반응형
ISMS(Information security management System)
ISMS(Information Security Management System) 인증은 정보보호 관리 체계를 평가하고 검증하는 프로세스를 의미한다. 이는 조직이 정보 보안을 효과적으로 관리하고 유지하기 위해 정의된 표준 및 절차를 준수하는지를 확인하기 위한 절차이다.
ISMS 인증은 정보 보안 관련 위험을 최소화하고 고객의 신뢰를 유지하기 위해 중요한 역할을 한다.
ISMS 인증 프로세스
- 준비: 조직은 정보 보안 관리 체계를 구축하고 관련 문서화 작업을 수행. 이 단계에서 조직은 ISO/IEC 27001 표준과 같은 관련 표준을 기반으로 ISMS를 설계하고 구현한다.
- 평가: 외부 감사기관이 조직의 ISMS를 평가하기 위해 감사를 수행. 이 감사는 ISMS의 문서화된 정책, 절차, 지침, 기술적인 보안 조치 등을 검토하고 평가한다.
- 감사 및 평가 결과: 감사 결과 및 평가 보고서를 기반으로 조직은 ISMS의 강점과 개선이 필요한 부분을 식별한다. 이를 바탕으로 조직은 보안 조치를 강화하거나 보완하게 될 수 있다.
- 개선 및 조치: 평가 결과를 토대로 조직은 보안 조치를 적용하고 개선한다. 이 단계에서는 보안 위험을 관리하고 대응하기 위한 적절한 계획을 수립하게 된다.
- 인증 및 인정: 감사 결과가 충분히 우수하다고 판단되면, 감사기관은 조직에게 ISMS 인증을 부여한다. 이는 조직이 표준 및 절차를 준수하여 정보 보안을 관리하는 데 성공했다는 것을 의미한다.
ISMS 인증은 주로 ISO/IEC 27001 표준을 기반으로 수행되지만, 국가 또는 산업별로 다른 표준 및 가이드라인을 따르기도 한다. 이러한 인증은 조직의 정보 보호 역량을 강화하고 정보 보안 위험을 관리하여 기업의 신뢰성을 향상시키는 데 도움이 된다.
법적근거
ISMS : 총 80개의 인증기준(보호대책 요구사항 64개 + 관리체계 수립 및 운영 16개)
인증체계
인증 대상자
인증 대상자는 의무대상자와 비(非)의무대상자로 나뉘어지는데, 의무대상자는 법으로 정한 일정 규모 이상의 기업이나 기관을 의미하고 비(非)의무대상자는 말 그대로 법적으로 의무대상자는 아니지만 인증 취득을 희망하는 경우를 의미한다.
비(非)의무대상자
인증 취득을 희망하는 경우 자발적으로 신청하여 인증취득이 가능하다.
의무대상자
대상자 기준세부분류(정보통신서비스제공자)비고
대상자 기준 | 세부분류(정보통신서비스제공자) | 비고 |
(ISP)전기통신사업법의 전기통신 사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자 | 인터넷접속서비스, 인터넷전화서비스 등 | 서울 및 모든 광역시에서 정보통신망 서비스제공(SKT,SK브로드 밴드,KT,LGU+등) |
(IDC)타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자 | 서버호스팅, 코로케이션 서비스 등 | 정보통신서비스부문 전년도 매출액 100억 이하인 영세 VIDC 제외 |
(매출액및이용자기준)연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스매출액 100억 또는 이용자수 100만명 이상인 사업자 | 인터넷쇼핑몰, 포털, 게임, 예약, Cable-SO 등 | 정보통신 서비스부문 전년도 매출액 100억이상 또는 전년도말 기준 직전 3개월간 일일평균 이용자수 100만명 이상 |
상급종합병원 대학교 | 직전연도12월31일기준으로 재학생 수가 1만명 이상인「고등교 육법」제2조에 따른 학교 |
과태료(미인증시)
ISMS 의무대상자인데 미인증시 3,000만원 이하의 과태료를 내야한다.
해당 내용은 정보통신망법 제76조에 근거를 두고 있다.
제76조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다. 6의3. 제47조제2항을 위반하여 정보보호 관리체계 인증을 받지 아니한 자 |
반응형
'보안' 카테고리의 다른 글
[보안] Gobuster ? 알아볼게요 (0) | 2023.08.31 |
---|---|
[보안] OSINT ? 알아볼게요 (0) | 2023.08.31 |
[보안] 코드로 보는 인공지능과 기계 학습을 활용한 보안 (0) | 2023.08.11 |
[보안] ISMS-P 인증 이란? (0) | 2023.08.09 |
[보안]'CSAP' 란 무엇인가? (1) | 2023.08.08 |