정보보안 관리체계, ISMS인증 대상부터 방법까지
정보보안 관리체계, ISMS인증 대상부터 방법까지
한국사회에 코로나19의 영향과 디지털 기술의 발전으로 디지털 전환 시대가 도래하면서 정보보안의 중요성이 점차 강조되고 있습니다. 그로 인해 우리 회사가 정보보안관리를 잘하고 있는지 가시적인 지표를 얻기 위한 정보보안 인증 취득도 많이 고려되고 있는데요. 오늘은 국내 정보보안 인증인 ISMS인증에 대해서 알아보겠습니다.
ISMS인증은 무엇일까요?
ISMS는 Information Security Management System : 정보보안 관리체계의 약자로 국내 기관인 한국인터넷진흥원(KISA)를 통해 취득 가능한 정보보안관리 인증 제도입니다. 인증 취득을 위해서는 KISA의 엄격한 보안 심사를 통과해야 하며, 지속적인 후속 관리도 만족해야 합니다.
ISMS인증 꼭 받아야 할까요?
ISMS인증은 정보보안관리에 대해 필요성을 느끼는 모든 기업이 자율적으로 취득할 수 있지만 특정 산업군, 규모의 기업은 취득에 대한 법적 의무를 지게 됩니다.
참고 관련 법률
- 정보통신망 이용촉진 및 정보보호에 관한 법률 제47조
- 정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제47조~제54조
- 정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제3조
- 개인정보보호법 제32조의 2항
- 개인정보보호법 시행령 제34조의 2항~제34조의 8항
- 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
ISMS인증 어떤 기업이 의무적으로 취득해야 하죠?
- 정보통신망서비스 제공자(ISP) - 전기통신사업법에 따른 등록을 한 자로서 서울특별시 및 광역시에서 정보통신망을 제공하는 자
- 집적정보통신시설 사업자(IDC) - 정보통신망법 제46조에 따른 집적정보통신시설 사업자
*ISP는 Internet Service Provider의 약자 (예 : KT, SKT, LG U+ 같은 통신사)
*IDC는 Internet Data Center의 약자 (서버 컴퓨터와 네트워크 회선 등을 제공하는 데이터 센터)
매출액 또는 이용자 수 요건에 따른 대상자
- 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 자
- 전년도 말 기준 직전 3개월간의 정보통신서비스 일일 평균 이용자 수가 100만 명 이상인 자
- 연간 매출액 또는 세입이 1,500억 원 이상인 자 중에서 다음에 해당하는 경우
- [의료법] 제3조의 4항에 따른 상급종합병원
- 직전연도 12월 31일 기준으로 재학생 수가 1만 명 이상인 [고등교육법] 제2조에 따른 학교
아무래도 정보통신서비스 부문의 기업 중 매출액 증가와 유저수 증가로 인한 취득이 많을 텐데요.
매출액의 경우 매출 제외 항목이 있기 때문에 기준에 맞춰 우리 회사가 의무 대상자인지 확인할 필요가 있습니다.
한국인터넷진흥원 자료실 바로가기 > ISMS인증 문의 메일 : isms-p@kisa.or.kr
또한, 최근 급속도로 증가하고 있는 해킹 범죄와 정보유출사고 등을 고려했을 때 의무 취득 대상자가 아니더라도 비즈니스 안정성 강화를 위해 ISMS인증 취득이 필요합니다.
ISMS인증을 취득하면 어떤 게 좋을까요?
- 정보보호 위험관리를 통한 비즈니스 안정성 제고
- 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보
- 침해사고, 집단소송 등에 따른 사회 · 경제적 피해 최소화
- 인증 취득 시 정보보호 대외 이미지 및 신뢰도 향상
- IT 관련 정부과제 입찰 시 인센티브 일부 부여
- 다양한 정보보호 대상 평가 가산점
- 상장기업 대상 ESG평가에서도 일부 항목 대체
- 정보보호 관련 보험 가입 시 할인 혜택 부여
ISMS인증 항목은 어떤 게 있을까요?
