본문 바로가기

보안 이야기

정보보안 인증 체계(ISMS) 파헤치기

 

 

여름이 시작되는 6월입니다.

더워지는 날씨 속에 몸도 마음도 지치기 쉬운 계절이기도 한데요,

하지만 보안에 있어서는 절대로 지쳐서는 안되겠죠?
 

이번 시간에는 정보보호 관리체계(ISMS) 인증에 대해 알아보는 시간을 갖도록 하겠습니다^^

 

 

1. 정의 및 목적


 

 

▣ 정의
 

​- 정보보호관리체계 수립ㆍ운영을 위한 5단계 관리과정(정보보호정책수립, 정보보호관리체계 범위설정,

  위험관리, 구현, 사후관리), 문서화, 정보보호대책에 대하여 조직의 특성 및 환경에 부합되도록

  적절하게 수립ㆍ구현하여, 체계적으로 관리ㆍ유지하고 이행하는지를 평가하여

  인증을 부여하는 제도를 말한다.

 

- 정보보호를 필요로 하는 조직에 대한 인증을 통하여 인증 받은 조직이 보유하고 있는 정보자산의

  안전과 신뢰성 향상, 정보보호 관리에 대한 인식 제고, 정보보호에 대한 국제적 신뢰도 향상 및

  정보보호서비스 산업의 활성화를 목적으로  하고 있으며 2002년부터 시행됐다.

 

 

▣ 목적

- 정보자산의 안전, 신뢰성 향상

- 정보보호관리에 대한 인식 제고

- 국제적 신뢰도 향상

- 정보보호서비스 산업의 활성화

 

 

 

<출처 : 한경 경제용어사전>

 

보안관련 다양한 법들이 있는데, 정보보호 관리체계(ISMS)는 정보통신망법에 근거하고 있습니다.

참고적으로 개인정보보호법도 알아두시면 좋습니다.

 

2. 법적 근거

 

 

▣ 법적 근거

- “정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조

- “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조

- 정보보호 관리체계 인증 등에 관한 고시 (미래창조과학부고시 제2013-36호)


 

<출처 : KISA>

 

정보통신망법에 포함되는 기업 중 특정 기준에 포함되는 경우 ISMS 인증 의무 대상자 입니다.

하지만 의무 대상자 외 기업이 취득을 희망할 경우 ISMS 인증 심사가 가능합니다.

 

 

3. 인증대상

 

 ▣ 의무 대상자
 

※ 관련 근거 : 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제2항

※ 의무대상자 미인증 시 1,000만원 이하의 과태료 (정보통신망법 제76조 근거)

   - 2015년 12월, 개인정보보호와 관련된 정보통신망법이 개정 이후

   3,000만원 이하의 과태료로 변경됨


 


※ 의무대상 요건 중 추가된 부분 : 매출 또는 세입이 1,500억 원 이상인 업체로 확대

 

 

 

▣ 자율신청 기업
 

​※ 의무대상자 외 기업이 인증 취득을 희망할 경우, 자율적인 신청을 통한 인증 심사가 가능


 

<출처 : KISA>

 

인증심사는 최초 인증 시 하는 최초심사, 년 마다하는 사후 심사, 유효기간 이전에 하는 갱신심사

이렇게 3가지 종류로 분류됩니다.

 

 

4. 인증심사 종류

 

 ▣ 인증심사 종류

 

 

- 최초심사 : 정보보호관리체계 인증 취득을 위한 심사

- 사후심사 : 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상)

- 갱신심사 : 유효기간(3년)만료일 이전에 유효기간의 연장을 목적으로 하는 심사

 

※ 인증을 받은 정보보호 관리체계 범위 내에서 중대한 변경이 발생한 경우 최초심사 수행 

 

<출처 : KISA>

 

인증을 취득한 기업은 국가에서 혜택을 주는데 해당 혜택은 아래와 같습니다.

 

 

 

5. 인증 취득기업 혜택

 

 

▣ 인증 취득기업 혜택

 

 

 

​<출처 : KISA>

 

ISMS 인증심사 기준은 정보보호 5단계 관리과정 요구사항 12개 통제사항, 정보보호대책 13개

분야 92개 통제사항 총 104개 통제사항으로 구성되어 있습니다.

 

 

6. 인증심사 기준

 

▣ 2013년 기준 항목 수 변경 : 신규기준(14개), 통합 또는 변경기준(128개 → 90개), 삭제기준(9개)

 

▣ 정보보호 관리체계 인증기준 (미래부 고시)

 

 

 

▣ 정보보호관리과정 요구사항


   - ISMS는 정보보호정책 수립 및 범위설정, 경영진 책임 및 조직 구성, 위험관리, 정보보호대책 구현,

     사후관리의 5단계 과정을 거쳐 수립, 운영.

    관리 과정은 일회적인 단계가 아니라 지속적으로 유지 관리되어야 함

 

 

 

 

▣ 정보보호대책 요구사항
 

  - 정보보호대책은 정보보호에 관련된 위험을 통제하기 위한 요구사항으로 13개 통제분야,

    92개 통제사항으로 구성

 

 

<출처 : KISA>

 

그럼 인증을 받기 위한 자세한 절차에 대해 알아보겠습니다.

 

 

7. 인증절차

 


▣ 인증절차 기본 흐름


 

 


▣ 인증절차도(전체)

 

 

 

<출처 : KISA>

 

ISMS 인증을 취득한 경우 인증마크를 사용할 수 있습니다.

인증마크를 사용하는 방법은 다음과 같습니다.

 

 

8. 인증마크

 

▣ 인증마크(인증표시)
 

 - 「정보통신망 이용 촉진 및 정보보호 등에 관한 법률」 시행령 제52조에 따라

   정보보호 관리체계(ISMS) 인증 받은 내용을 표시

 

 

 

 

▣ 인증마크(인증표시) 사용방법
 

​- ‘Information Security Management System'은 검정색으로, ’정보보호 관리체계 인증‘은

   군청색으로 하고 게시장소의 칼라표시가 불합리한 경우에는   흑백으로 사용 가능

- 마크의 크기는 일정 비율로 조정할 수 있으나 인증마크를 구분할 수 없을 정도의 작은 크기로

  사용 불가

- 「정보통신망 이용 촉진 및 정보보호 등에 관한 법률」 시행령 제52조에 의거하여 인증받은 내용을

  문서·송장·공고 등에 표시·홍보하는 경우,  인증의 범위와 유효기간을 함께 표시

 

※ 인증받은 내용(인증범위 및 유효기간의 표시 등)을 거짓으로 표시·홍보한 경우

    1천만원 이하의 과태료 부과(법 제76조제3항제7호)를 부과 받습니다.

 

<출처 : KISA>

참고적으로 ISMS 인증심사 시 수수료가 발생됩니다.

※ 인증 수수료 = 직접인건비 + 직접경비 + 제경비 + 기술료

또한 ISMS 인증심사에 참여할 수 있는 사람은 ISMS 인증 심사원 자격이 있는 사람만 참여 가능합니다.

KISA 에서 주관하고 있으면 1차 필기 시험, 2차 교육 후 실기 시험에 통과해야 받을 수 있습니다.

 

어떠셨나요?

정보보호 관리체계(ISMS) 인증에 대해 도움 및 이해가 되셨나요?

요즘 보안에 대한 각종 사고가 많이 발생하고 있습니다.

미리미리 준비하여 피해를 최소화 할 수 있도록 우리 모두 노력해야 합니다.

 

소프트캠프도 언제나 여러분의 곁에서 보안을 위해 힘쓰겠습니다^^