정보보호관리체계수립 운영을위한 관리과정 5단계가이드입니다 ·...

정보보호관리체계 수립, 운영을 위한관리과정 5단계 가이드입니다.

Information Security Management System

1. 인증 제도 소개

2. ISMS 관리과정(5단계)

3. 주의사항


1. ISMS 인증 제도 소개

정 의정보보호관리에 대한 표준적 모델 및 기준을 제시하여 기업의 정보보호관리체계 수립·운영을

촉진하고 기업의 정보보호를 위한 일련의 활동등이 객관적인 인증 심사 기준에 적합한 지를한국인터넷진흥원이 인증하는 제도

1.1 정보보호관리체계(ISMS) 정의

(Information Security Management System)ISMS

관리체계 운영

<보안수준>

Integrated

평가수준

<보안수준>

ㆍ 부분적 보안ㆍ 일회성 관리 ㆍ 산발적 대응

관리체계 부재

평가수준

ㆍ 균형적 보안 ㆍ 지속적 관리 ㆍ 체계적 대응

조직

시설 정책 시설 정책

조직

장비 문서 장비 문서

Islanded


ISMS인증필요

금융: 계좌,거래정보

교육: 학사정보

의료: 진료정보

통신: 고객정보

포털: 회원정보

기타: 산업기술 정보 보유기업 등

국가기관 또는 기업의 정보시스템 등

주요고객 정보를 위탁관리, 운영하는

기업

고객정보 아웃소싱 기업

중요자산 취급분야

국가 또는 민간기업 조달 등

입찰에 참여하는 기업

IT경영평가, 신용평가, 회계감사

등 외부로부터 정보보호 관련

평가를 받아야 하는 기업

외부평가 대상 기업

입찰 참여 기업

1. ISMS 인증 제도 소개(계속)

1.2 정보보호관리체계(ISMS) 필요한 기업(조직)


인증절차

내 용

① 준비 ② 심사 ③ 인증 ④ 사후관리

ISM수립 및 운영 상담/신청/계약인증

심사

보완

조치

조치

확인

심사결과

보고서 작성

인증위원회 심의

및 인증서 교부

사후 심사

및 확인

소요기간 3개월~5개월 5일 5일 30일 5일 3일 2일 12일

ㆍ방송통신위원회, 인증기관(KISA), 인증위원회(10명), 인증심사원(223명)

추진체계 방송통신위원회, 인증기관(KISA), 인증위원회(5인 이상 10인 이내), 인증심사원(223명)

인증절차ISMS는 인증 준비에서 인증까지 약 6개월~8개월 소요

인증서 유효기간 : 3년 (매년 1회 사후관리 심사/유효기간 만료 시 갱신심사)

ISMS 수립 5단계

ISMS 범위 설정 위험관리 정보보호대책 구현 사후관리


1.3 정보보호관리체계(ISMS) 추진체계

정보보호정책및 조직 수립


13

정보보호관리체계 인증심사 기준(방통위고시, TTA표준)

정보보호 대책(15개 분야, 120개 통제항목)

정보보호 관리과정(5단계, 14개 통제항목)

문서화(3개 통제항목)

정보보호 정책문서의 요건정보보호 정책 수립

정보보호 조직문서의 통제관리체계 범위설정

외부자 보안운영기록의 통제위험관리

정보자산 분류구현

정보보호 교육 및 훈련사후관리

인적 보안

물리적 보안

시스템개발 보안

암호 통제

정보보호 교육 및 훈련

13

접근 통제

운영관리

전자거래 보안

보안사고 관리

검토ㆍ모니터링ㆍ감사

업무 연속성 관리


1.4 기준

통제분야 통제사항 수 세부 통제사항 수

정보보호 관리과정 14 47

문서화 3 3

정보보호 대책 120 396

소계 137 446



1.5 정보보호관리체계(ISMS) 인센티브

구 분 시 행 기 관 세 부 혜 택 내 용

보험료 할인 보험사

정보보호관련 보험(개인정보보호배상책임보험 등) 가입 시 보험료 할인

(AIG, LIG, 그린손해본험, 동부화재, 롯데손해보험, 메리츠화재, 삼성화재, 제일화재, 한화손해보험, 현대해상, 흥국화재)

