1. 기업 정보보호 환경 변화
ICT 환경 변화에 따라 기업 정보보호 수준 제고를 위한 제도 정비의 필요성이 대두되었다. 이에 따라 다음 세 가지를 제·개정하며 환경변화에 대응한다.
여기서 환경 변화란 ICT 환경의 변화를 의미하며, 대표적으로 모바일 기기 업무 사용, 클라우스 서비스 활성화, APT·DDos 등 공격기법 지능화 및 다양화, 컴플라이언스 강화(개인정보보호 등 법률 강화)가 있다.
1. ISMS 인증 제도
ICT 환경 변화 및 안전진단 대상자에 대한 ISMS 인증 의무화에 따라 ISMS 기준을 명확화, 현실화한다.
이를 통해 다음 4가지의 이점이 발생한다.
- 경영진 참여 및 책임 강화
- ISMS 인증은 경영진의 적극적인 참여와 정보보호에 대한 책임을 요구한다.
- 이를 통해 조직 전체의 정보보호 의식이 향상되고, 정보보호 활동이 경영 전략과 밀접하게 연결될 수 있다.
- 외부자 보안 강화
- 외부 위협과 내부 위협 모두에 대한 보안 조치를 강화하게 된다.
- 특히, 고도화되고 있는 사이버 공격에 대비하여 외부로부터의 보안 위협을 줄이는 데 기여한다.
- 정보보호조직 구성 강화
- ISMS 인증을 획득하기 위해서는 정보보호를 전담하는 조직 구성이 필수적이다.
- 이를 통해 정보보호 관련 업무가 체계적이고 전문적으로 수행될 수 있다.
- 주요 직무자 인터넷 접속 제한
- 정보의 중요성에 따라 접근 권한을 차등화하고, 필요한 경우 주요 직무자의 인터넷 접속을 제한하여 정보 유출의 위험을 줄일 수 있다.
- 이는 정보보호 관리의 중요한 부분 중 하나이다.
2. 정보보호 사전점검
정보통신서비스 개시 이전에 계획, 설계 단계부터 정보보호를 고려하여 정보통신망의 침해사고를 예방하고, 비용효과적으로 안전한 서비스를 제공하기 위해 정보보호 사전점검 제도를 신설한다.
3. 정보보호조치
사이버 침해사고가 단순 해킹에서 지능화된 공격으로 변화됨에 따라 이를 적극적으로 예방·대응할 수 있도록 고시를 개정한다. 이를 위해 다음과 같은 조치를 취할 수 있다.
- 정보보호 최고책임자 지정
- 정보보호 투자 촉진
- 정보보호 현황 공개
- 모니터링 & 관리용 단말 보안 강화
- 중요정보 암호화
- 정보보호 사전 점검
ISMS 인증 대상 확대
- 정보통신망법 개정에 따라 정보보호 관리체계 인증을 의무화한다.
- 금융, 교육 등 타 분야 ISMS 인증을 확대한다.
- G-ISMS를 ISMS 제도와 통합함으로써 유사 제도의 중복성 문제를 해결한 후 PIMS와 통합 추진 중이다.
G-ISMS(Government Information Security Management System)는 정부나 공공기관의 정보보호 관리 체계를 평가하는 제도이다. 반면, ISMS(Information Security Management System)는 민간 부문을 포함한 모든 기업이나 조직의 정보보안 관리 체계를 평가하는 국제 표준이다. 이 두 제도는 각각 공공 부문과 민간 부문의 정보보호 관리 체계를 평가하고 인증하는 역할을 하지만, 내용과 목적이 상당 부분 중복되는 경우가 많다.
정부는 G-ISMS와 ISMS 제도를 하나로 통합하여 공공과 민간에서 발생할 수 있는 정보보호 관리 체계의 중복성 문제를 해결했으며, 이제는 PIMS(개인정보보호관리체계)와의 통합을 추진하고 있다.
PIMS는 개인정보의 안전한 처리를 보장하기 위해 조직이 따라야 할 관리적, 기술적, 물리적 조치를 포함한 체계이다. 따라서 ISMS/PIMS 통합은 정보보호와 개인정보 보호를 하나의 체계 안에서 더 효율적이고 체계적으로 관리하고자 하는 시도이다. 이러한 통합은 조직이 정보보호 및 개인정보 보호 관련 법규를 준수하는 데 있어서의 복잡성을 줄이고, 관리의 효율성을 높이며, 인증 절차를 간소화하는 등의 이점을 가지고 있다.
2. 정보보호 관리체계 인증제도 개요
정보보호 관리체계(ISMS)
정보보호 관리에 대한 표준적 모델 및 기준을 제시하여 기업의 정보보호 관리체계 수립·운영을 촉진하고 기업의 정보보호를 위한 일련의 활동 등이 객관적인 인증 심사 기준에 적합한지를 인증기관이 인증하는 제도이다.
- ISMS에서 제시하는 정보보호 대책 구현을 통해 정보보호 수준을 제고한다.
- 지속적인 정보보호 관리 없이는 위험의 GAP이 점점 커진다. 이는 정보보호에 대한 지속적인 관심과 업데이트를 하지 않을 경우, 조직이 직면하는 위험과 실제 보안 대책 사이의 격차가 점점 늘어나게 됨을 의미한다. 이러한 위험의 GAP을 줄이기 위해 정보보호 관리체계의 수립이 필요하다.
