[ISMS] ISMS 단계별 구축 방법

목차


5. ISMS 단계별 구축 방법

1. 정보보호 정책 및 범위설정 단계(1~2단계)

정보보호 관리체계 구축을 위한 환경분석(인터뷰, 문서검토)


인증을 통한 비 재무적 효과


GAP 분석을 위해서는 다양한 형태의 기준을 가지고 점검이 가능하나, 정보보호 관리체계 인증 기준이 정보보호대책 영역이 관리, 기술, 물리 분야로 나누어 분석한다.


[1단계] 정보보호 정책 수립 단계

조직이 수행하는 관리적, 물리적, 기술적 정보보호 활동의 근거 표기 조직이 준수해야 할 정보보호 관련 법적 요구사항을 분석하여 반영


[2단계] 정보보호 관리체계의 범위 설정


정보자산 식별(자산분류 체계수립)


2. 경영진 책임 및 조직구성 단계(3~4단계)

[3단계] 경영진 책임


[4단계] 정보보호 조직 구성 및 자원 할당


ISMS 구축 준비 및 전략 수립 단계

ISMS 정책 체제 수립을 준비하고 본격적인 수행을 위한 인증 범위 내의 서비스 및 시스템 등에 대한 활동 수행


예시


3. 위험관리 단계(5~7단계)

[5단계] 위험관리 전략 및 계획 수립


[6단계] 위험 식별 및 평가


위험평가

→ 위험수준 설정


위험관리 절차


[7단계] 정보보호대책 선정 및 이행계획 수립



정보보호 계획 수립


정보보호 운영명세서


4. 정보보호 대책 구현 단계(8~9단계)

[8단계] 정보보호 대책 구현


예시


[9단계] 내부 공유 및 교육



5. 사후관리 단계(10~12단계)

[10단계] 법적 요구사항 준수 검토


CHECK LIST


[11단계] 정보보호교육 및 훈련


  1. 정책, 지침상에 진행해야 할 연중 업무를 지속적으로 운영하고 있는지 여부
  2. 기술적으로 침입탐지시스템이나 각종 시스템의 로그기록 검토, 사고대응, 장애 처리 및 재난재해

- 어떠한 대책들이 수립되고 운영되고 있는지 등을 확인하는데 중점을 두고 운영


[12단계] 내부감사


내부감사 자격요건