가산점 부여

KISA 정보보호대상, 입찰, 과제선정 평가 시 인증 취득 기업에 가점 부여

신용평가 기관 한국신용평가정보 등의 경우 기업신용평가 시 가점 5점 부여

면제 방송통신위원회인증을 받은 당해년도 안전진단 면제

(정보통신망법 제46조의 3)

권고

교육과학기술부 정보시스템 보안 설비 기준 만족으로 인정

국토해양부유비쿼터스도시기반시설에 대하여 ISMS 인증 취득 권고

(유비쿼터스의 건설 등에 관한 법률 제22조)

ISMS 인증

수수료 할인KISA

정보보호 대상 수상 기업의 경우 할인

(대상․우수상․특별상, 100-50% 할인)

소규모 기업의 경우 할인

(상시 근로자 수 50명 미만 또는 매출액 50억 미만, 50% 할인)


2. ISMS 관리과정(5단계)

2.1 정보보호관리체계 5단계 관리과정

정보보호정책 수립 정보보호관리체계

범위설정위험관리 구현 사후관리

3단계1단계 2단계

1단계 2단계 3단계 4단계 5단계

5단계4단계

정보보호정책 수립

조직 및 책임의 설정

정보보호관리체계

범위설정

정보자산의 식별

위험관리 전략 및

계획 수립

위험 분석

위험평가

정보보호대책 선정

정보보호계획 수립

정보보호관리체계 재검토


모니터링 및 개선

내부감사

정보보호대책 구현

정보보호교육 훈련


경영목표 지원하는 법적, 규제적 요건

전략적 정보보호정책


정보보호정책 수립1단계

조직 및 책임의 설정정보보호정책 수립

관리과정 5단계를 통해 지속적 검토/개선

ISMS 범위 설정 위험관리 정보보호대책 구현 사후관리정보보호정책및 조직 수립

2. ISMS 관리과정(5단계)(계속)


“ 조직 규모와 정보자산에 맞는 인원수 및 예산 배정 ”

관리자와 담당자 지정

조직원에 대한 책임 및 권한 문서화 수반

정보보호정책 수립1단계

조직 및 책임의 설정정보보호정책 수립


조직 수립





3단계2단계


5단계4단계1단계





범위설정



계획 수립

위험 분석

위험평가






내부감사





기술 특성

정보 위치

외부요소

“ 범위 설정에 대한 제외 이유를 명확하고 타당성 있게 설명 ”

신청기관

영향요소

정보보호관리체계 범위설정2단계

정보자산의 식별범위설정



정보자산

“ 가능한 한 모든 정보자산을 식별하여 목록 관리 ”

형태

형 태 소유자 관리자 특 성

신청기관

정보보호관리체계 범위설정2단계

정보자산의 식별범위설정






2단계


5단계4단계3단계1단계





범위설정



계획 수립

위험 분석

위험평가






내부감사




자산

취약성

위협

잔여위험

자산

취약성

위협

위험

위험관리

위험관리3단계

조직의 재산 안정성 확보


“ Impact 최소화 정보유출/정보변조/정보손실 방지 ”


위험관리과정 5단계

신청기관

위험관리 계획서

1. 수행 조직

2. 위험 분석

3. 위험 평가

조직

책임

역할

조직

방법

일정

위험관리전략및 계획수립

위험분석 위험평가 정보보호 대책수립 정보보호 계획수립

위험관리3단계




위험(Risk)

자산의 취약한 부분에 위협요소가발생하여 자산의 손실, 손상을

유발할 잠재성

취약성(Vulnerability)

위협이 가해질 수 있는 자신의 약점

자산(Asset)

조직 내의 가치를 가지고 있는 모든 것

위협(Threat)

시스템이나 조직에 피해를 끼칠 수있는 원치 않은 사고의 잠재적 원인

용어정의

위험관리3단계


위험평가 정보보호 대책수립 정보보호 계획수립위험분석




위험 = 위협 X 취약성 X 자산가치

위협 취약성

위험 00%

예상 피해 00%

“ 우선순위 결정 및 경영진의 목표 위험수준 결정 및 책임 부여 ”

전문가

위험성

중요도

위험관리3단계


정보보호 대책수립 정보보호 계획수립위험분석 위험평가




수용 가능 위험 (DoA : Degree of Assurance)

위험분석 결과 나타난 위험에 대해 조직이 수용 가능한 위험도의 수준을 결정하는 것

위험도 개수

9 1

8 3

7 6

6 4

5 4

4 2

3 3

2 2

1 0

처리해야 할 위험 10개

(위험감소)