정보보호 관리과정 5단계 중 12개 기준 + 정보보호 대책 13분야 중 92개 기준으로 총 104개의 정보보호 관리체계 인증기준을 만족시켜합니다. 이 복잡한 내용을 간단하게 한 줄씩 요약하자면
정보보호 관리과정 5단계 항목
정보보호정책 수립 및 범위 설정
중요업무 및 서비스에 따른 정보자산에 관리체계 범위를 설정하고 자산을 식별
경영진 책임 및 조직 구성
정보보호를 지속할 수 있게 조직을 구성하고, 정보보호에 대한 권한과 책임을 부여
위험관리
정보보안 위험을 식별 및 평가 가능하도록 관리방법을 선정하고 구체적인 관리계획을 수립
정보보호대책 구현
정보보안 위험분석 내용을 통해 가상의 시나리오를 적용하고 가장 적합한 방법을 도출
사후관리
정보보호 관리체계를 운영하고 체계를 지속적으로 개선하는 것
정보보호정책 13개 분야
- 정보보호정책 : 정보보호정책은 모든 이해관계자가 이해하기 쉬운 형태로 작성되어야 하며 그들의 승인을 받아야 함
- 정보보호조직 : 정보보호 최고경영자와 실무조직을 구성해서 업무권한과 그 책임을 부여해야 함
- 외부자 보안 : 외부자가 자사 정보자산 접근을 허용할 경우, 보안 요구사항을 계약서에 명시하고 주기적으로 감사 진행
- 정보자산분류 : 조직의 업무 특성에 따라 정보자산 분류기준을 수립하고 정보보호 관리체계 범위 내 정보자산을 식별 및 관리
- 정보보호교육 : 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립
- 인적보안 : 중요정보를 대량으로 취급하는 임직원을 주요직무자로 지정하고 주요직무자를 관리할 수 있는 대책을 수립
- 물리적 보안 : 비인가자의 물리적 접근 및 물리적 재난으로부터 주요 설비 및 시스템을 보호할 대책을 수립
- 시스템 개발보안 : 정보시스템 개발 및 기존 시스템 변경 시 정보보호 관련 법적 요구사항 및 최신 보안 취약점을 고려
- 암호통제 : 중요정보 보호를 위해 암호 강도, 키 관리, 개인정보 전송 시 암호화 등 암호 사용에 대한 정책을 수립
- 접근통제 : 비인가자의 접근을 통제할 수 있도록 접근통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함하여 정책 수립
- 운영 보안 : 정보시스템 동작, 문제 발생 시 재동작 및 복구, 오류처리 등 시스템 운영을 위한 절차를 수립
- 침해사고관리 : 해킹 등 침해사고 유형별 보고, 복구, 대응, 훈련 시나리오 등 종합적인 대응 절차를 수립
- IT재해복구 : 해킹, 자연재해, 전력 중단 등의 요인으로 IT시스템 중단 및 파손을 대비하여 비상복구 절차 체계 수립
ISMS인증은 어떻게 하나요?
정보통신진증협회(KAIT), 정보통신기술협회(TTA), 개인정보보호협회(OPA)에서 인증심사를 수행하고, 한국인터넷진흥원(KISA)에서 추가 특수 인증심사 후 인증서를 발급합니다.
(만일 대상 기업이 금융분야 기업일 경우, 한국인터넷진흥원의 업무를 금융보안원(FSI)에서 대체합니다.)
ISMS는 인증 취득까지 적어도 3달은 걸리기 때문에 법적인 의무 때문에 ISMS를 취득해야 한다. 또는 우리 회사의 우수한 정보보안 시스템을 인증받고 싶으시다면 사전에 미리 준비하여서 인증 취득에 도전하시기 추천드립니다!
- 정보통신망 이용촉진 및 정보보호에 관한 법률 제47조
- 정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제47조~제54조
- 정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제3조
- 개인정보보호법 제32조의 2항
- 개인정보보호법 시행령 제34조의 2항~제34조의 8항
- 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
- 정보통신망서비스 제공자(ISP) - 전기통신사업법에 따른 등록을 한 자로서 서울특별시 및 광역시에서 정보통신망을 제공하는 자
- 집적정보통신시설 사업자(IDC) - 정보통신망법 제46조에 따른 집적정보통신시설 사업자
*IDC는 Internet Data Center의 약자 (서버 컴퓨터와 네트워크 회선 등을 제공하는 데이터 센터)
- 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 자
- 전년도 말 기준 직전 3개월간의 정보통신서비스 일일 평균 이용자 수가 100만 명 이상인 자
- 연간 매출액 또는 세입이 1,500억 원 이상인 자 중에서 다음에 해당하는 경우
- [의료법] 제3조의 4항에 따른 상급종합병원
- 직전연도 12월 31일 기준으로 재학생 수가 1만 명 이상인 [고등교육법] 제2조에 따른 학교
매출액의 경우 매출 제외 항목이 있기 때문에 기준에 맞춰 우리 회사가 의무 대상자인지 확인할 필요가 있습니다.
