ISMS-P 인증 컨설팅

"모의해킹 · 보안취약점진단 · 정보보호컨설팅" 전문기업 『라스컴 시큐리티』  www.lassecu.com  T:1522-3863  secu@lascom.co.kr         

안녕하세요 라스컴 시큐리티입니다.

오늘은 정보보호관리체계(ISMS)와 정보보호 및 개인정보보호관리체계(ISMS-P)란 무엇인지 소개해 드리겠습니다. 

정보보호관리체계(ISMS)는 과학기술정보통신부에서 관장하는 인증이며, 정보보호 및 개인정보보호관리체계(ISMS-P)는 과학기술정보통신부의 정보보호관리체계(ISMS)와 행정안전부와 방송통신위원회에서 관장하는 개인정보관리체계(PIMS)를 통합한 인증입니다. 즉 조직의 ICT자산과 개인정보를 통합하여 관리할 수 있는 인증이 ISMS-P 인증입니다. 

따라서 ISMS인증컨설팅, ISMS-P인증컨설팅은 조직의 정보보호 및 개인정보 관리체계(ISMS, ISMS-P)를 수립하기 위하여 조직의 정보보호와 개인정보 정책 및 규정의 제정(또는 개정), 조직의 정보처리 업무 및 시스템 정책 반영, ISMS, ISMS-P 인증 모의심사 및 인증심사를 통해서 인증을 획득하여 대외 고객 신뢰도 향상 및 이미지를 제고하고 보안 체계 및 프로세스 확립을 통한 보안사고 예방 및 안전성을 강화할 수 있도록 지원하는 컨설팅 활동입니다.

ISMS-P 인증은 ISMS 인증에 ISMS-P 인증을 위한 추가 기준과 항목이 추가되는 개념으로서 아래와 같이 구성됩니다. 

1) ISMS 인증 : 80개의 기준, 234개의 세부항목

2) ISM-P 인증 : ISMS 인증 + 22개 기준과 91개의 세부항목

1. ISMS, ISMS-P 인증 컨설팅의 목적 및 배경 

ISMS, ISMS-P 인증 컨설팅의 목적 및 배경은 무엇 보다도 조직의 정보보호 및 개인정보 관리체계를 구축하고 조직의 정보보호 및 개인정보의 체계를 강화하여 인증을 획득하는 것이 가장 중요한 목표이자 목적입니다. 이를 통해 기업과 기관은 고객에게 보다 안전하고 정확한 서비스를 제공할 수 있으며 대외 신뢰도를 확보할 수 있습니다.

2. ISMS, ISMS-P 인증 컨설팅의 단계별 수행 내용

1) 추진계획 수립

(1) 요구사항 분석

고객 요구사항, 프로젝트 요구사항, 관련 법규, 감독기관의 요구사항 등을 명확하게 분석합니다. 

- 고객의 보안 요구사항 파악

- 평가항목 및 수행방법 정의

- 법적 요구사항 파악

(2) 수행범위 설정

고객사와 협의하여 프로젝트 인증범위(시스템, 조직, 서비스, 프로세스)를 명확하게 정의하고 인증 컨설팅 수행범위의 정보자산을 확정합니다. 

- 담당자 인터뷰 수행 (인프라 담당자, 보안담당자, 개발자 등)

- 인증 대상, 범위, 일정 협의

- (개인)정보보호관리체계 범위 정의

(3) 수행계획 수립

고객과 수행사가 공감대를 형성하고 성공적인 사업수행을 위해 가급적 프로젝트 시작과 함께 착수보고를 실시하는 것이 바람직합니다.

- 세부 수행과제 정의

- 수행일정 및 R&R 정의

- 착수보고를 통한 수행방안 공유

2) 위험 분석

(1) 정보보호 및 개인정보의 현황 및 자산 분석

- 주요 사업 목표 및 주요 활동을 파악하고 ISMS 및 ISMS-P 범위 정의

- 정보보호 및 개인정보 관리체계 현황과 GAP 분석

- 인증 범위의 자산을 식별하고 분류하며 중요도 및 보안 등급 평가

(2) 보안 취약점 진단 및 보호대책 수립

관리적‧기술적‧물리적 보안 취약점을 진단하고 보안 취약점 개선 대책을 수립합니다.

(3) 위험평가 및 대응방안 수립

ICT 자산에 대한 보안 취약점 진단 결과에 대해 위험평가 및 조치계획을 수립합니다.

3) 관리체계 수립

(1) 표준화된 정보보호 및 개인정보 관리체계(ISMS, ISMS-P) 수립 및 구축

ISMS, ISMS-P 인증 관련 조직의 ICT 자산에 대해서 보안취약점의 진단, 분석, 평가를 수행합니다. 

특히 ISMS와 ISMS-P 인증 뿐 아니라 주요정보통신기반시설 보호지침, 국정원 정보보안관리실태 평가 대응, 전자금융기반시설, ISO27001, BSI10012, PIMS 등의 타 인증 체계와의 연계성을 고려하여 보안취약점진단을 수행합니다. 

