해당 내용은 FastCampus의 보안강의를 수강한 후 작성된 내용입니다.
인증제도란?
인증이란 기업이 주요 정보자산을 보호하기 위해 수립 관리 운영하는 정보보호 관리체계가 인증기준에 적합한지 심사하여 인증을 부여하는 제도이다. 이러한 정보보호 관리 체계 인증을 통해 기업들은 본인의 보안성을 증명하고 홍보할 수 있다. 이러한 인증에 대한 자세한 기대효과를 KISA에서는 ISMS를 참고하여 아래와 같이 정리하고 있다.
기대효과
- 정보보호 위험 관리를 통한 비즈니스 안전성 제고
- 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보
- 침해사고, 집단소송 등에 따른 사회 경제적 피해 최소화
- 인증 취득시 정보보호 대외 이미지 및 신뢰도 향상
- IT관련 정부과제 입찰시 인센티브 일부 부여
인증은 국제인증과 국내인증으로 구분되는데, 대표적인 국제 인증으로는 ISO27001, 국내 인증으로는 ISMS-P가 있다. ISM27001과 ISMS-P를 위주로 이 둘의 개념과 차이점 등을 통해 이해해보고자 한다.
추가로 국내외인증제도는 아래와 같이 정리할 수 있다.
| 구분 | 주관 | 설명 | |
| 국제 | ISO27001 | 국제표준화기구(ISO) | 조직 전반의 관리시스템의 일부로 위험에 기반한 정보 보안 운영을 위해 조직체계, 정책 등 총 114개로 통제항목으로 구성된 정보보호관리체계에 대한 국제 인증 |
| CSA STAR | 영국표준협회(BSI) 클라우드보안협회(미국) |
클라우드 보안과 관련된 것으로 ISO/IEC27001을 강화하여 만든 특별 프로그램 |
|
| BS10012 | 영국표준협회 | 개인정보의 효과적인 관리체계에 관한 표준으로 국제 규격에 맞게 영국표준협회에서 설계한 프로그램 | |
| PCI DSS | PCI 보안표준위원회 | 신용카드 취급 가맹점과 서비스 제공업체들이 준수해야 할 정보보호에 대한 표준 | |
| 국내 | ISMS | 과기정통부 | 정보통신망법에 근거 2001년 7월 국내 정보보호에 대한 인증제도로 도입, 2002년 5월 관려고시 발표로 제도화, 2013년 법적 의무대상 기관 지정, 2018년 11월 PIMS와 통합 |
| ISMS-P | 과기정통부,행정안전부,방송통신위원회 | 정보통신망법에 근거 2018년 11월 기존 ISMS와 PIMS가 통합된 제도 |
|
| PIMS | 방송통신위원회 | 정보통신망법에 근거 2011년 개인정보에 특화된 인증제도로, 2018년 ISMS와 통합 |
|
| PIPL | 행정안전부 | 개인정보보호법에 근거 2013년 공공기관 개인정보보호 관련 인증을 위해 도입, 2016년 PIMS로 통합 |
|
| 정보보호 준비도평가 |
과기정통부 | 정보보호산업진흥법 근거 민간자율형태의 인증제도로, 소규모 기업 등을 위한 인증 제도 평가 점수에 따라 5개 등급으로 구분 |
|
| PIA | 행정안전부 | 공공기관 대상의무 개인정보를 취금하는 공공기관이 관련시스템을 신규 구축 또는 기존 시스템을 변경하는 경우 실시 |
※ ISO27001의 정식 명칭은 정보보호경영시스템(Information Security Management System, 이하 ISMS이다.)국내의 ISMS제도와 이름이 같으므로 혼동 주의!
1> 국제 제도 ISO27001
ISO27001은 국제표준화기구인 ISO와 국제전기기술위원회인 IEC에서 제정한 정보보호관리를 위한 국제 표준으로 정보보호 분야에서 권위있는 구제 인증제도이다. ISO/IEC27000 Family에는 용어, 요구사항, 지침 등을 규정하고 있고, 여기서보통 ISO27001 취득을 목표로 하게 된다. 14개의 관리영역, 114개의 세부항목에 대한 엄격한 심사를 거쳐 인증서를 부여한다. 정보보호 경영시스템의 수립, 구현, 유지, 지속적 개선에 필요한 요구사항을 제공하기 위해 개발되었다고 할 수 있고, 위험 관리 프로세스 적용을 통해 정보의 기밀성, 무결성, 가용성을 보존하고 이해당사자에게 위험이 적절하게 관리된다는 믿음을 제공한다.
