[ISMS] ISMS 인증 기준 및 컴플라이언스 이해

목차


2. ISMS 인증 기준 및 컴플라이언스 이해

1. 정보보호 관리체계 구성

정보보호 관리과정 (필수적)


경영진책임 및 조직구성


위험관리


정보보호 대책구현


사후관리


정보보호 대책 (선택적)

크게 두가지로 분류


조직적/관리적 통제


운영적/기술적 통제



2. 정보보호 컴플라이언스

거버넌스 : 국가의 여러 업무를 관리하기 위해 정치, 경제 및 행정적 권한을 행사하는 방식
→ 국정운영과정


정보보호 거버넌스

정보보호 거버넌스에는 IT Governance, Security Governance 두 가지가 있다.

1. IT Governance
2. Security Governance


컴플라이언스

컴플라이언스는 IT ComplianceSecurity Compliance로 나누어 설명할 수 있다.

1. IT Compliance
2. Security Compliance


강화필요성

  1. Governance 강화 측면
    • 개인정보 법규제의 강화에 맞춘 보안관리 노력 필요
  2. Compliance 강화 측면
    • ISMS 인증 의무화 대상자에 대한 강화된 정보보호 노력 요구


정보보호의 노력

법적으로 인정, 정보보호 관리증적(Evidence), 정보보호 관리 업무프로세스 정립


국내 법률 현황, 고려사항

  1. 거버넌스 측면
    • 회사 비밀의 보호를 위한 노력 필요
    • 기업은 영업비밀보호법을 준수하기 위한 회사의 정보보호 관리 노력
  2. 컴플라이언스 측면
    • 개인정보 법규제의 강화에 맞춰 정보보호 관리
    • 정보통신서비스를 제공하는 기업은 정보통신망법의 개인정보 보호조치 의무
    • 모든 개인정보취급에 대하여 일반법인 개인정보보호법 적용을 받기 때문


ISMS 인증 의무화 대상자

강화된 정보보호 노력 요구


정보보호 관리증적


1. 산업보안

부정경쟁방지 및 영업비밀 보호에 관한 법률

2. 지적재산

저작권법(컴퓨터프로그램보호법 폐지, 통합)


기반시설

정보통신기반보호법


정보통신보안

정보통신망이용촉진 및 정보보호 등에 관한 법률 법 제47조(정보통신망법)


개인정보보호

정보통신망법
신용정보의 이용 및 보호에 관한 법률
개인정보보호법


기타

산업보안
지적재산
정보통신보안
개인정보보호


개인정보보호 측면과 정보보호 측면으로 나누어 생각

1. 개인정보보호 측면
2. 정보보호 측면