ISMS/ISO27001인증지원컨설팅

정보보호관리체계(ISMS/ISO27001) 인증 소개
(주)케이씨에이는 고객의 정보보호관리체계(ISMS) 인증 취득을 위하여 그 동안 쌓아온 KCA의 정보보안 컨설팅 노하우를 바탕으로 ISMS 심사기준과 인증 프레임워크에 따라 고객의 정보보호 관리과정 및 정보보호 대책 요구사항을 사전에 철저히 분석하고 평가하여 인증 취득을 위한 완벽한 대책 및 개선책을 제시하여 드립니다.
ISMS 인증 개요
ISMS(Information Security Management System)란 조직에서 비즈니스의 연속성 확보를 위하여 각종 위협으로부터 정보자산을 보호하기 위한 위험관리 기반의 체계적이고 지속적인 프로세스 개선 활동으로서, 기업 및 조직이 보유하고 있는 기업정보, 산업기밀, 개인정보 등의 중요한 정보자산이 안전하고 신뢰성 있게 관리되고 있음을 인증 받는 공인제도입니다.

정보보호관리체계 인증체계

※「정보통신망 이용 촉진 및 정보보호 등에 관한 법률」 시행령 제52조에 의거하여 인증 받은 내용을 문서·송장·공고 등에 표시·홍보하는 경우, 인증의 범위와 유효기간을 함께 표시하여야합니다.
ISMS 법률적 근거
- “정보통신망 이용촉진 및 정보보호 등에 관한 법률” 제47조
- “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령” 제50조
- “정보보호 관리체계 인증 등에 관한 고시” (미래창조과학부고시 제2013-36호)
ISMS 인증대상

ISMS 인증심사 종류
인증의 유효기간은 인증서 발급일로부터 3년이며, 인증서를 취득한 이후 연간 1회 이상 정기적으로 사후심사를 받아 통과되어야 인증의 유효성을 유지할 수 있습니다. 또한 유효기간 만료 전에 갱신심사를 받음으로서 인증의 유효기간을 연장할 수 있습니다. 만약 인증을 받은 정보보호 관리체계 범위 내에서 중대한 변경이 발생한 경우 최초심사를 수행하여야 합니다.

· 최초심사 : 정보보호관리체계 인증 취득을 위한 심사
· 사후심사 : 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상)
· 갱신심사 : 유효기간(3년)만료일 이전에 유효기간의 연장을 목적으로 하는 심사
ISMS 인증심사 절차
ISMS를 수립하고 운영하고 있는 기관이 한국인터넷진흥원(KISA)에게 인증을 신청한 후 인증서 발급을 받기까지 소요되는 기간은 약 3개월 정도입니다. 인증심사는 서면심사와 기술심사로 구분되며 전문심사원으로 구성된 심사팀이 인증신청기관에 방문하여 심사를 진행합니다.

ISMS 인증범위 및 심사기준
· ISMS 인증기준은 ISO/IEC 27001 국제표준을 모두 포함하고 있으며, 국내 상황에 맞게 침해사고 예방, 암호화, 전자거래 등의 보안요건을 강화하였습니다.
· 기본적으로 인증범위를 전 조직으로 선정하여 정보보호관리체계를 수립할 것을 권고하지만, 조직의 규모와 특성에 따라 인증 범위를 조직의 일부 또는 서비스 단위로 나누어서 인증할 수 있으며, 인증 범위에 따라 개인정보 보호 관리체계와 개인정보 보호대책 구현 두 가지 분야를 기준으로 심사가 이루어집니다.
정보보호관리과정 요구사항
정보보호 관리과정은 정보보호 관리체계 인증 심사 시 요구되는 필수항목으로써 5단계 관리과정, 12개 통제사항으로 구성되며, 조직 내·외부 위협 요소의 변화 또는 새로운 취약성 발견 등에 대응하기 위하여 지속적으로 유지 관리되는 순환 주기의 형태를 가지고 있습니다.

