ISMS에 대해서 상세하게

정보보호 관리체계 인증제도

목적

-비즈니스의 영속성 확보

-체계적이고 지속적인 프로세스 개선 활동

-정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조

의무 대상자

-정보통신서비스 제공자

1) 정보통신망 서비스를 제공하는자

2) 직접정보통신시설 사업자

3) 연간 매출액 또는 이용자 수등이 기준에 해당하는 자

인증 심사 종류 및 주기

1. 최초 시사

2. 재심사

3. 사후 관리 연 1회 이상

4. 갱신 심사 유효기간 3년 이전에 연장을 목적

최초심사-사후심사-사후심사-갱신심사

인증 프로세스

1. 인증 준비 단계

2. ISMS 구축 단계

3. ISMS 운영 단계

4. 인증 신청 및 심사 단계

5. 심사 결과 보완 조치 단계

6. 사후관리 단계

인증 절차 흐름도

1. 인증 심사 신청

2. 사전심사 및 계약

3. 인증 심사팀 구성

4. 인증 심사

5. 보완 조치 결과 통보

6. 결과 보고서 제출

7. 인증위원회에 심의,의결 요청

8. 통보

9. 인증서 발급

*ISMS 구축 프로세스

1) 정보보호 정책 수립 및 범위 설정

2) 경영진 책임 및 조직 구성

3) 위험 관리

4) 정보보호 대책 ㅜ현

5) 사후 관리

ISMS 인증심사 기준은 5단계의 12개 통제사항과

13개 분야의 92개의 통제 사항으로 이루어져 있다.

통제분야

정보보호 정책 - 정책의 승인, 문서, 검토

정보보호 조직 - 최고책임자, 실무 조직, 정보보호위원회

외부자 보안

정보 자산 분류

정보보호 교육 및 훈련 - 교육 계획, 교육 대상, 교육 내용 및 방법

인적 보안 - 주요 직무자 지정 및 감독, 직무 분리, 비밀 유지 서약서

침해사고 관리 - 침해사고 대응 절차 수립, 침해사고 대응체계 구축, 침해사고 훈련

IT 재해 복구

*인증 시 필요한 문서 목록

1. 정보보호 정책서

2. 위험분석, 평가 보고서

3. 정보보호 계획서

4. 대책 명세서

5. 내부감사 결과 보고서

6. 통신설비의 목록과 시스템 구성도

7. 관련있는 주요 문서

정책-위험-계획-대책-내부감사-구성