[ISMS] ISMS 구축 및 인증절차

목차


3. ISMS 구축 및 인증절차

1. 인증준비

ISMS 인증 프로세스

인증 준비단계 > ISMS 구축단계 > ISMS 운영단계 > 인증신청 및 심사단계 > 심사결과 보완 조치단계 > 사후관리 단계


인증심사 주기

최초심사 <-1년-> 사후심사 <-1년-> 사후심사 <-1년-> 갱신심사


ISMS 프로세스의 첫 단계

경영진, 추진팀, 컨설턴트

구축 절차
  1. 프로젝트 팀 구성
  2. 학습 및 정보수집
  3. 기한 및 예산의 파악
  4. 정보보호 관리체계 방법론에 따라 구축 계획 수립
  5. 추진 Report 작성보고(추진팀)
  6. 프로젝트 수행(수행부서, 팀)
  7. 정보보호 관리체계 인증 준비 (이후 다시 사이클을 반복한다.)


ISMS 인증범위 선정 시 고려사항


2. ISMS 구축 및 운영

정보보호정책 수립 및 범위설정


경영진 책임 및 조직 구성


위험관리

조직문화와 정보자산에 적절한 위험관리 전략과 계획을 수립하고 이에 따라 위험을 분석하고 평가하여 대응이 필요한 위험과 우선순위를 결정


정보호호대책 구현

위험관리 단계에서 수립된 정보보호 계획에 따라 정보보호 대책을 효과적으로 구현하고 내부 공유와 교육을 진행


사후관리


정보보호 관리체계의 구축


ISMS 체크리스트

  1. 정보보호전담(직무기술서 근거)조직 보유
  2. 매년 위험분석(기술진단 포함) 활동을 근거로 정보보호대책과 계획 수립
  3. 정보보호 업무 기준이 되는 규정, 지침 등을 보유하고 이를 제정 및 개정
  4. 매년 정보보호 이행점검(감사)을 실시, 개선
  5. 매년 전사 및 직무별 정보보호 교육을 계획하고 실시, 개선점 도출
  6. 경영층의 참여를 위한 협의/심사/의사결정 기구(ex. 정보보호위원회)의 운영


인증에 필요한 기본적인 문서 목록


2016년 집계된 관리체계 결함 통계

순위 통제내용 결함
1 11.2.10 취약점 점검 58
2 10.2.3 접근권한 검토 55
3 11.2.2 보안 시스템 운영 54
4 10.3.3 사용자 패스워드 관리 49
5 9.1.1 암호 정책 수립 42
6 4.1.1 정보자산 식별 41
7 10.4.6 인터넷 접속 40
8 10.4.2 서버 접근 37
9 10.4.1 네트워크 접근 34
10 11.6.2 로그기록 및 보존 27

3. 인증신청 및 심사준비

신청공문의 예시


정보보호 관리체계 인증 신청서


정보보호 관리체계 명세서

범위, 정보통신 설비 목록과 시스템 구성도, 정보보호 관리체계 운영현황과 자산 식별 기준, 취약점 점검 등에 관한 내용, 주요 문서목록, 타 인증취득 내용 기술

사업자등록증(또는 고유번호 등)


ISMS 인증심사 준비사항

준비단계


ISMS 인증심사 착수회의


ISMS 인증심사 고려사항

심사단계
사후관리 단계


단계별 신청기관 역할 및 이해

  준비단계 심사단계 인증단계 사후관리단계
신청기관 - 인증상담신청
- 인증신청
- 계약체결/수수료납부
- 심사계획 접수
- 보완사항 접수
- 보완조치 결과 송부
-인증획득(인증서 수신) - 공문접수
- 사후관리결과접수
- 갱신심사/재심사요청 공문
인증기관 - 인증상담
- 신청서 및 문서접수
- 접수증 발급
- 심사계획 통보
- 서면/기술심사
- 보완조치 결과 검토
- 심사결과보고서 작성
- 인증위원회 개최
- 인증여부 결정
- 결과통보/인증서발급
- 사후관리 공문
- 현장 실사
- 사후관리 결과 보고
- 신청서 및 문서접수