정보보호 및 개인정보 조직의 구성, 운영, 교육 등 정보보호 및 개인정보 관리체계의 구조와 틀을 수립합니다. 

(2) 조직의 정보보호 및 개인정보에 대한 정책 및 규정 제정(또는 개정)

조직의 정보보호 정책 및 규정 제정 시에는 조직의 인증 대상 업무와 관련하여 전자금융감독 규정, 정보통신망법, 개인정보보호법, 신용정보보호법 등 관련된 정보보호 제반 법률에 근거하여 조직의 정보보호정책을 수립하고 규정 제정(또는 개정)을 실시합니다. 

- 기존 정보보호 및 개인정보 정책, 지침, 절차 등 분석 및 정비

- ISMS, ISMS-P 체계에 적합한 기존 문서의 제정(또는 개정) 작업 수행 

- ISMS, ISMS-P 에서 요구하는 문서 작성(정보통신망법, 개인정보보호법 등 준수사항 반영)

(3) 조직의 정보처리 업무 및 시스템 정책 반영

수립한 조직의 정보처리 및 개인정보의 정책 및 규정은 조직 내 정보처리시스템 개발 및 매뉴얼, ICT 시스템 도입 구축 및 매뉴얼 등의 조직의 ICT 자산 전반에 대한 실행에 반영되어야 합니다.

(4) 정보보호 및 개인정보 대책 계획 및 대책 사양서 수립

ICT자산 현황 분석, 보안취약점 진단, 위험분석, 위험조치 계획 수립을 통해 정보보호 및 개인정보 대책 사양서를 작성하고 현행화를 지원합니다. 또한 ISMS, ISMS-P 인증 모의심사 및 인증심사 단계의 제반 활동을 지원합니다.

- 인증 신청 및 인증 획득에 필요한 필수 문서 작성 지원 

- 인증 심사 사전 준비 및 인증 심사원 요구사항 대응 지원

4) ISMS, ISMS-P 인증 준비 및 인증심사 

조직의 정보처리 업무 및 시스템에 정책 반영이 끝나면 아래와 같은 인증 심사 관련 활동을 수행해야 합니다.

(1) ISMS, ISMS-P 인증 모의심사 실시

(2) 이행기록 관리

(3) 인증 신청서 작성

(4) 본 심사 신청

(5) 결함 및 보완할 사항 조치 

(6) 인증심사 지원 

(7) 최종 목표인 ISMS, ISMS-P 인증 획득

3. ISMS, ISMS-P 인증 컨설팅의 범위

조직의 ISMS, ISMS-P 인증 대상의 업무, 시스템, IT조직 및 설비 장치 등 컨설팅 범위를 정의합니다. 이는 인터넷 홈페이지, 모바일 앱, 어플리케이션, 어플리케이션 소스코드, ICT 인프라 시스템 자산 등 입니다. 성공적인 인증 획득을 위해서는 관련 부서 간 적극적이고 긴밀한 협력이 매우 중요합니다.

4. ISMS, ISMS-P 인증 컨설팅의 추진 전략

ISMS, ISMS-P 인증을 효율적이며 성공적으로 획득하기 위해서는 무엇보다 해당 업종의 인증 심사 및 컨설팅 경험이 많은 전문 컨설턴트의 투입이 가장 중요합니다. 인증 대상 업종, 조직, 업무 등에 대한 ISMS, ISMS-P 인증 심사 및 인증 컨설팅 수행 경험을 적극 활용하면 원활하게 컨설팅 및 인증 지원을 수행할 수 있기 때문입니다.

1) ISMS, ISMS-P 전문 컨설턴트 투입

ISMS, ISMS-P 인증 심사원 자격증을 보유하고 인증 심사와 컨설팅 경험이 많은 전문 컨설턴트를 투입해야 합니다. 경험 많은 전문 컨설턴트는 조직과 보다 효율적으로 인증 컨설팅을 협력하여 수행하면서 인증 심사를 준비하고 성공적으로 인증을 획득할 수 있습니다.

2) ISMS, ISMS-P 인증 대상 업종 및 업무의 컨설팅 경험

ISMS, ISMS-P 인증 컨설팅 업체 선정 단계에서 인증 컨설팅 전문업체가 인증 대상 업종 및 업무의 컨설팅 수행 경험이 얼마나 있는지, 컨설팅 사업에 투입할 전문 컨설턴트들이 ISMS, ISMS-P 심사원 자격과 인증 대상의 업종과 업무에 대해 인증 컨설팅 수행 경험을 갖추고 있는지 면밀한 검토가 필요합니다. 

