여름이 시작되는 6월입니다.
더워지는 날씨 속에 몸도 마음도 지치기 쉬운 계절이기도 한데요,
하지만 보안에 있어서는 절대로 지쳐서는 안되겠죠?
이번 시간에는 정보보호 관리체계(ISMS) 인증에 대해 알아보는 시간을 갖도록 하겠습니다^^
1. 정의 및 목적
|
▣ 정의 - 정보보호관리체계 수립ㆍ운영을 위한 5단계 관리과정(정보보호정책수립, 정보보호관리체계 범위설정, 위험관리, 구현, 사후관리), 문서화, 정보보호대책에 대하여 조직의 특성 및 환경에 부합되도록 적절하게 수립ㆍ구현하여, 체계적으로 관리ㆍ유지하고 이행하는지를 평가하여 인증을 부여하는 제도를 말한다.
- 정보보호를 필요로 하는 조직에 대한 인증을 통하여 인증 받은 조직이 보유하고 있는 정보자산의 안전과 신뢰성 향상, 정보보호 관리에 대한 인식 제고, 정보보호에 대한 국제적 신뢰도 향상 및 정보보호서비스 산업의 활성화를 목적으로 하고 있으며 2002년부터 시행됐다.
▣ 목적 - 정보자산의 안전, 신뢰성 향상 - 정보보호관리에 대한 인식 제고 - 국제적 신뢰도 향상 - 정보보호서비스 산업의 활성화
|
<출처 : 한경 경제용어사전>
보안관련 다양한 법들이 있는데, 정보보호 관리체계(ISMS)는 정보통신망법에 근거하고 있습니다.
참고적으로 개인정보보호법도 알아두시면 좋습니다.
2. 법적 근거
|
▣ 법적 근거 - “정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조 - “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조 - 정보보호 관리체계 인증 등에 관한 고시 (미래창조과학부고시 제2013-36호) |
<출처 : KISA>
정보통신망법에 포함되는 기업 중 특정 기준에 포함되는 경우 ISMS 인증 의무 대상자 입니다.
하지만 의무 대상자 외 기업이 취득을 희망할 경우 ISMS 인증 심사가 가능합니다.
3. 인증대상
|
▣ 의무 대상자 ※ 관련 근거 : 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제2항 ※ 의무대상자 미인증 시 1,000만원 이하의 과태료 (정보통신망법 제76조 근거) - 2015년 12월, 개인정보보호와 관련된 정보통신망법이 개정 이후 3,000만원 이하의 과태료로 변경됨
▣ 자율신청 기업 ※ 의무대상자 외 기업이 인증 취득을 희망할 경우, 자율적인 신청을 통한 인증 심사가 가능 |
<출처 : KISA>
인증심사는 최초 인증 시 하는 최초심사, 년 마다하는 사후 심사, 유효기간 이전에 하는 갱신심사
이렇게 3가지 종류로 분류됩니다.
4. 인증심사 종류
|
▣ 인증심사 종류
- 최초심사 : 정보보호관리체계 인증 취득을 위한 심사 - 사후심사 : 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상) - 갱신심사 : 유효기간(3년)만료일 이전에 유효기간의 연장을 목적으로 하는 심사
※ 인증을 받은 정보보호 관리체계 범위 내에서 중대한 변경이 발생한 경우 최초심사 수행 |
<출처 : KISA>
인증을 취득한 기업은 국가에서 혜택을 주는데 해당 혜택은 아래와 같습니다.
5. 인증 취득기업 혜택
|
▣ 인증 취득기업 혜택
|
<출처 : KISA>
ISMS 인증심사 기준은 정보보호 5단계 관리과정 요구사항 12개 통제사항, 정보보호대책 13개
분야 92개 통제사항 총 104개 통제사항으로 구성되어 있습니다.
6. 인증심사 기준
|
▣ 2013년 기준 항목 수 변경 : 신규기준(14개), 통합 또는 변경기준(128개 → 90개), 삭제기준(9개)
▣ 정보보호 관리체계 인증기준 (미래부 고시)
▣ 정보보호관리과정 요구사항
사후관리의 5단계 과정을 거쳐 수립, 운영. 관리 과정은 일회적인 단계가 아니라 지속적으로 유지 관리되어야 함
▣ 정보보호대책 요구사항 - 정보보호대책은 정보보호에 관련된 위험을 통제하기 위한 요구사항으로 13개 통제분야, 92개 통제사항으로 구성
|
<출처 : KISA>
그럼 인증을 받기 위한 자세한 절차에 대해 알아보겠습니다.
7. 인증절차
|
|
<출처 : KISA>
ISMS 인증을 취득한 경우 인증마크를 사용할 수 있습니다.
인증마크를 사용하는 방법은 다음과 같습니다.
8. 인증마크
|
▣ 인증마크(인증표시) - 「정보통신망 이용 촉진 및 정보보호 등에 관한 법률」 시행령 제52조에 따라 정보보호 관리체계(ISMS) 인증 받은 내용을 표시
▣ 인증마크(인증표시) 사용방법 - ‘Information Security Management System'은 검정색으로, ’정보보호 관리체계 인증‘은 군청색으로 하고 게시장소의 칼라표시가 불합리한 경우에는 흑백으로 사용 가능 - 마크의 크기는 일정 비율로 조정할 수 있으나 인증마크를 구분할 수 없을 정도의 작은 크기로 사용 불가 - 「정보통신망 이용 촉진 및 정보보호 등에 관한 법률」 시행령 제52조에 의거하여 인증받은 내용을 문서·송장·공고 등에 표시·홍보하는 경우, 인증의 범위와 유효기간을 함께 표시
※ 인증받은 내용(인증범위 및 유효기간의 표시 등)을 거짓으로 표시·홍보한 경우 1천만원 이하의 과태료 부과(법 제76조제3항제7호)를 부과 받습니다. |
<출처 : KISA>
참고적으로 ISMS 인증심사 시 수수료가 발생됩니다.
※ 인증 수수료 = 직접인건비 + 직접경비 + 제경비 + 기술료
또한 ISMS 인증심사에 참여할 수 있는 사람은 ISMS 인증 심사원 자격이 있는 사람만 참여 가능합니다.
KISA 에서 주관하고 있으면 1차 필기 시험, 2차 교육 후 실기 시험에 통과해야 받을 수 있습니다.
어떠셨나요?
정보보호 관리체계(ISMS) 인증에 대해 도움 및 이해가 되셨나요?
요즘 보안에 대한 각종 사고가 많이 발생하고 있습니다.
미리미리 준비하여 피해를 최소화 할 수 있도록 우리 모두 노력해야 합니다.
소프트캠프도 언제나 여러분의 곁에서 보안을 위해 힘쓰겠습니다^^
'보안 이야기' 카테고리의 다른 글
| 개인정보보호 관리체계(PIMS) 파헤치기 (0) | 2016.07.14 |
|---|---|
| 휴가철 정보보안 체크 리스트 10 (0) | 2016.06.22 |
| 핀테크 보안, ‘블록체인(Blockchain)’으로 해결한다! (0) | 2016.05.20 |
| 클라우드 보안, 전 세계 클라우드 열풍, 보안은? (0) | 2016.05.04 |
| 떠오르는 생체인증 방식, 파이도(Fido)! (0) | 2016.05.03 |