인증프로세스는 아래와 같다,
(사진)
ISO27001은 인증시 Process를 중점적으로 본다. 이러한 Process는 PDCA로 나타난다.
| PLAN | ISMS 수립 : 위협관리 및 정보 보안 향상과 관련된 정책, 목표, 프로세스 및 절차를 수립하여 조직의 글로벌 정책과 목표에 부합하는 결과를 제공 |
| DO | ISMS의 구현 및 작동 : ISMS 정책, 통제, 프로세스를 구현 |
| CHECK | ISMS 모니터링 검토 : 적용 가능한 경우 정책을 평가하고, 목표 및 실제 경험에 대한 프로세스의 성과를 측정하고, 측정 결과는 경영진에게 보고 |
| ACT | ISMS 갱신 및 개선 : ISMS 내부 감사 및 경영 검토 결과를 토대로 구축한 정보보안 시스템을 지속적으로 개선하기 위한 시정 및 예방 조치를 실행 |
사후 심사 > 6개월 또는 1년 주기( 기업 선택 가능)
갱신 심사 > 3년 주기
2> 국내 제도 ISMS-P
ISMS-P란 기존의 ISMS와 PIMS가 통합된 인증제도이다. 인증서의 구성은 크게 ISMS와 ISMS-P로 구분되고, 기업이 선택할 수 있다.
ISMS의 경우 정보보호를 중심으로 인증하며, 기존의 ISMS의무 대상 기업 및 기관을 대상으로 한다. 즉 개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직이 대상이 된다. 반면 ISMS-P는 정보보호 영역과 개인정보의 흐름을 모두 인증하는 경우이다. 따라서 보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어 개인정보 처리 단계별 보안 강화가 필요한 조직이 대상이 된다. 심사항목으로는 ISMS는 80개, ISMS-P는 102개로 구성되어 있다.
법적 근거로는 아래와 같이 확인할 수 있다.
- 정보통신망 이용촉진 및 정보보호에 관한 법률 제47조
- 정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제47조~제54조
- 정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제3조
- 개인정보보호법 제32조의2
- 개인정보보호법 시행령 제34조의2~제34조의8
- 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
인증을 취득할 때는 공정성을 위해 정책기관, 인증기관, 심사기관으로 구분된다.
또한 ISMS의 경우 ISO27001과 달리 의무 대상이 존재한다. 이는 정보통신망법 제 47조 2항을 기준으로 하고 있으며, 대표적인 의무 대상자로는 특금법에 따라 가상자산사업자, 즉 가상화폐거래소 등이 있고 21년 3월까지 ISMS를 받아야 한다. 다른 대상자는 아래와 같다. 의무대상자는 ISMS, ISMS-P 인증 중 선택 가능하다.
ISMS-P 생략 기관은 ISO/IEC27001을 취득한 경우 일부 심사항목을 면제 받을 수 있다. 또한 전자금융거래법 제 2조 제 3호에 따른 금융회사는 제외한다고 명시되어 있어 금융회사는 의무 대상이 아니다.
| ISO27001 | ISMS-P |
| 국제 | 국내 |
| 심사항목으로는 14개의 관리영역, 114개의 세부항목으로 구성 | 심사항목으로는 ISMS는 80개, ISMS-P는 102개로 구성 |
| 의무 대상 비즈니스 존재하지 않음 | 인증의무대상 여부는 기업이나 기관이 자체적으로 의무대상여부를 판단하여야 하고, 인증의무대상 기업이나 기관은 ISMS를 의무로 받아야 함 (의무대상자 미 인증시 3천만원 이하의 과태로) |
| 보완조치기간은 없고, 보안계획을 제출 | 보완 조치 기간 40일 이내 보안 조치 사항 미흡 시 재조치 요구 기한은 60일 유지 |
| 사후관리 6개월 또는 1년 | 사후관리 1년 주기 |
| 유효기간 3년 | 유효 기간 3년 |
| 갱신심사 3년 주기 | 갱신 삼사 유효기간 3개월 전에 신청 |
| 심사원의 경우 각 국가별 지정된 인증기관의 자체 연수 프로그램을 통해 교육 이수 후 심사원 자격 발급 | KISA의 심사원 선발 시험 및 교육을 통해 심사원 자격 부여 (매년 1회 실시) |
이처럼 인증제도를 취득하면 IT 회사의 입장에서 좋은 점이 많다. 그러나 취득하기가 까다롭고, 인증 항목이 많아서 컨설팅을 통해 취득하곤 한다. 이에 대한 보다 자세한 내용은 아래 링크를 통해 확인할 수 있다.
https://blog.naver.com/skinfosec2000/221436918253
[2019년 ISMS-P 인증 제도] 변경된 인증 기준과 주요 개정 사항
2017년 ISMS 인증과PIMS 인증 통합을 위한 관계부처의 협의 이후, 2018년 5월 공동고시 개정안이 ...
blog.naver.com
출처
KISA ISMS내용 https://isms.kisa.or.kr/main/ispims/target/
KISA 정보보호 및 개인정보보호관리체계 인증
자율신청자 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경
isms.kisa.or.kr
https://isms.kisa.or.kr/main/ispims/target/
KISA 정보보호 및 개인정보보호관리체계 인증
자율신청자 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경
isms.kisa.or.kr
FASTCAMPUS 강의
'개발 > 보안' 카테고리의 다른 글
| [2021 보안 위협 전망 보고서]SK인포섹 EQST 연간 보고서 REVIEW (0) | 2021.01.12 |
|---|---|
| [개인정보보호] 개인정보 개념 및 중요성 (0) | 2021.01.12 |
| OWASP TOP10 - 2017 (0) | 2021.01.10 |
| 방화벽과 웹 방화벽 (0) | 2021.01.07 |
| 네트워크 보안 개념 (0) | 2021.01.07 |