정보보호대책 요구사항
정보보호대책은 정보보호에 관련된 위험을 통제하기 위한 요구사항으로 13개 통제분야, 92개 통제사항으로 구성되어 있으며, 위험평가를 통하여 조직이 수용가능한 위험 수준을 달성할 수 있도록 선택하면 됩니다.
통제분야 세부 통제사항
1. 정보보호 정책 정책의 승인 및 공표, 정책의 체계, 정책의 유지관리
2. 정보보호 조직 조직의 체계, 책임과 역할
3. 외부자 보안 보안요구사항 정의, 외부자 보안 이행
4. 정보자산 분류 정보자산 식별 및 책임, 정보자산의 분류 및 취급
5. 정보보호 교육 교육 프로그램 수립, 교육 시행 및 평가
6. 인적 보안 정보보호 책임, 인사규정
7. 물리적 보안 물리적 보호구역, 시스템 보호, 사무실 보안
8. 시스템개발 보안 분석 및 설계 보안관리, 구현 및 이관 보안, 외주개발 보안
9. 암호통제 암호정책, 암호키 관리
10. 접근통제 접근통제 정책, 사용자 접근권한 관리, 접근통제 영역
11. 운영보안 운영절차 및 변경관리, 시스템 및 서비스 운영보안, 전자거래 및 정보전송 보안, 매체 보안, 악성코드 관리, 로그관리 및 모니터링
12. 침해사고 관리 절차 및 체계, 대응 및 복구, 사후관리
13. IT 재해복구 체계구축, 대책구현
정보보호관리체계 인증도입 효과
ISMS 인증을 획득하면 조직은 광범위하고 효율적인 정보보호 대책을 개발할 수 있으며, 자신의 정보보호 수준에 관하여 객관적인 심사를 통해 더 높은 대내·외적 신뢰도를 가질 수 있습니다. · 지속가능 경영의 핵심인 IT 컴플라이언스 대응
· 종합적인(관리/기술/물리) 정보보호 대책 수립으로 기업 정보보호 관리수준 향상
· 기업 윤리경영, 투명경영 등 기업의 사회적 책임 강화
· 정보보호 위험관리를 통한 기업 비즈니스 보호
· 비즈니스 연속성 확보를 통한 고객 신뢰도 향상
· 침해사고, 집단소송 등에 따른 사회ㆍ경제적 피해 최소화
정보보호관리체계 인증 취득에 다른 인센티브
구분 시행기관 혜택내용
가산점 부여 미래창조
과학부
공공부문 정보시스템 기획·구축·운영 사업자, SW개발사업자 선정 시 평가항목(기밀보안)에 ISMS 인증 취득 시 만점(최대 5점) 부여
보안관제 전문업체 지정 시 ‘정보보호 인증기업’ 평가항목에 만점(최대 5점) 부여
지식정보보안컨설팅 전문업체 지정 시 ‘정보보호 인증기업’ 평가항목에 만점(최대 5점) 부여
KISA 정보보호대상, 입찰, 과제선정 평가 시 가점 부여
한국기업
지배구조원
상장기업 대상 ESG(환경, 사회, 지배구조) 평가 시, 소비자항목에 가산점 부여
요금
할인
보험사 정보보호관련 보험(개인정보 배상책임보험 등) 가입 시 할인
권고 교육부 원격교육설비기준에 ISMS 인증 취득 권고(원격교육 설비 기준 고시)
국토교통부 유비쿼터스 도시기반 시설에 대하여 ISMS 인증 취득 권고
ISMS vs ISO27001 비교
조직의 정보보호관리체계에 대한 외부기관의 객관적인 평가로, 국내에서는 한국인터넷진흥원(이하 KISA)이 시행하는 ISMS 인증, 국제적으로는 ISO27001인증이 존재합니다.
구분 ISMS ISO27001
근거 정보통신망 이용촉진 및 정보보호에 관한 법률에 근거 영국 BSI인증원의 BS7799 규격
인증기관 한국인터넷진흥원(KISA)
한국정보통신진흥협회(KAIT)
BSI, DNV, SGS 인증원
통제항목 정보보호 5단계 관리과정 요구사항 12개 필수항목,
정보보호대책 13개 분야 92개 세부항목 등 총 104개 항목
정보보호 관리과정 4개 도메인과 Annex 11개 도메인 133개 세부 통제항목
사후심사 1년 주기 사후심사, 3년 주기 재심사 6개월 주기 사후심사, 3년 주기 재 심사
인증범위 인증 범위 설정 가능 「개인정보보호법」제2조제6호에 따른 공공기관에 해당하는 개인정보처리자
인증절차 수립단계, 이행단계(2~3개월), 심사단계의 3단계로 구성됨
K-ISMS 인증지원 컨설팅

KCA 정보보안 컨설팅의 축적된 경험과 노하우를 바탕으로 고객의 정보보호 처리업무 환경을 분석하여 최적의 정보보호관리체계 인증 취득 전략 및 사후 변경, 유지관리 전략을 수립하여 드립니다.
K-ISMS 인증지원컨설팅 개요
K-ISMS는 KCA의 보안컨설팅 노하우를 바탕으로 ISMS 인증심사 프레임워크에 따라 기관의 정보자산 현황 및 업무 환경을 분석하여 최적의 정보보호관리체계 인증 취득 전략을 수립하여 드리는 KCA만의 컨설팅 방법론입니다.

K-ISMS 인증지원컨설팅 수행범위 및 목표
기관의 정보보호 관리체계 및 주요 정보자산의 관리적, 기술적, 물리적 보안 현황 등을 종합적으로 분석, 진단하여 ISMS 인증 취득은 물론 향후 지속개선이 가능한 효율적 정보보호 관리체계 구축으로 기관의 정보보호역량 강화가 그 목표입니다.

K-ISMS 인증지원컨설팅 수행절차
K-ISMS 인증지원컨설팅은 ISMS 인증을 위한 범위 결정 및 계획 수립에서 수준 진단, 대책 구현, 인증 심사 지원까지 완벽한 프로세스에 의하여 수행됩니다.

K-ISMS 인증지원컨설팅 기대효과