반응형
오늘은 ISMS 에 대해 알아보려고 합니다.
ISMS란.?
Information Security Management System 입니다.
정보 보안 관리 시스템
ISMS 2013년도에 의무화된 제도로써, 기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해
수립ㆍ관리ㆍ운영하는 종합적인 체계(정보보호 관리체계)의 적합성에 대해 인증을 부여하는 제도입니다.
쉽게말하면 ISMS는 인력을뽑고, 예산을 투자하고, 기반을 마련하고, 회사의 정보를 보호하는 것을 목적으로 하는 모든 활동입니다. 즉, 기반을 마련하고, 위험관리를하고, 그것을 운영하고 관리 (점검 및 개선)를 하는 모든 활동과 모든 계획 수립은 회사의 실정에 맞게 수립을 하고, 만약 안되었다면 타당한 근거가 있어야 합니다.
ISMS는 3년마다 재갱신을 해야하며, 1년마다 사후 심사를 계속 해야 합니다. 대상으로는 ISP, IDC, 병원과 학교등은 의무대상이며, 작년도 매출이 100억이상의 정보통신서비스제공자가 해당됩니다.
ISMS는 80개의 항목, ISMS-P 는 102개의 항목이 평가 대상입니다.
평가 항목으로 ISMS는 관리대책 수립 및 운영 -> 16개 항목, 보호대책 요구사항 -> 64개 항목
개인정보 처리단계별 요구사항 -> 22개 항목으로 평가됩니다.
ISMS 준비 및 신청
- 인증기준에 따른 관리체계 구축 운영 후 2개월 이상의 실제 운영 실적이 필요합니다.
- 이후 신청서류 작성하고 신청서를 제출합니다.
- 심사원들이 와서 심사를 시작합니다.
- 후속조치는 40일 추가적 60일, 총 100일의 후속조치 기간이 주어집니다.
- ISMS는 의무, ISMS-P는 자율입니다.
대상.?
- ISMS의 의무대상자라면 외부접점이 있는 홈페이지 or 서비스는 모두 포함 됩니다.
- 정보보호실무위원회(실무), 정보보호위원회(ceo, cpo, ciso cto 등) 를 구성부터 해야합니다.
- 정보시스템 대상으로는
- 라이브 / QA 등 라이브를 운영하기 위한 모든 서버는 대상에 포함됩니다.
- 자산에 대한 기준이 아닙니다. 임대장비라도 평가대상 인프라에 있으면 대상목록에 포함됩니다.
- 서비스를 위해 OFF된 서버들도 대상에 포함됩니다.
- 때에 따라서는 S3버킷도 포함됩니다.
- AWS LB, WAF 등 포함됩니다.
- 대상자인데 인증을 안받으면 패털티 → 매년 3000만원 과태료가 부과됩니다.
- 만약 작년도에는 100억을 넘어서 ISMS인증을 받았는데, 올해는 100억이 안된다면.?
- 심사를 받으려면 사후심사를 받으면 되고, 원치않으면 받지 않으면 됩니다만 인증이 취소가 됩니다.
- 만약 내년 100억이 넘는다면 사후심사를 받았다면 또 사후심사를 받으면 되지만,
사후심사를 받지 않았다면 다시 최초심사부터 받아야 합니다.
마치며...
지금까지 ISMS가 뭔지, 어떤건지에 대해 알아보았습니다.
다음번에는 ISMS평가항목 80가지에 대해 알아보도록 하겠습니다.!
반응형