개요
기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립 관리 운영하는 종합적인 체계(정보보호 관리체계)의 적합성에 대해 인증을 부여하는 제도
목적
- 정보자산의 안전, 신뢰성 향상
- 정보보호관리에 대한 인식 제고
- 국제적 신뢰도 향상
- 정보보호서비스 산업의 활성화
법적근거
- "정보통신망 이용촉진 및 정보보호 등에 관한 법률" 제47조
- "정보통신망 이용촉진 및 정보보호 등에 관한 법률" 제50조
- 정보보호 관리체계 인증 등에 관한 고시 (미래창조과학부고시 제2013-36호)
인증대상
- (ISP) 전기통신사업법의 전기통신사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자
- (IDC) 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영 관리하는 사업자
- (정보통신서비스제공자) 정보통신서비스매출액 100억 또는 이용자 수 100만명 이상인 사업자
※ 의무대상자 미인증 시 3.000만원 이하의 과태료 (정보통신망법 제76조 근거)
인증제도의 특징
- 국내 실정에 적합한 정보보호관리 모델 제시
- 공신력 있는 정보보호 전문기관(KISA)에 의한 심사 및 인증
- 국내 최고의 분야별 전문가들에 의한 인증 심사
- 국내 정보보호관련 법제도 반영
인증심사 종류
- 최초심사: 정보보호관리체계 인증 취윽을 위한 심사
- 사후심사: 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상)
- 갱신심사: 유효기간(3년) 만료일 이전에 유효기간의 연장을 목적으로 하는 심사
※ 인증을 받은 정보보호 관리체계 범위 내에서 중대한 변경이 발생한 경우 최초심사 수행
인증심사기준
ISMS 인증심사 기준은 정보보호 5단계 관리과정 요구사항 12개 통제사항, 정보보호대책 13개 분야 92개 통제사항 총 104개 통제사항으로 구성
※ 2013년 기준 항목 수 변경 : 신규기준(14개), 통합 또는 변경기준(128개 -> 90개), 삭제기준(9개)
정보보호관리과정 요구사항
ISMS는 정보보호정책 수립 및 범위설정, 경영진 책임 및 조직 구성, 위험관리, 정보보호대책 구현, 사후관리의 5단계 과정을 거쳐 수립, 운영, 관리 과정은 일회적인 단계가 아니라 지속적으로 유지 관리되어야 함
 |
| 그림1 ISMS 수립 프로세스 출처: https://isms.kisa.or.kr/kor/intro/intro02.jsp |
정보보호대책 요구사항
정보보호대책은 정보보호에 관련된 위험을 통제하기 위한 요구사항으로 13개 통제분야, 92개 통제사항으로 구성
[출처]
https://isms.kisa.or.kr/kor/intro/intro01.jsp
https://isms.kisa.or.kr/kor/intro/intro02.jsp
댓글 없음:
댓글 쓰기