및 공포
공청회 의견 수렴 및 고시 초안 확정
정보보호 관리등급 제도 안내서 개발 및 배포
향 후 계 획
정보보호 관리등급 심사원 교육
참고. ISMS와 정보보호 관리등급 비교
구분 정보보호 관리체계(ISMS) 정보보호 관리등급
제도성격 의무 + 권고 권고
도입취지 정보통신서비스 안정·신뢰성 기업의 통합적 정보보호 관리 수준 제고
법적근거 정보통신망법 제47조 정보통신망법 제47조의5
과태료 10백만원 이하 해당사항 없음
대상자정보통신망법에 따른 의무대상자
및 자율신청 기업
정보보호 관리체계 인증을 받은 자
(ISMS 인증 3년 이상 유지,
ISMS 인증을 전사 범위로 1년 이상 운영)
유효기간 3년 (매년 사후 심사) 1년
수행기관 KISA (현재 단일 인증기관) KISA
범위
의무대상 : 법적 대상 서비스
(ISP, IDC, 정보통신서비스 운영 및 개발 부문)
권고대상 : 자율 선정
서비스 단위의 전사(전체 사업)
기준 104개 기준 기준 개발 중
위원회 인증위원회 등급위원회
