정보보호 관리체계: Difference between revisions

From CS Wiki
(내용을 "노무딱분신술!"(으)로 바꿈)
(223.62.203.27 (토론)의 1248판 편집을 되돌림)
Line 1: Line 1:
노무딱분신술!
; ISMS; Information Security Management System
과학기술정보통신부와 한국인터넷진흥원에서 시행하는 보안성 인증제도. 일부 큰 규모의 업체들은 의무적으로 받도록 되어 있고 그 외의 기업들에선 본인들의 보안성을 증명하고 홍보하기 위한 용도로 받는다.
 
== 필수 인증 대상 ==
# 정보통신망을 제공하는 자(ISP)
# 집적정보통신시설 사업자(IDC)
#* 재판매 사업자(VIDC)는 매출액 100억원 이상만
# 연간매출액 또는 세입이 1,500억원 이상인 상급종합병원
# 연간매출액 또는 세입이 1,500억원 이상인 학생수 1만명 이상 학교
# 정보통신서비스 전년도 매출액 100억원 이상인 자
# 전년도 말 기준 직전 3개월 일평균 이용자 수 100만명 이상인 자
* '''의무대상자 미인증시 3,000만원 이하의 과태료 (정보통신망법 제 76조 근거)'''
 
== 법적 근거 ==
* 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 47조
* 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제47조~54조
* 정보보호 관리체계 인증 등에 관한 고시
 
== 인증 심사 기관==
* '''한국인터넷진흥원(KISA)'''
** 인증
** 인증 심사
** 인증위원회 운영
** 인증제도 운영 지원
* '''금융보안원(FSI)<ref>금융기관에 대한 인증(F-ISMS)만 수행한다</ref>'''
** 인증
** 인증 심사
* '''한국정보통신진흥협회(KAIT)'''
** 인증 심사
* '''한국정보통신기술협회(TTA)'''
** 인증 심사
 
== 인증 기준 ==
{| class="wikitable"
! style="text-align: center; font-weight:bold;" | 구 분
! style="text-align: center; font-weight:bold;" | 통 제 분 야
! style="text-align: center; font-weight:bold;" | 항목수
|-
| rowspan="6" style="text-align: center; font-weight:bold;" | 정보보호
관리과정
| 1. 정보보호정책 수립 및 범위설정
| 2
|-
| 2. 경영진 책임 및 조직 구성
| 2
|-
| 3. 위험관리
| 3
|-
| 4. 정보보호대책 구현
| 2
|-
| 5. 사후관리
| 3
|-
| style="font-weight:bold;" | 소계
| style="font-weight:bold;" | 12
|-
| rowspan="14" style="text-align: center; font-weight:bold;" | 정보보호
대책
| 1. 정보보호 정책
| 6
|-
| 2. 정보보호 조직
| 4
|-
| 3. 외부자 보안
| 3
|-
| 4. 정보자산 분류
| 3
|-
| 5. 정보보호 교육
| 4
|-
| 6. 인적 보안
| 5
|-
| 7. 물리적 보안
| 9
|-
| 8. 시스템개발 보안
| 10
|-
| 9. 암호 통제
| 2
|-
| 10. 접근 통제
| 14
|-
| 11. 운영 보안
| 22
|-
| 12. 침해사고 관리
| 7
|-
| 13. IT 재해복구
| 3
|-
| style="font-weight:bold;" | 소계
| style="font-weight:bold;" | 92
|-
| colspan="2" style="font-weight:bold;" | 총계
| style="font-weight:bold;" | 104
|}
 
[[분류:보안]]
[[분류:컴플라이언스]]
[[분류:정보보안기사]]

Revision as of 06:12, 8 March 2019

ISMS; Information Security Management System

과학기술정보통신부와 한국인터넷진흥원에서 시행하는 보안성 인증제도. 일부 큰 규모의 업체들은 의무적으로 받도록 되어 있고 그 외의 기업들에선 본인들의 보안성을 증명하고 홍보하기 위한 용도로 받는다.

필수 인증 대상

  1. 정보통신망을 제공하는 자(ISP)
  2. 집적정보통신시설 사업자(IDC)
    • 재판매 사업자(VIDC)는 매출액 100억원 이상만
  3. 연간매출액 또는 세입이 1,500억원 이상인 상급종합병원
  4. 연간매출액 또는 세입이 1,500억원 이상인 학생수 1만명 이상 학교
  5. 정보통신서비스 전년도 매출액 100억원 이상인 자
  6. 전년도 말 기준 직전 3개월 일평균 이용자 수 100만명 이상인 자
  • 의무대상자 미인증시 3,000만원 이하의 과태료 (정보통신망법 제 76조 근거)

법적 근거

  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 47조
  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제47조~54조
  • 정보보호 관리체계 인증 등에 관한 고시

인증 심사 기관

  • 한국인터넷진흥원(KISA)
    • 인증
    • 인증 심사
    • 인증위원회 운영
    • 인증제도 운영 지원
  • 금융보안원(FSI)[1]
    • 인증
    • 인증 심사
  • 한국정보통신진흥협회(KAIT)
    • 인증 심사
  • 한국정보통신기술협회(TTA)
    • 인증 심사

인증 기준

구 분 통 제 분 야 항목수
정보보호

관리과정

1. 정보보호정책 수립 및 범위설정 2
2. 경영진 책임 및 조직 구성 2
3. 위험관리 3
4. 정보보호대책 구현 2
5. 사후관리 3
소계 12
정보보호

대책

1. 정보보호 정책 6
2. 정보보호 조직 4
3. 외부자 보안 3
4. 정보자산 분류 3
5. 정보보호 교육 4
6. 인적 보안 5
7. 물리적 보안 9
8. 시스템개발 보안 10
9. 암호 통제 2
10. 접근 통제 14
11. 운영 보안 22
12. 침해사고 관리 7
13. IT 재해복구 3
소계 92
총계 104
  1. 금융기관에 대한 인증(F-ISMS)만 수행한다