ISMS 인증제도
정보보호관리체계 부재 (AS-IS)
- 부분적 보안
- 일회성 관리
- 산발적 대응
ISMS인증 추진
- 정보보호 조직구성
- 정보자산 식별
- 위험 분석·평가
- 보호대책 수립
- 정보보호 문서화
정보보호관리체계 구축·운영 (TO-BE)
- 균형적 보안
- 지속적 관리
- 체계적 대응
“정보통신망 법 시행령 연간 매출액 또는 이용자 수 기준”
- 정보통신부문 연 매출액 기준 100억 이상 사업자 또는 일 평균 이용자수 100만 명 이상 『전자금융거래법』 제2조 제3호에 따른 금융회사 제외
- 매출 또는 세입 기준 1,500억 이상인 기관 中 상급종합병원, 직전 년도 재학생수 1만 명 이상 『고등교육법』 제2조에 따른 학교
ISMS 인증체계
미래창조과학부
- 법, 제도 개선 및 정책 결정
- 인증기관지정 및 관리
인증위원회
- 인증심사결과 심의·의결
인증기관(한국인터넷진흥원)
- 인증제도 운영
- 인증위원회 운영
- 인증심사원 양성 및 관리
인증심사원
- 인증심사 수행
- 인증제도의 객관성 및 신뢰성 확보를 위해 정책기관, 인증위원회를 분리하여 운영
- 미래창조과학부는 인증제도를 관리·감독하는 정책기관
- 한국인터넷진흥원은 인증기관으로서 인증제도 운영
- 산업계, 학계 등 관련 전문가 10명 이내로 인증위원회를 구성하여 인증결과 심의
- 인증심사팀은 인증심사원 양성교육을 수료하고 자격요건을 갖춘 자들로 구성
ISMS 인증심사 주기
인증심사의 종류는 최초심사, 사후관리, 갱신심사로 구분되며, 기본적으로 인증유효기간은 3년이며, 인증취득 후
1년에 1회 이상 사후심사를 받아야 함
1년에 1회 이상 사후심사를 받아야 함
- 최초심사
- 사후관리
- 사후관리
- 갱신심사
인증을 받은 정보보호관리체계 범위 내에서 중대한 변경이 발생한 경우는 다시 최초심사 수행
인프라의 증설, 이전 등으로 인한 구성의 중대한 변경, 서비스의 추가 등으로 인한 중대한 변경 발생 시
인프라의 증설, 이전 등으로 인한 구성의 중대한 변경, 서비스의 추가 등으로 인한 중대한 변경 발생 시
ISMS 인증 절차 및 준비사항
ISMS 인증절차
인증준비단계
- 법, 제도 개선 및 정책 결정
- 인증기관 지정 및 관리
ISMS 보안컨설팅
인증심사단계
- 인증 신청 및 사전심의
- 현장사전심의
- 심사결과 및 보완조치
KISA 인증심사(3년 유효)
사후관리
- 사후관리 심사
사후심사
ISMS 준비사항
인증준비단계
(5~6개월)
(5~6개월)
- 관리체계 인증 범위, 전략적
목표 설정 - 컨설팅을 통한 ISMS 구축
- 2~3개월 간 ISMS 운영실적
인증심사단계
(1~3개월)
(1~3개월)
- 신청 서류 접수 후 사전심의
(심사기관) - 관리체계 서면·현장심사
(ISMS인증심사팀) - 2~3개월 간 ISMS 운영실적
사후관리단계
(인증 취득 후)
(인증 취득 후)
- 취득 다음해부터 2년간 매년
관리심사 - 컨설팅을 통한 ISMS 구축
ISMS 기대효과
기업은 ISMS를 성공적으로 구축·운영 함으로써 정보보호관리 수준 향상과 침해사고 발생 시 신속한 대응 및
손실 최소화 등 지속적, 능동적, 효율적으로 전사적인 정보보호활동을 지원
손실 최소화 등 지속적, 능동적, 효율적으로 전사적인 정보보호활동을 지원
관리 수준 향상
선 순환 구조 보안관리
서비스 신뢰도 제고
체계적 보안대책 구현
전사적 위기대응
주기적 정보보호 활동
기업 손실 최소화
신속한 대응체계 마련