정보보호관리체계(ISMS) 인증 제도
ISMS (정보보호 및 개인정보보호 관리체계 인증)
: 정보보호 및 개인정보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
ISMS-P (정보보호 관리체계 인증)
: 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
- 기업의 정보보호 및 개인정보보호 관리체계가 원활하게 이행되어 궁금적으로는 보안수준이 상향평준화 될 수 있도록 지속적으로 지원하는 역할
ISMS-P 인증의 필요성
- 각 분야의 유기적인 협조와 노력으로 조직의 보안수준을 올리고자함
- 균형적 보안, 지속적 관리, 체계적 대응이 필요함
- 일회성 정보보호 대책에서 벗어나 체계적, 종합적인 정보보호 관리체계를 구현해 기업의 정보보호 및 개인정보보호 관리수준을 향상시킬수 있음
- 기업 경영진이 직접 정보보호 의사결정에 참여함으로써 정보보호 및 개인정보보호 업무에 대한 책임성과 신뢰성을 향상시킬 수 있다.
- ISMS-P 인증을 취득한 기관은 정보보호 및 개인정보보호에대한 신뢰성을 높여 대외 이미지를 제고할 수 있으며, 공공부문 사업 입찰 시 가산점 부여 등의 인센티브 얻을 수 있음
ISMS-P Framework
정의: 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원 또는 인증기관이 증명하는 제도
의무대상
- ISP사업자: 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는자
- IDC사업자: 직접정보통신 시설 사업자
- 병원/학교: 연간 매출액 또는 세입이 1500억원 이상인 자, 상급종합병원, 직전년도 재학생수가 1만명 이상인 학교
- 정보통신서비스 제공자: 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자, 전년ㄴ도 말 기준 직전 3개월간의 1일 평균 이용자 수가 100만명 이상인 자
인증기준
ISMS의 관리방법 2가지
- 데이터 중심의 IPO(Input - Process - Output 모델): 데이터를 기반으로 보안관점의 처리와 해석을 통해 객관적인 결과 도출과정
- 프로세스 중심의 PDCA 사이클: PDCA 사이클 통해 보호수준을 달성하고 유지하는 방법
ISMS특징
- ISMS 기준은 조직이 ISMS를 수립, 운영, 모니터링 및 검토, 유지 및 개선을 위해 PDCA 모델을 기반으로 함
- 인증기준은 조직의 정보호를 관리하기 때문에 많은 활동을 명확히 한 Process Apporoach 방식을 도입
- 프로세스의 상호관계를 파악하여 일련의 프로세스를 시스템으로 적용하여 운용·관리
- 조직의 정보보호 요구사항을 이해하고 정보보호 정책 및 목적을 수립할 필요성 이해
- 조직의 사업 위험 전반에 대해 고려하여 정보보호 위험을 운영 · 관리하기 위한 관리 방법을 도입 · 운영
- ISMS의 성과 및 유효성을 모니터링하고 검토
- 객관적인 평가를 통해 지속적인 개선
'시큐리티 아카데미' 카테고리의 다른 글
| 클라우드 이해 (3) | 2024.09.21 |
|---|---|
| 정보보호 법/제도 4 (0) | 2024.09.13 |
| 정보보호 법/제도 2 (3) | 2024.09.11 |
| 정보보호 법/제도 1 (2) | 2024.09.11 |
| 데이터베이스 관계대수 (0) | 2024.07.29 |