보안운영관리/인프라/컨설팅 - ISMS-P

*화이트햇 스쿨 2기에서 이수한 이론교육 내용을 바탕으로 작성되었습니다.

 

1. ISMS-P 인증제도 소개

 

인증제도 개요

- 정보보호 관리체계 인증(ISMS)

: 정보보호 중심으로 인증하는 경우, 기존의 ISMS의 의무대상 기업, 기관, 개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등

- 정보보호 및 개인정보 관리체계 인증(ISMS-P)

: 개인 정보의 흐름과 정보보호 영역을 모두 인증하는 경우, 보호하고자 하는 정보 서비스가 개인 정보의 흐름을 가지고 있어 개인 정보 처리 단계별 보안 강화가 필요한 조직

 

인증 기준

- 관리체계 수립 및 운영(16개)

- 보호대책 요구사항(64개)

- 개인정보 처리단계별 요구사항(22개)

 

인증 종류

최초심사 - (1년) - 사후심사 - (1년) - 사후심사 - (1년)  - 갱신 심사 - 예비 인증

 

인증 관련 과태료

- 최초 인증

  - 최초로 인증 의무 이행자가 된 해의 다음 연도 8월 31일까지 인증 위원회의 인증 결정을 받지 못한 자

  - 과태료 3,000만원의 및 시정조치 명령

- 사후 관리

  - 인증서 상의 유효기관 개시일로부터 매 1년 이내에 사후 심사를 완료하지 않은 자

  - 1차 시정조치 명령

  - 명령 위반 시 2차 시정 조치 명령 및 과태료 300만원

- 인증 갱신

  - 인증 유효기간 만료일까지 인증위원회의 인증 결정을 받지 못한 자

  - 과태료 3,000만원 및 시정 조치 명령

- 인증 표시

  - 인증을 받지 아니하였음에도 거짓으로 인증의 내용을 표시하거나 홍보한 자

  - 과태료 3,000만원 또는 1,000만원 및 시정 조치 명령

 

국내외 정보보호 인증

- ISO/IEC 27001

- ISO/IEC 27017

- ISO/IEC 27018

- ISO/IEC 27701

- CSA Star

- PCI-DSS

 

인증 제도의 의의

- 부분적 보안, 일회성 관리, 산발적 대응 → 균형적 보안, 지속적 관리, 체계적 대응

 

2. 관리체계 수립 및 운영

 

클라우드 환경에서의 ISMS

- 서버, 네트워크 장비, DB 등 정보 자산의 물리적인 위치를 알 수 없음

- 정보 자산의 구매/도입/변경/폐기 등 물리적 측면의 관리를 하지 않음

- 정보자산의 소유자는 CSP이고 관리 주체는 서비스 운영자

- CSP의 관리영역과 보안 담당자의 관리 영역이 나뉨

- 관리 영역이 서비스 제공 형태에 따라 다름

 

클라우드를 이용해 서비스를 제공하는 기업의 정보보호 담당자라면 가장 먼저 생각할 부분

- 서비스 제공 형태 파악

- 서비스 제공 형태에 따른 책임 공유 모델 이해

- 정보보호 담당자가 관리해야 할 부분에 대해 인증 요건 충족