정보보호관리체계(ISMS) 인증

■ 정보보호관리체계

 - 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차 및 과정을 수립하고, 문서화하여 지속적으로 관리, 운영하는 것을 의미한다

 - 정보보호관리라고 하는 것은 대내적으로 조직 자체적인 정보보호관리체계를 수립, 운영하고 있더라도 조직 전반적인 차원에서 그 신뢰성과 효과에 대한 의문이 발생할 수 있다. 따라서 정보보호관리체계 인증은 내부적인 평가만으로 대외 신인도를 제고하기 어렵다는 문제를 해결하기 위해 개발되었다

 

■ BS7799 (ISO/IEC 17799)

 - BS7799는 정보보호관리체계에 대한 표준으로 최상의 정보보호관리를 위한 포괄적인 일련의 관리 방법에 대하여 요건별로 해석해놓은 규격으로 기업이 고객정보의 기밀성, 무결성, 가용성을 보장한다는 것을 공개적으로 확인하는 것을 목적으로 한다

 - BS7799(British Standard 7799)는 영국에서 효율적인 정보보호관리체계 구축에 대한 하나의 국제표준으로 1995년 제정되었다

 - 정보보안경영시스템의 개발, 수립 및 문서화에 대한 요구사항들을 정한 국제 인증 규격이다

 - 1995년 제정 후 1999년 개정을 거쳐 국제표준화기구(ISO)에 의해 국제 표준으로도 제정되었다

 

** 정보보안경영시스템의 3가지 주요 요소

 ① 정보의 기밀 유지 : 비인가자, 불법 침입자의 접근제어를 통해 비밀 정보의 기밀성이 누출되지 않도록 보장

 ② 정보의 무결성 유지 : 비인가자, 불법 사용자에 의해 정보 및 소프트웨어가 변경, 삭제, 생성되는 것으로부터 보호하여 원래 상태를 보존 유지

 ③ 정보의 가용성 : 인가된 사용자가 적시, 적소에 필요 정보에 접근할 수 있고 사용 가능하도록 보장

 

■ ISMS (Information Security Management System : 정보보호관리체계) 인증제도

 - 정보보호관리체계는 정보 자산의 비밀을 유지하고 결함이 없게 하며 언제든 사용할 수 있게 한 보호 절차와 과정으로, 정보통신망의 안정성과 신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계를 수립ㆍ운영하고 있는 자에 대하여 인증 기준에 적합한지에 관하여 인증을 부여하는 제도

 - 정보보호관리 과정은 정보보호 정책수립 및 범위 설정 → 경영진 책임 및 조직 구성 → 위험관리 → 정보보호 대책 구현 → 사후관리의 5단계 활동을 말한다

 - 인증기관이 조직의 정보보호 활동을 객관적으로 심사하고, 인증한다

 - 정보보호관리체계는 조직의 정보 자산을 평가하는 것으로 물리적 보완을 포함한다

 

 ★ ISMS의 목적

   - 특정 조직에 적합한 정보보호 정책을 짜고, 위험에 상시 대응하는 등 여러 보안대책을 유기적으로 통합해 관리하는 게 목적이다

   - 기술적ㆍ물리적 보호 조치를 포함한 종합관리체계가 방송통신위원회가 고시한 기준에 적합한지를 한국인터넷진흥원(KISA)이 인증해 준다

   - 그동안 ISMS 인증 여부는 의무 사항이 아니었으나 2013년부터 민간 기업 가운데 의무 인증 대상자가 지정된다. 기업의 정보보호 수준을 끌어올리려는 것으로 방송통신위원회는 기업으로 하여금 정보통신서비스를 시작하기 전에 보안 위험을 분석해 미리 조치하고, 사이버 공격에 대응할 최소 보호조치 기준을 마련해 제시할 방침이다

 

 ★ 인증심사 절차

   - 정보보호관리체계의 인증심사는 한국인터넷진흥원(KISA)에서 자격을 취득한 ISMS인증심사원이 한다

 

 ⓐ 신청서 접수

 ⓑ 신청서 검토 및 예비점검 (2주)

 ⓒ 계약 및 심사원 모집 (4주)

 ⓓ 인증심사 (1~2주)

 ⓔ 업체 보완조치 및 현장점검 (4주~12주)

 ⓕ 인증위원회 심의ㆍ의결 (매주)  → 부결 시 전 단계(업체 보완조치 및 현장점검)로 돌아간다

 ⓖ 인증서 발급 (1주)

 

** 최초심사인 경우, 신청서를 제출한 뒤 인증서 부여까지는 최소 20여 주가 필요하므로 이점을 고려하여 신청을 해야 한다

 

 

 ★ ISMS 특징

   - 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 근거를 두고 있다

   - 인증심사의 종류에는 최초심사, 사후심사, 갱신심사가 있다

   - ISMS 인증의 유효기간은 3년이다

 

 ★ ISMS 요구사항

   ① 자산관리 : 조직자산의 적절한 보호를 달성하고 유지하기 위한 것이다

   ② 정보보안 사고와 조치의 관리 : 정보 보호 관련 사건 및 취약점에 대한 대응이다

   ③ 보안 정책 : 보안 정책, 지침, 절차의 문서화가 필요하다

   ④ 인력 자원 보안 : 인력의 고용 전, 고용 중, 고용 만료 후 단계별 보안의 중요성이 강조된다

   ⑤ 준거성 : 조직이 준수해야 할 정보 보호의 법적 요소이다

 

