정보보호관리체계 인증 지원 컨설팅

정보보호관리체계(Information Security Management System)는 조직이 고유한 정보보호 프레임워크를 구축할 수 있도록 도와 주는 선례(Best Practice)의 집합이라고 할 수 있습니다. ISMS의 종류에는 국내 KISA에서 인증하는 ISMS 및 ISMS-P와 국제 ISO에서 인증하는 ISO27001이 있습니다. 조직은 이중 하나의 표준을 선택하여 정보보호 프레임워크 구축에 사용할 수 있습니다.


정보보호관리체계를 준비하기 위해서는 현황 및 자산 파악을 시작으로 위험 평가 및 보호 대책까지 단계별로 기관의 정보보호 자산, 관련 문서에 대하여 검토·보완하여 체계적으로 이를 운영할 수 있도록 절차에 맞게 컨설팅을 수행합니다.

정보보호 관리체계 인증

「정보통신망법」 제47조 ①항에 의거하여 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 정보보호 관리체계를 수립ㆍ운영하고 있는 자에 대하여 기준에 적합한지에 관하여 인증을 할 수 있다.


정보보호 관리체계 인증 대상

  • 정보통신망 서비스를 제공하는 사업자

  • 집적 정보통신 시설 사업자

  • 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상인 사업자

필요성

조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험 관리, 대책 구현, 사후 관리 등의 정보보호 관리 과정을 통해 구현된 여러 정보보호 대책들의 유기적인 통합 체계에 대하여 한국인터넷진흥원(KISA)이 객관적이고 독립적으로 평가하여 기준에 대한 적합성을 인증 받는 국가 공인 제도 이며, 정보 자산을 운영함에 있어서 정보보호관리체계 수립을 통한 관리가 필요합니다.

특징

  • 조직의 역량과 업무 환경에 적합한 정보보호 체계 구축

  • 조직이 빠른 시간 안에 정보보호관리체계에 적응할 수 있도록 ‘ISMS구축 TFT’를 구성하여 지식 이전 수행

  • 인증 심사 기준에 부합하는 산출물 제작과 함께 정보보호관리체계 요구사항을 충족

목적

  • 조직의 자산에 대한 안정성 및 신뢰성을 향상시키기 위한 절차와 과정을 정보보호 관리체계의 수립 및 문서화, 지속적으로 관리

  • 정보보호 목표인 정보의 기밀성, 무결성, 가용성을 실현하기 위한 일련의 과정 및 활동을 지원

  • 정보보호관리체계의 수립을 통해 관리적, 물리적, 기술적으로 체계적인 대응 방안을 제공

수행절차

1. 현황 및 자산 파악

보안의 현황을 분석하기 위하여 정보자산을 면밀하게 파악하고 보안등급/중요도 산정과 보유한 정보 자산을 분별하여 취약점 진단 범위 및 대상을 산정합니다.

2. 관리/물리적 점검

정보보호 5단계 관리과정 12개 통제사항 및 정보보호대책 13개 분야 92개 통제사항, 총 104개 통제 사항으로 구성되어 있으며 객관적인 정보보호 관리체계의 기준이므로 이를 통해 정보 보호 수준 및 관리체계를 진단합니다.

3. 기술적 취약점 진단 및 모의 해킹

산정된 정보보호시스템에 대하여 기술적 취약점 진단 및 모의해킹을 수행하여 기관의 주요 정보시스템의 취약점을 도출 하고 대응방안을 제시합니다.

4. 위험평가 및 보호 대책

자산에 대한 상세 내역을 작성하여 목록화하고 해당 자산의 기밀성, 무결성, 가용성 정도를 평가하여 이로부터 자산을 중요도를 산정하고 취약점을 분석한 결과를 토대로 허용 위험 수준, 위험 수용, 대책 선정을 지정하고, 지정된 위험분석 결과를 토대로 보호대책을 작성합니다.

기대효과

정성적 효과

  • 기업의 종합적인 정보보호 체계 수립을 통한 기업 신뢰도와 마켓 경쟁력 향상

  • 최근 보안 사고의 경향인 지능형 공격 방식에 효율적 대응

  • 정보보안 관리체계의 개선을 통한 정보보안 수준의 향상

정량적 효과

  • 「정보통신망법」 준수

  • 보안 사고 발생시 법적 책임 완화

  • 정보보호에 민감한 고객 및 파트너사의 신뢰감 확보로 매출 상승 효과