ISMS 인증기준

 

관리적 인증기준

1. 정보보호 관리체계 인증기준

정보보호 관리체계 인증기준 중에서 정보보호 관리과정은 정보보호 관리체계 인증 심사시 요구 되는 필수항목으로 조직 내부 및 외부 위협 요소 변화 또는 취약성 발견 등에 대응에 지속적으로 유지 관리되는 순환 주기 모델을 가진다.

Seccurity PDCA에서

P는 정책, 계획, 세부목표, 프로세스, 절차수립을 수행하며

D는 정책, 통제, 프로세스의 구현과 운영을 수행한다.

C는 프로세스 성과평가, 결과 경영자 검토

A는 검토 결과에 따른 시정조치와 예방조치를 의미

 

2. 정보보호 정책 수립 및 범위 설정

정보보호 정책수립 및 범위 설정은 상위수준의 정보보호 정책을 수립하고 정보보호 관리체계인증범위를 확정하는 것이다 정보보호 관리체계 인증 시 인증범위 내의 모든 정보자산은 식별되어야 한다. 식별된 정보자산은 일정한 표준 및 형태에 맞게 정리되어야 하며 이를 위해서 정보자산 목록을 작성한다. 또한 시스템 배치 및 위치를 확인 하고 인터넷 망과 내부 망에 어떤 정보자신이 있는지 확인하기 위해서 네트워크 및 시스템 구성도가 필요하다.

경영진 책임 및 조직구성은 경영진으로 하여금 정보보호를 전담으로 관리하기 위한 조직을 구성하고 조직에 책임과 역할을 부여하라는 의미이다. 또한 정보보안 관련 주요 의사결정사항이 발생하여 누가 의사결정을 할 것인지 공식적인 의사결정체계를 구축해야 한다.

 

3 위험관리

자산식별, 위협, 취약점 점검, 위험평가를 수행하고 보호대책 계획을 수립하라는 의미이다. 이를 위해서 위험관계 계획서를 작성하여 위험관리의 범위, 위험관리 수행일정(위험관리는 지속적이고 반복적인 작업)을 수립하고 위험평가 방법 등을 결정한다. 위험관리 계획서가 작성되면 해당 위험관리 계획서에 따라 위험평가를 수행하고 그 결과를 문서화해야 한다.

정보보호대책구현은 각 위험에 대해서 어떻게 대응해야 할 것인지에 대한 결정을 하는 것이고 대응을 위한 계획을 수립하는 것이다. 이러한 계획을 정보보호 계획서라고 한다.

정보보호 대책구현은 정보보호 관리체계를 수립하고 이행하는 단계로 인증을 위해서는 2개월이상 운영 실적이 있어야 한다.

 

4. 사후관리

정보보호 관리체계 운영 중 변경될 수 있는 법률이나 중요 침해사고에 대한 정책 및 지침변경, 정보보호 관리체계 운영을 수행하고 주기적으로 내부감사를 통해 점검과 보완조치를 수행하는 것 이다.

 

 

PDCA 사이클 기반의 정보보호 관리과정 요구사항

 

1. 정보보호 정책 수립 및 범위설정

- 조직 전반에 걸친 상위 수준의 정보보호 정책 수립

- 정보보호 관리체계 범위 설정

 

2. 경영진 책임 및 조직구성

- 정보보호를 수행하기 위한 조직 내 각 부문의 책임 설정

- 경영진 참여 가능하도록 보고 및 의사결정 체계 구축

 

3. 위험관리

- 위험관리 방법 및 계획 수립

- 위험 식별 및 위험도 평가

- 정보보호대책 선정

- 구현 계획 수립

 

4. 정보보호 대책구현

- 정보보호 대책 구현 및 이행 확인

- 내부 공유 및 교육

 

5. 사후 관리

- 법적 요구사항 준수 검토

- 정보보호 관리체계 운영 현황 관리

- 정기적인 내부감사를 통해 정책준수 확인

 

 

보호대책 인증기준

정보보호 관리체계의 보호대책 요구사항은 정보보호 관리 체계를 구축하려는 기업과 구축한 정보보호 관리체계를 심사하는 심사원에게 가장 중요한 내용이고 13개의 통제 항목별로 어떤 것을 구축해야 하고 어떤 것을 심사해야하는지 알아햐 할 것이다.

 

1. 정보보호 정책

: 정보보호 정책이란 정보보호 관리체계를 구축하기 위해서 기업의 정보보호 원칙과 표준, 준수사항 등을 정의한 것으로 정보보호 정책은 경영진의 주도로 수립된다. 수립된 정보보호 정책을 모든 임직원에게 공표함으로써 조직원들에게 정보보호 관리체계 중요성과 자신의 역할에서 수행해야 하는 정보보안 활동을 인식할 수 있다.

 

2. 정보보호 조직

: 정보보호 조직은 정보보호 관리체계를 구축하고 운영 및 통제하는 조직으로 정보보호 최고 책임자, 실무조직, 정보 보호 위원회 등을 구성하여 정보보호 관리체계가 지속적으로 운영 및 통제 될 수 있도록 하는 것 이다.