 ★ 기대효과

   ① 정보보호 위험관리를 통한 비즈니스 안정성 재고

   ② 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보

   ③ 침해사고, 집단소송 등에 따른 사회ㆍ경제적 피해 최소화

   ④ 인증 취득 시 정보보호 대외 이미지 및 신뢰도 향상

   ⑤ IT관련 정부과제 입찰 시 인센티브 일부 부여

 

■ ISMS 단계별 수행 업무

  - ISO 27001에서는 PDCA 모델을 통해서 ISMS를 발전시켜 나갈 수 있다고 말하고 있는데, 여기서 PDCA는 계획(Plan), 수행(Do), 점검(Check), 조치(Act)를 아래 그림과 같이 순환 반복적으로 수행하는 모델이다

  - 각 단계는 구체적으로 다음과 같은 업무를 수행한다

 

  ① 계획 : ISMS 수립 (Establishing ISMS)

    - 조직이 가지고 있는 위험을 관리하고 정보 보안이라는 목적을 달성하기 위한 전반적인 정책을 수립한다

     ㆍ프로세스를 위한 입력과 출력 규정

     ㆍ프로세스별로 범위를 정의하고 고객의 요구사항을 규정

     ㆍ프로세스 책임자 규정

     ㆍ프로세스 네트워크의 전반적인 흐름과 구성도 전개

     ㆍ프로세스 간 상호작용 규정

     ㆍ의도되거나 그렇지 않은 결과의 특성 지정

     ㆍ기준에 대한 측정

     ㆍ모니터링 분석을 위한 방법 지정

     ㆍ경제적 문제 고려(비용, 시간, 손실 등)

     ㆍ자료 수집을 위한 방법 규정

  ② 수행 : ISMS 구현과 운영 (Implement and Operate the ISMS)

    - 수립된 정책을 현재 업무에 적용한다

     ㆍ각 프로세스를 위한 자원 분배

     ㆍ의사소통 경로 수집

     ㆍ대내외 정보 제공

     ㆍ피드백 수용

     ㆍ자료 수집

     ㆍ기록 유지

  ③ 점검 : ISMS 모디터링과 검토 (Moniter and Review the ISMS) 

     - 적용된 정책이 실제로 얼마나 잘 적용되고 운영되는지 확인한다

     ㆍ정확한 프로세스의 측정과 이행을 모니터링

     ㆍ수집된 정보 분석(정량적, 정성적)

     ㆍ분석 결과 평가

  ④ 조치 :  ISMS 관리와 개선 (Maintain and Improve the ISMS)

    - 잘못 운영되고 있는 경우에 그 원인을 분석하고 개선한다

     ㆍ시정 및 예방 조치 실행

     ㆍ시정 및 예방 조치의 유효성과 이행에 대한 검증

 

■ 정보보호관리체계 (ISMS) 정보보호 관리과정

 

1. 정보보호 정책수립 및 범위 설정

2. 경영진 책임 및 조직 구성

3. 위험관리

  3-1. 위험관리 방법 및 계획 수립

  3-2. 위험식별 및 평가

  3-3. 정보보호 대책 선정 및 이행계획 수립

4. 정보보호 대책 구현

5. 사후관리

 

■ 정보보호 대책 통제항목

 

5. 정보보호 교육

 5-1. 교육 프로그램 수립

   5.1.2 교육대상

       - 교육 대상에는 정보보호관리체계 범위 내 임직원 및 외부자를 모두 포함하여야 한다

8. 시스템 개발보안

  8-1. 분석 및 설계 보안관리

   8.1.2 인증 및 암호화 기능

       - 정보시스템 설계 시 사용자 인증에 관한 보안 요구사항을 반드시 고려하여야 하며, 중요정보의 입ㆍ출력 및 송ㆍ수신 과정에서 무결성, 기밀성이 요구될 경우 법적 요구사항을 고려하여야 한다

  8-2. 구현 및 이관 보안

   8.2.1 구현 및 시험

       - 안전한 코딩방법에 따라 정보시스템을 구현하고, 분석 및 설계 과정에서 도출한 보안 요구사항이 정보시스템에 적용되었는지 확인하기 위하여 시험을 수행하여야 한다. 또한 알려진 기술적 보안 취약성에 대한 노출여부를 점검하고 이에 대한 보안대책을 수립하여야 한다

   8.2.2 개발과 운영환경 분리

       - 개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소하기 위해 원칙적으로 분리하여야 한다

   8.2.3 운영환경 이관

       - 운영환경으로의 이관은 통제된 절차에 따라 이루어져야 하고 실행코드는 시험과 사용자 인수 후 실행하여야 한다

   8.2.5 소스프로그램 보안

       - 소스프로그램에 대한 변경관리를 수행하고 인가된 사용자만이 소스프로그램에 접근할 수 있도록 통제절차를 수립하여 이행하여야 한다. 또한 소스프로그램은 운영환경에 보관하지 않는 것을 원칙으로 한다