ISMS인증 문의 메일 : isms-p@kisa.or.kr
또한, 최근 급속도로 증가하고 있는 해킹 범죄와 정보유출사고 등을 고려했을 때 의무 취득 대상자가 아니더라도 비즈니스 안정성 강화를 위해 ISMS인증 취득이 필요합니다.
- 정보보호 위험관리를 통한 비즈니스 안정성 제고
- 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보
- 침해사고, 집단소송 등에 따른 사회 · 경제적 피해 최소화
- 인증 취득 시 정보보호 대외 이미지 및 신뢰도 향상
- IT 관련 정부과제 입찰 시 인센티브 일부 부여
- 다양한 정보보호 대상 평가 가산점
- 상장기업 대상 ESG평가에서도 일부 항목 대체
- 정보보호 관련 보험 가입 시 할인 혜택 부여
이 복잡한 내용을 간단하게 한 줄씩 요약하자면
중요업무 및 서비스에 따른 정보자산에 관리체계 범위를 설정하고 자산을 식별
경영진 책임 및 조직 구성
정보보호를 지속할 수 있게 조직을 구성하고, 정보보호에 대한 권한과 책임을 부여
위험관리
정보보안 위험을 식별 및 평가 가능하도록 관리방법을 선정하고 구체적인 관리계획을 수립
정보보호대책 구현
정보보안 위험분석 내용을 통해 가상의 시나리오를 적용하고 가장 적합한 방법을 도출
사후관리
정보보호 관리체계를 운영하고 체계를 지속적으로 개선하는 것
- 정보보호정책 : 정보보호정책은 모든 이해관계자가 이해하기 쉬운 형태로 작성되어야 하며 그들의 승인을 받아야 함
- 정보보호조직 : 정보보호 최고경영자와 실무조직을 구성해서 업무권한과 그 책임을 부여해야 함
- 외부자 보안 : 외부자가 자사 정보자산 접근을 허용할 경우, 보안 요구사항을 계약서에 명시하고 주기적으로 감사 진행
- 정보자산분류 : 조직의 업무 특성에 따라 정보자산 분류기준을 수립하고 정보보호 관리체계 범위 내 정보자산을 식별 및 관리
- 정보보호교육 : 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호교육 계획을 수립
- 인적보안 : 중요정보를 대량으로 취급하는 임직원을 주요직무자로 지정하고 주요직무자를 관리할 수 있는 대책을 수립
- 물리적 보안 : 비인가자의 물리적 접근 및 물리적 재난으로부터 주요 설비 및 시스템을 보호할 대책을 수립
- 시스템 개발보안 : 정보시스템 개발 및 기존 시스템 변경 시 정보보호 관련 법적 요구사항 및 최신 보안 취약점을 고려
- 암호통제 : 중요정보 보호를 위해 암호 강도, 키 관리, 개인정보 전송 시 암호화 등 암호 사용에 대한 정책을 수립
- 접근통제 : 비인가자의 접근을 통제할 수 있도록 접근통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함하여 정책 수립
- 운영 보안 : 정보시스템 동작, 문제 발생 시 재동작 및 복구, 오류처리 등 시스템 운영을 위한 절차를 수립
- 침해사고관리 : 해킹 등 침해사고 유형별 보고, 복구, 대응, 훈련 시나리오 등 종합적인 대응 절차를 수립
- IT재해복구 : 해킹, 자연재해, 전력 중단 등의 요인으로 IT시스템 중단 및 파손을 대비하여 비상복구 절차 체계 수립
(만일 대상 기업이 금융분야 기업일 경우, 한국인터넷진흥원의 업무를 금융보안원(FSI)에서 대체합니다.)
ISMS는 인증 취득까지 적어도 3달은 걸리기 때문에 법적인 의무 때문에 ISMS를 취득해야 한다. 또는 우리 회사의 우수한 정보보안 시스템을 인증받고 싶으시다면 사전에 미리 준비하여서 인증 취득에 도전하시기 추천드립니다!
도입
견적
시연
