순천향대학교 융합서비스보안학과

한 덕호

ISMS와 정보보호준비도평가 비교

1

2

목차

1. 정보보호 관리체계(ISMS)

2. 정보보호 준비도 평가

ISMS 인증심사 기준

ISMS 인증절차

ISMS 인증대상

ISMS 인증 취득기업 혜택

3. 결론

정보보호 준비도 평가 등급 기준

정보보호 준비도 평가 등급 체계

정보보호 준비도 평가 절차

정보보호 준비도 평가 대상

정보보호 준비도 등급 획득기업 혜택

1-1. ISMS 인증심사 기준(1/2) 구분 통제분야 통제항목 수

정보보호 관리과정

1. 정보보호정책 수립 및 범위설정 2

2. 경영진 책임 및 조직 구성 2

3. 위험 관리 3

4. 정보보호대책 구현 2

5. 사후관리 3

정책수립 및

범위설정

경영진 책임 및

조직구성

위험관리 정보보호 대책구현

사후관리

1. 정보보호정책의 수립

2. 범위설정

3. 경영진 참여

4. 정보보호 조직 구성 및 자원할당

5. 위험관리 방법 및 계획 수립 6. 위험식별 및 평가 7. 정보보호대책 선정 및 이행계획 수립

8. 정보보호대책의 효과적 구현

9. 내부 공유 및 교육

10. 법적 요구사항 준수검토

11. 정보보호 관리체계 운영현황 관리

12. 내부감사

3

1-1. ISMS 인증심사 기준(2/2) 구분 통제분야 주요내용 통제항목 수

정보보호 대책

1. 정보보호 정책 정책의 승인 및 공표, 정책의 체계, 정책의 유지관리 6

2. 정보보호 조직 조직의 체계, 책임과 역할 4

3. 외부자 보안 보안요구 사항 정의, 외부자 보안 이행 3

4. 정보자산 분류 정보자산 식별 및 책임, 정보자산의 분류 및 취급 3

5. 정보보호 교육 교육 프로그램 수립, 교육 시행 및 평가 4

6. 인적 보안 정보보호 책임, 인사규정 5

7. 물리적 보안 물리적 보호구역, 시스템 보호, 사무실 보안 9

8. 시스템 개발 보안 분석 및 설계 보안관리, 구현 및 이관 보안, 외주개발 보안 10

9. 암호 통제 암호정책, 암호키 관리 2

10. 접근 통제 접근통제 정책, 접근권한 관리, 사용자 인증 및 식별, 접근통제 영역

14

11. 운영 보안 운영절차 및 변경관리, 시스템 및 서비스 운영보안, 전자거래 및 정보전송 보안, 매체 보안, 악성코드 관리, 로그관리 및 모니터링

22

12. 침해사고 관리 절차 및 체계, 대응 및 복구, 사후관리 7

13. IT 재해 복구 체계구축, 대책구현 3

4

1-2. ISMS 인증절차

인증 위원회

인증 신청기관

인증 기관

KISA

7. 인증심사결과 심의 · 의결 요청

8. 심의 · 의결결과 통보

1. 인증심사 신청

2. 사전점검 및 계약

3. 인증심사팀 구성

인증심사팀

4. 인증심사

6. 인증심사 결과보고서 제출

5. 보완조치결과 제출

9. 인증서 발급

5

1-3. ISMS 인증 대상

대상자 비고

전기통신사업법의 전기통신사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자

서울 및 모든 광역시에서 정보통신망서비스 제공

타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자

정보통신서비스 부문 전년도 매출액 100억 이하인 영세 VIDC 제외

정보통신서비스매출액 100억 또는 이용자 수 100만명 이상인 사업자

정보통신서비스 부문 전년도 매출액 100억 이상 또는 전년도말 기준 직전 3개월간 일일 평균 이용자 수 100만명 이상 사업자

대상자 비고

입찰 참여 기업 국가 또는 민간기업 조달 등 입찰에 참가하는 기업

중요자산 취급분야 금융, 교육, 의료, 통신, 포탈 등

외부평가 대상 기업 IT 경영평가, 신용평가, 회계감사 등 외부로부터 정보보호관련 평가를 받아야 하는 기업

고객정보 아웃소싱 기업 국가기관 또는 기업의 정보 시스템 등 주요고객정보를 위탁관리 운영하는 기업

의무대상자

자율신청기업

6

1-4. ISMS 인증 취득기업 혜택

구분 시행기관 혜택내용

가산점 부여

미래창조과학부

공공부문 정보시스템 기획·구축·운영 사업자, SW개발사업자 선정 시 평가항목(기밀보안)에 ISMS 인증취득시 만점(최대 5점) 부여

보안관제 전문업체 지정 시 ‘정보보호 인증기업’ 평가항목에 만점(최대 5점) 부여

지식정보보안 컨설팅전문업체 지정 시 ‘정보보호 인증기업’ 평가항목에 만점(최대 5점) 부여

KISA 정보보호대상, 입찰, 과제선정 평가 시 가점 부여

한국기업지배구조원 상장기업 대상 ESG(환경, 사회, 지배구조) 평가 시, 소비자항목에 가산점 부여

요금할인 보험사 정보보호관련 보험(개인정보 배상책임보험 등) 가입 시 할인

권고

교육부 원격 교육설비기준에 ISMS 인증 취득 권고(원격교육 설비 기준 고시)