 

3. 외부자 보안

: 정보보호 관리체계의 외부자 보안 시스템 통합(SI) 및 운영과 유지보수(SM)를 통해서 업무를 위탁할 때 반드시 지켜야 하는 보안요구사항을 정의하고 외부자가 보안요구사항을 이행하고 있는지 통제하는 것이다.

 

4. 정보자산 분류

: 정보자산은 기업에게 가치가 있는 유형 및 무형의 대상이다. 정보보호 관리체계에서 정보자산 분류는 유형의 자산을 중심으로 정보보호 관리체계 인증범위 내에 있는 자산을 식별하고 관리하는 활동이다. 정보자산을 관리하기 위해서 ID를 부여하고 담당자를 지정함으로써 해당 자산에 대해서 책임과 역할을 분명히 한다. 또한 자신별 혹은 자신그룹별로 보안등급을 부여하여 각 자산의 가치를 파악할 수 있어야 한다. 자산의 가치는 기밀성, 무결성, 가용성, 법적 준거성 측면에서 정보자산에 대한 침해가 있을 때 비즈니스에 영향을 주는 정도라고 생각할 수 있다.

 

5. 정보보호 교육

: 임직원의 직무에 따라 지속적이고 반복적인 교육을 수행함으로써 임직원의 마인드를 개선하고 정보보안의 중요성을 인식시켜야 한다. 정보보호 관리체계의 정보보호 교육은 교육 프로그램을 수립하고 각 직무별 정보보안 교육을 수행하고 관리하는 것이다.

 

6. 인적보안

: 인적보안은 내부 인력을 관리하고 통제하는 방법을 제시한다. 주요 직무자를 정의하고 책임과 역할 정의, 보안 서약서 작성, 정보보안 위배시 인사규정, 퇴직자 발생 시 권한회수 및 보안서약서 작성등의 활동을 정의하여 내부 직원을 통한 정보보안 침해사고를 예방하고 자신의 직무에 어떠한 정보보안 활동을 수행해야 하는지 인식시킨다.

 

7. 물리적 보안

: 물리적 보안은 전산실, IDC, 고객센터 등의 물리적 시설에 대한 보안으로 보호구역 지정, 출입통제, CCTV, 소방시설의 모든 영역을 포함하고 있다. 정보보안 측면에서 출입통제와 IT재해 복구 측면에서 비즈니스 연속성 확보 부분을 직간접적으로 포함하고 있다.

 

8. 개발보안

: OWASP Top 10, 국정원 보안 취약점, 홈페이지 취약점 등의 알려진 보안 취약점에 대응하기 위해서 소프트웨어 개발 시 준수해야 하는 활동과 준수여부를 확인 및 통제하는 것이 정보보호 관리체계의 개발보안이다. 소프트웨어 구현 단계에서 개발보안을 준수하고 시험단계에서 개발 보안 진단을 통해서 확인

 

9. 암호통제

IT Compliance 측면에서 암호화 가이드 및 개인정보 기술적, 관리적 보호대책, 개인정보 안전성 확보조치 등을 확인해 보면 패스워드는 SHA-256 이상의 해시함수를 사용해 단방향 암호화를 수행해야하고 전송구간은 보안서버를 활동시켜야 한다, 또한 대칭키 암호화는 128Bit이상의 키를 사용해야 한다. 즉 정보보호 관리체계 암호 통제는 암호화 대상, 암호화 기법, 암호화 키 관리 등을 계획하고 이행.

 

10. 접근통제

: 접근통제는 정보자산에 대해서 접근통제 정책, 권한 관리, 인증 및 식별, 접근통제 영역을 정의하고 통제하는 것으로 정당한 사용자에게 최소한의 권한과 직무분리의 원칙을 적용하여 접근을 허락하고 비인가자에게는 접근을 거부하는 정책적, 기술적, 관리적 요소이다.

 

11. 운영보안

: 운영보안은 정보자산을 운영하기 위한 절차, 시스템 운영 보안, 전자상거래, 매체보안, 악성코드관리, 로그 및 모니터링 등을 포함하여 운영보안은 정보보호 관리체계 통제 항목중 가장 어렵고 힘든 부분이다. 즉 정보자산을 운영하기 위해서 프로세스를 수립하고 관리하는 모든 영역이다.

 

12. 침해사고 관리

: 정보보호 관리체계 침해사고 관리 통제 항목은 이러한 침해사고에 누가, 어떻게 대응하고 보고할 것이며 재발 방지를 위해서 어떤 활동을 수행할 것인지를 결정하는 것이다.

 

13. IT재해복구

: IT재해복구는 정보시스템의 연속성을 확보를 위해서 준비해야 하는 프로세스, 대응방법, 대응조직, 시험활동을 수행하는 것이다. 각종 재난과 재해에 대비해서 정보자산의 연속성을 확보하고 이를 통해 기업의 신뢰도와 정보자산의 안전성을 향상시킨다.

'정보보안기사 > 정보보안기사 실기' 카테고리의 다른 글

위험 구성요소  (0) 2018.05.24
SSL VPN  (0) 2018.05.24
위험관리 및 분석  (0) 2018.05.24
DNS 서버  (0) 2018.05.23
정보보안기사 실기 보안용어7  (0) 2018.04.14

+ Recent posts