6이하인 위험 15개는

잔여위험으로 관리

(위험수용)

높음

낮음

위험도

위험관리3단계


정보보호 대책수립 정보보호 계획수립위험분석 위험평가




위험분석 및 평가

위험수용

수용 가능한 목표 위험수준보다 낮은 위험은 수용

위험회피

위험전가

통제사항선 택

위험수용

위험감소

위험관리3단계

정보보호 대책수립위험평가위험관리전략및 계획수립

정보보호 계획수립위험분석





위험감소

위험을 수용 가능한 수준 이하로 낮출 수 있는 경우

대책수립을 통한 위험감소 방안 채택

위험회피

위험전가

통제사항선 택

위험수용

위험감소

위험관리3단계







위험회피

위험이 너무 크고 적절한 비용 효과적 대책이 존재하지

않을 경우 회피

위험감소

위험전가

통제사항선 택

위험수용

위험회피

위험관리3단계







위험전가

발생가능성은 낮지만 피해는 큰 경우 보험 등을 통하여

비용을 제3자에게 전가

위험감소

위험회피

통제사항선 택

위험전가

위험수용

위험관리3단계






Project A

Project B

Project C

Project N

ㆍㆍㆍ

효과성

시급성

N

C

A

B

ㆍㆍㆍ

대책 선정 프로젝트 선정 우선순위 선정위험평가 결과

위험 1

위험 2

위험 3

위험 N-1

위험 N

우선순위

위험관리3단계






번호 통제사항 통제내용선정여부

운영내용

(미선택 시 사유)관련문서

1.1.1 정책의 승인문서화된 정보보호정책은최고경영자의 승인을받아야 한다.

Y최고경영자의 승인을받은 증적이 있음

정보보호정책서

11.1.5외부 운영

설비의 관리

외부계약자가 정보시스템및 장비를 관리하는 경우데이터의 손상, 손실 등의상황을 고려하여 통제방안을수립하고 계약서에 반영해야한다.

N사외에서 운영하는설비가 없음

15.3.1업무 연송성 계획

유지관리

업무연속성 계획에 대해정기적인 교육 및 훈련을실시하고 지속적인 검토와평가 및 변경관리를수행해야 한다.

Y년1회 업무연속성 계획교육훈련 및 검토 예정

선정된 정보보호대책의 명세

구현 확인 근거

선정되지 않은 정보보호대책 목록

선정되지 않은 근거

위험관리3단계

정보보호 계획수립정보보호 대책수립위험평가위험관리전략및 계획수립

위험분석






3단계2단계

1단계 2단계 3단계 5단계

5단계

4단계

1단계 4단계





범위설정



계획 수립

위험 분석

위험평가






내부감사




품질관리

변경관리

보고관리

구현4단계

정보보호교육 및 훈련정보보호대책 구현

우선순위



신청기관 직원 및 최종사용자교육 및 훈련 프로그램 이행 정보보호 인식 제고

구현4단계

정보보호대책 구현 정보보호교육 및 훈련






3단계2단계


4단계1단계 5단계





범위설정



계획 수립

위험 분석

위험평가






내부감사




사후관리

신청기관

5단계

내부 감사모니터링 및 개선정보보호관리체계 재검토

지속적 목표

수준 확인

변화요인과목표

효율성,범위의 적절성

잔류 위험 수준,절차



경영진신청기관

보고

사후관리5단계

내부 감사모니터링 및 개선정보보호관리체계 재검토



“ 발견사항, 결론, 권고사항 기술한 보고서 작성 ”

사후관리5단계

내부감사모니터링 및 개선정보보호관리체계 재검토

주기 방법

기준

감사



조직의 사업목적 및 문화에적합한 정보보보대책 수립

경영진의 의지와 지원

“ 경영진들의 지속적 관심과 책임 완수 유도 ”

주의사항주의사항

실무측면경영측면

3. 주의사항


위험관리 방법론에 대한 이해 수반

정책수립과 조직 구성

교육훈련

모니터링과 사고 대응

내부감사

주의사항주의사항

경영측면 실무측면

3. 주의사항(계속)


“ 정보보호관리체계 수립은 실질적인 정보보호의 밑거름입니다. ”

정보보호관리체계수립 운영을위한 관리과정 5단계가이드입니다 ·...

Documents