국토교통부 유비쿼터스 도시기반 시설에 대하여 ISMS 인증 취득 권고

7

2-1. 정보보호 준비도 평가 등급 기준(1/3)

지표 구분 평가지표 점수

기반 지표

정보보호 리더쉽

1.1 정보보호 최고책임자(SICO) 지정 5

1.2 정보보호 의사소통 및 정보제공 5

1.3 정보보호 운영방침 4

정보보호 자원관리

2.1 정보보호 추진계획 4

2.2 정보보호 인력 및 조직 4

2.3 정보보호 예산 수립 및 집행 4

2.4 정보보호 이행점검 4

정보보호 정책 · 경영 · 의사결정 구조(리더십)와 보안투자 및 인력 · 조직 등 필수적인 보안 인프라(자원관리)를 평가(7개 항목)

8

2-1. 정보보호 준비도 평가 등급 기준(2/3) 지표 구분 평가지표 점수

활동 지표

관리적 보호활동

1.1 정보보호 교육 수행 5

1.2 자산 관리 4

1.3 인적보안 4

1.4 외부자 보안 5

물리적 보호활동

2.1 정보통신시설의 환경 보안 4

2.2 정보통신시설의 출입 관리 4

2.3 사무실 보안 4

기술적 보호활동

3.1 취약점 점검 5

3.2 정보보호 사고탐지 및 대응 5

3.3 시스템 개발 보안 4

3.4 네트워크 보안 4

3.5 정보시스템 및 응용프로그램 인증 5

3.6 자료유출 방지 4

3.7 시스템 및 서비스 운영 보안 5

3.8 백업 및 IT 재해복구 4

3.9 PC 및 모바일기기 보안 4

관리적 · 물리적 · 기술적 정보보호조치 현황 및 체계적인 보안활동 수행 여부를 평가(16개 항목) 9

2-1. 정보보호 준비도 평가 등급 기준(3/3)

지표 구분 평가지표 점수

선택 지표

개인정보보호

1. 개인정보 최소수집 P

2. 개인정보 수집 고지 및 동의획득 P

3. 개인정보취급방침 P

4. 이용자 권리 보호 P

5. 개인정보의 관리적 보호조치 P

6. 개인정보의 기술적 보호조치 P

7. 개인정보 파기 P

‘개인정보보호법’ 및 ‘정보통신망법’에서 규정하는 개인정보보호 항목에 대한 준수 여부를 평가(7개 항목)

10

2-2. 정보보호 준비도 평가 등급 체계

AAA

AA

A

BB

B

100 ~ 90 : 최적의 보안관리 활동 수행

89 ~ 80 : 체계적인 보안관리 활동 수행

79 ~ 60 : (기업 및 기관 상황에) 요구되는 보안관리 활동 수행

59 ~ 40 : (기업 및 기관 상황에) 적정한 보안관리 활동 수행

39 ~ 20 : 기본적인 보안관리 활동 수행

11

2-3. 정보보호 준비도 평가 절차

인증 기관

평가 기관 신청

기업 및 기관

2. 평가 계약 결과 전달

8. 평가 결과보고서 제출

11. 심의 결과 전달 및 등급인증서 발급

10. 등급 심의 결과 전달

9. 결과보고서 상정

1. 평가신청

3. 자가진단 점검표 제출

4. 사전 점검 및 계약

5. 평가팀 구성 및 평가계획 통보

6. 평가실시(서면 및 현장검증)

7. 평가 진단 보고서 작성 및 통보

12. 등급인증서 전달

심의위원회

ICT 대연합 KAIT

TTA

CONCERT

12

2-4. 정보보호 준비도 평가 대상

개인정보 취급 기업(기관)

· 통신, 포털, 의료, 금융분야 등

입찰 참여 기업(기관)

· 정부 또는 민간 조달 등

비 ICT 기업(기관)

· 정보보호 사각지대 포함 국내 전 산업 분야

중소 및 영세 기업

· 기존 정보보호 인증제도에 진입이 어려운 기업 · 「중소기업 기본법」에 적합한 기업 · 5인 이하 규모 포함

정보보호 준비도 평가 대상

13

2-5. 정보보호 준비도 등급 획득기업 혜택

통신사 및 대기업 입찰 제안 시 「정보보호 준비도 평가」등급 취득 업체로 제한 요청

중소기업의 정보보호 시설 · 제품 등 직접 투자 비용에 대한 조세 감면 연장

중소기업의 정보보호서비스 컨설팅 비용에 대한 조세 감면(25%)

중소기업의 정보보호 신규 인력 채용시 인건비 보조(월 최대 90만원/1인)

14

3. 결론

15

구분 ISMS 정보보호 준비도 평가

분야 정보보호 정보보호 및 개인정보보호

의무여부 의무 민간자율

평가지표 104개 항목 30개 항목

인증등급 적합 / 부적합 5등급(AAA, AA, A, BB, B)

유효기간 3년(매년 사후심사) 1년

비용 중소기업(100인) 기준 약 1,200만원

타 인증제도 대비 1/3 수준

기간 중소기업(100인) 기준 약 5~7일

약 2~3일

신청 전 요건 구축 후 2개월 이상 운영 X

16

Q & A