- 정보통신망의 안정성·신뢰성 확보를 위한 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계이다.
- IT 확산과 패러다임 변화, 사이버 침해 증가에 대비하는 조직 전반의 체계적인 위험관리 체계이다.
- 관리체계 부재
- 부분적 보안, 일회성 관리, 산발적 대응
- 시설, 장비, 조직, 문서, 정책 등이 각자 보안이다.
- 관리체계 운영
- 균형적 보안, 지속적 관리, 체계적 대응
- 연결된 보안이다.
ISMS 인증제도(개요)
주요 정보자산 유출 및 피해를 사전 예방하고 대처할 목적으로 기업이 수립·운영 중인 ISMS가 인증심사 기준에 적합한지를 인증하는 제도이다.
- 법적 근거: 정보통신망법 제47조
- 인증유효기간: 3년(매년 1회 사후심사)
- 인증체계: 과학기술정보통신부, 인증기관(KISA), 인증위원회, 인증심사원
- 인증절차
- 인증심사 종류
- 최초심사 : 정보보호 관리체계 인증 취득을 위한 심사 (범위 변경 등 중요한 변경사항 발생(ex. 새로운 인터넷 사업 시작) 시에도 최초 심사)
- 사후심사 : 정보보호 관리체계를 지속적으로 유지하고 있는지에 대한 심사 (연 1회 이상)
- 갱신심사 : 유효기간(3년) 만료일 이전에 유효기간 연장을 목적으로 하는 심사
인증 vs 인증심사
인증이란 신청기관이 수립하여 운영하고 있는 정보보호 관리체계가 정보보호 관리체계 인증 기준에 적합함을 한국인터넷진흥원(KISA) 또는 인증기관이 증명하는 것을 말한다.
인증심사란 신청기관이 수립하여 운영하고 있는 정보보호 관리체계가 인증기준에 적합한지의 여부를 인터넷진흥원 또는 인증기관이 서면심사 및 현장심사의 방법으로 확인하는 것을 말한다.
출처: 정보보호 관리체계 인증 등에 관한 고시 제 2조(용어의 정의)
ISMS 인증제도 연혁
ISMS 인증제도 효과
인증기준에 따른 관리와 투자를 지속한다면 사이버 침해 발생 확률 및 피해가 감소한다. 또한 ISMS 인증을 받은 기관들은 정보보호 중요성에 대한 인식과 투자에 긍정적이고, 침해사고 대응에 보다 적극적이다.
다음은 ISMS 인증제도 도입을 통한 효과를 나열한 것이다.
- 내부직원 인식확대
- 침해사고 위험 감소
- 정보보호에 대한 경영진 이해 증진
- 전담조직 구성 및 정보보호 업무 명확화
- 계획추진 및 예산확보
- 기업 신뢰도 및 경쟁력 향상
ISMS 인증심사 기준
ISMS 인증심사 기준은 정보보호 5단계 관리과정의 12개 통제사항과 정보보호 대책 13개 분야의 92개 통제사항, 총 104개의 통제사항으로 구성되어 있다. 총 104개 통제항목에 대한 적합성을 평가한다.
정보보호 5단계 관리과정
1. 정보보호 정책 수립 및 범위설정
조직의 정보보호 목표와 방향성을 명확하게 하는 정보보호 정책을 수립한다. 조직의 비즈니스 목표와 일치하는 정보보호 정책을 수립하고, 정보보호 관리 체계(ISMS)의 적용 범위를 결정한다.
2. 경영진 책임 및 조직 구성
정보보호 관리의 성공은 경영진의 지원과 적극적인 참여에 크게 의존한다. 이 단계에서는 경영진이 정보보호 정책의 승인, 자원 할당, 정보보호 조직의 구성 및 운영에 대한 책임을 지게 된다. 또한 정보보호를 담당할 전담 조직이나 팀을 구성하고, 각종 역할과 책임을 명확히한다.
3. 위험 관리
조직의 정보 자산에 대한 위협, 취약점 및 위험을 식별하고 평가한다. 이를 통해 위험을 기반으로 한 정보보호 전략을 수립하고, 위험 수준에 따라 우선순위를 정하여 적절한 위험 대응 방안을 결정한다.
4. 정보보호대책 구현
위험 관리 단계에서 결정된 정보보호 전략에 따라 실제 정보보호 대책을 구현한다. 이는 물리적, 기술적, 관리적 대책을 포함할 수 있으며, 접근 통제, 암호화, 보안 교육 및 인식 제고 등 다양한 보안 조치를 포함한다.
5. 사후관리
정보보호 관리 체계는 지속적인 모니터링, 검토, 개선 과정을 통해 유지되어야 한다. 사후관리 단계에서는 정보보호 대책의 효과를 지속적으로 모니터링하고, 내부 감사 및 이해관계자의 피드백을 통해 정보보호 관리 체계를 지속적으로 개선한다. 또한 새로운 위협이나 취약점이 발견될 경우 이에 대응하기 위한 조치를 취한다.
'Security > ISMS' 카테고리의 다른 글
| [ISMS] ISMS 관리과정 (5단계) (0) | 2024.04.28 |
|---|---|
| [ISMS] 인증 심사 (1) | 2024.04.28 |
