ISMS 인증 준비
ISMS 인증 심사 절차
법적 근거
: 정보통신망법 제 47조(정보보호관리체계의 인증)
관련 규정
- 정보통신망법 (제47조)
- 정보통신망법 시행령 (제47조 ~ 제54조)
- 정보보호 관리체계 인증 등에 관한 고시 (미래부 제2013-36호)
기업 자율 신청
기업이 정보보호 관리체계를 구축·운영하고 인증 취득을 희망할 경우, 자율적인 신청을 통한 인증심사 가능
ISMS 인증 의무대상자 (정보통신망법 제47조 제2항)
기업 스스로 의무대상 여부를 판단하여 ISMS를 구축하고 인증을 취득하는 것이 원칙이다.
- 정보통신서비스제공자란 쉽게 말해 인터넷을 통해 돈을 버는 모든 사업자를 일컫는다.
- VIDC(Virtual Internet Data Center)
- 매출액이라는 점을 주의해야 한다. 즉 기업의 순매출액을 의미한다.
- 쇼핑몰 판매액이 100억 이상이어도 수수료(세금 등)를 고려해야 한다. 즉, 판매액에서 수수료를 뺀 금액을 고려해서 의무대상자 해당 여부를 결정해야 한다.
- 자동차 중계 쇼핑몰에서 10억짜리 벤츠 차를 1년 동안 11명이 구매하면 110억이 된다. 하지만 쇼핑몰의 순매출액은 110억이 아니라 중계수수료가 된다. 따라서 순매출액이 100억을 넘지 않을 경우 의무대상자에 해당하지 않는다.
인증 취득 소요 시간
- ISMS를 수립·운영 중인 기관: 약 3개월
- 미운영 기관: 6개월 이상
인증 심사 절차
인증 심사는 인증심사팀이 기업에 방문하여 서면심사와 현장심사로 진행한다.
서면심사는 정책, 지침, 절차, 증적 자료 등을 확인하며, 현장심사는 시스템 시연, 담당자 면담 등을 수행한다.
인증 심사는 3·4분기에 집중되며, 이 경우 해당 분기에 사업자 등록일이 속한 의무 대상자들에게 우선권이 주어진다.
- 심사신청: 신청 공문(KISA)을 확인하고 인증 신청서와 관리체계명세서를 제출한다.
- 계약단계: 수수료 산정 → 계약 → 수수료 납부
- 인증위원회: 최초/갱신심사 결과를 심의하고 의결한다.
ISMS 인증 심사 대응 시 유의사항
1. 인증심사 대응
- 인증심사는 문제점을 파헤쳐 담당자를 문책하고자 하는 것이 아니라 신청 기관이 스스로 운영중인 관리체계의 미흡한 점을 발견하고 개선하는 것이 목적이다.
- 신청기관이 관리체계를 구축하고 운영되고 있음을 심사원에서 보여야 한다. 심사 시작 이후라도 인증심사 준비가 미흡하면 철수 및 중단될 수 있다.
2. 경영진 및 각 부서별 적극 지원
- CEO 및 경영진의 참여와 관심, 의지가 중요하다.
- 독립된 정보보호 업무 전담 조직이 필요하다.
- 각 분야 별 유기적인 협조와 노력이 필요하다.
3. 인증취소 요건 (정보통신망법 제47조 제10항)
- 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우
- 제 4항에 따른 인증기준에 미달하게 된 경우
- 제 8항에 따른 사후관리를 거부 또는 방해한 경우
4. 인증에 대한 이해
- 인증은 침해사고를 최소화하는 것이며 100% 안전을 보장하는 것이 아니다.
- 인증취득 후 책임감을 갖고 지속적인 인증기준 준수와 유지를 해야 한다.
ISMS 인증 범위 설정
- 권고대상자: 주요 서비스를 포함하여 자율 설정이 가능하다.
- 의무대상자: 선정 기준에 해당하는 정보통신서비스와 서비스 제공을 위해 필요한 자산(서버, 네트워크, 시설 등)을 반드시 포함해야 한다.
💡 직접적으로 인터넷과 연결되면 심사 범위에 해당한다.
ex1) 총무팀에서 쓰는 서버는 심사 범위에 해당하지 않는다.
ex2) 사이버보안팀이 쓰는 서버는 심사 범위에 해당한다. → 인프라 장애 발생 시 회사에서 돈을 못 벌기 때문이다.
ISMS 인증 범위 설정 사례
다수 서비스 제공 업체
하나의 신청기관이 다수의 정보통신서비스를 운영하는 기업일 경우 명확한 인증범위 산정을 위해 다수의 정보통신서비스 중 매출액이 발생하거나 회원 정보를 수집·활용하는 서비스에 한해 인증 범위에 포함한다.
패치서버
패치관리를 위한 시스템(관리용 프로그램, NAC, 백신 등)은 포함한다.
패치 서버 등에 대한 소유자가 해당 기업이 아니더라도 그 자산을 운영하거나 서비스 제공에 중요한 역할을 하고 있고, 기업이 그 자산을 제어할 수 있는 권한을 가지고 있다면, 그 자산은 기업의 정보보안 관리체계의 일부로 간주되어 인증 심사 과정에서 평가 대상에 포함되어야 한다.
패치 서버란 보안 취약점을 해결하고 시스템을 최신 상태로 유지하는 데 필수적인 역할을 하는 서버를 말한다.
💡 ISMS 인증 관련 정보
Q1. ISMS 인증 수수료 산정 방법
고시 기준으로 직접인건비, 직접경비, 제경비, 기술료의 합으로 산정해야 한다. 현재는 ISMS 인증 제도 활성화를 위해 부분적으로만 고려하여 산정하고 있다. 전체적으로 인증 범위 내 종업원 수, 서버 수에 따라 금액이 결정된다.
Q2. ISMS 인증서 유효기간은 3년이다. 중간에 취소될 수도 있는지?
거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증서를 받은 경우, 인증기준에 미달하게 된 경우, 사후관리 거부 또는 방해한 경우 취소가 될 수 있다. 또한 보완조치 기간(연장 포함 90일) 초과도 취소 사유가 될 수 있다.
주요 결함 사례
1. 사용자 패스워드 관리
- 기업 스스로 정한 사용자 패스워드 내부 정책을 미준수
- 패스워드 정책 관련 법적요구사항 미준수
2. 보안시스템 운영
- 규정화된 정책(Ruleset) 변경절차 부재로 인한 이력(사유, 사용기한, 승인여부 등) 확인 불가
- 정기적인 정책(Ruleset) 타당성 검토 미수행
과도한 내·외부접속 정책 허용, 미승인 정책 사용, 장기간 미사용/중복/사용기간 만료 정책 존재 등 - 관리자 페이지 외부 접근 허용, 접속 IP 무제한 허용
3. 정보자산 식별
- 인증 범위 내 주요 정보자산 식별이 누락되어 위험관리 대상에서 제외됨
- 정보자산의 변경 내역을 관리하지 않음
- 정보자산 중요도 산정 기준 부재에 따른 중요도 평가 누락
'Security > ISMS' 카테고리의 다른 글
| [ISMS] ISMS 관리과정 (5단계) (0) | 2024.04.28 |
|---|---|
| [ISMS] ISMS 개요 (1) | 2024.04.28 |