인증 대상 업종과 업무에 경험이 많은 컨설팅 업체와 컨설턴트가 컨설팅에 투입되면 조직의 인증 대상 업무에 대한 정보보호 및 개인정보보호에 대한 정책 및 규정의 제정, 해당 업무 시스템의 매뉴얼 및 시스템 구축 시 보다 효과적으로 반영할 수 있기 때문입니다. 어떤 고객은 ISMS, ISMS-P 인증 컨설팅 업체 선정의 조건으로 전문업체의 해당 업종 및 업무의 컨설팅 수행 실적과 심사원 자격을 요구하는 경우도 있습니다.

정보보호 및 개인정보보호 컨설팅 수행 경험을 통한 주요 노하우는 아래와 같습니다.

- 빈번한 결함 사례, 취약한 통제 항목 및 예측 가능한 관리실태 항목의 사전 준비

- 정보보호 및 개인정보보호 관리체계 인증 기준의 통제 항목별 상세

- 표준화되고 체계적인 정보보호 및 개인정보보호 관리체계 수립

- 발주사(기관)의 기술적, 업무적 검토 요청 사항과 이슈 사항에 대한 신속한 대응 및 지원

- 다수의 조직과 담당자 등 이해관계자 간 원활한 의사소통과 긴밀한 협력이 매우 중요

- 조직의 공통적인 가이드를 준비하고 각 산출물의 템플릿을 조기에 준비

- 정보보호 관계 법령의 개정 내역을 반영하여 인증 컨설팅을 수행

- 개인정보보호 정책, 지침, 보안취약점 조치 대책의 제시를 통한 지속적이고 체계적인 관리능력 향상

5. ISMS, ISMS-P 인증 컨설팅 중점 추진 사항

조직에서 금번 ISMS, ISMS-P 인증 컨설팅 사업 추진 시 가장 중점적으로 추진할 사항이 무엇인지 도출합니다. 인증 컨설팅 사업의 발주 및 제안 단계에서 컨설팅 전문업체 선정 시 가격 외에 발주사의 중점 추진 사항을 가장 효과적으로 수행할 업체를 평가하고 선정해야 합니다. 

예를 들어 기술보안, 관리보안, 물리보안 측면에서 보안 결함을 최소화하기를 원한다면 한국인터넷진흥원(KISA)에서 제시하는 주요 보안 결함 항목의 집중 진단 및 점검 방안을 검토합니다. 해당 업종에 경험 많은 ISMS, ISMS-P 인증 심사원의 컨설팅 활동을 통해서 피 인증 대상 조직에서 주로 나타나는 주요 결함 항목을 집중 점검하는 것도 중요한 사항입니다

1) 한국인터넷진흥원(KISA)의 주요 결함 항목

- 보안시스템, 법적요구사항의 준수, 접근권한의 검토, 위험평가, ICT 자산식별, 보안취약점점검, 인터넷 접속, 사용자 비밀번호 관리, 암호정책, 네트워크 접근 등

2) ISMS 인증 심사원 활동 시 도출된 주요 결함 항목

- ICT 자산식별 미흡, 접근통제 미흡, 임시 파일과 이벤트 수행 후 개인정보 관리 부실로 인한 파일 삭제 미흡, 권한 및 계정관리 부실 등

6. ISMS, ISMS-P 인증 컨설팅의 기대효과

ISMS, ISMS-P 인증 컨설팅을 통해서 얻게 되는 주요 기대효과를 살펴 보겠습니다. 일반적인 기대효과 몇 가지를 나열하면 아래와 같습니다.

1) 대 고객 효과

- ISMS, ISMS-P 인증을 획득하여 고객 신뢰도 향상 및 이미지 제고

- 대외 마케팅 및 홍보 효과 향상

2) 관리적 효과

- 법률적 근거에 기반한 정보보호 및 개인정보 관리체계 정립

- 정보보호 및 개인정보보호 관리체계 수립을 통한 내부 보안 체계 및 프로세스 확립

- 임직원의 보안 교육 및 보안 중요성에 대한 인식 제고

- 경영진의 의사결정 참여를 통해 담당자의 책임과 권한 강화

3) 기술적 효과

- 정보보호 및 개인정보보호 업무 프로세스의 개선으로 관리체계 강화

- 보안취약점점검을 통한 어플리케이션, 소스코드, 인프라, 데이터 등 ICT자산에 대한 보안사고 예방 및 안전성 강화

- ICT 자산에 대한 가용성, 기밀성, 무결성 확보

- 침해사고에 대비하는 신속한 대응체계 확보

4) 법률적 효과

- 사업을 위한 해당 법률적 요건을 충족할 수 있습니다. 또한 법률의 정보보호 및 개인정보보호에 대한 책임 의무 및 법적 준거성을 확보합니다.

관련 법률은 아래와 같습니다

(개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 전자금융거래법 및 전자금융감독규정, 위치정보의 보호 및 이용 등에 관한 법률, 신용 정보의 이용 및 보호에 관한 법률, 통신비밀 보호법, 전자상거래 등에서의 소비자보호에 관한 법률 등)

5) 조직적 효과

  - 보안 취약점 개선을 통해 조직 내 정보보호 마인드를 강화할 수 있습니다.