1. 정보보호 관리체계(ISMS) 이해
정보보호심사원 정보보호관리체계 ISMS ( ) 양성교육교재 정보보호 관리 개념
정보보호의 목적 및 특성 정보보호의 정의 정보보호(Information Security)란 의도되었건 의도되지 않았건 간에 인가받지 않은 노출, 전송, 수정 그리고 파괴로부터 정보를 보호하는 것 정보의 수집ㆍ가공ㆍ검색ㆍ송신ㆍ수신 중에 정보의 훼손ㆍ변조ㆍ유출 등을 방지하기 위한 관리적ㆍ기술적 수단을 강구하는 것
정보보호의 목적 정보보호의 목적 정보자산의 기밀성, 뮤결성, 가용성을 실현 그외 인증 및 부인방지 등의 요소들도 유지되어야 하며 이들 보안요소 간에는 상호의존적인 관계가 성립 보호대상 정보자산 기밀성(confidentiality) 무결성(integrity) 가용성(availability) 보안의 3요소
기밀성(Confidentiality) 정보보호의 목적 기밀성(Confidentiality) 비인가자에 의한 정보의 노출, 도청을 막는 특성, 접근통제와 암호화로 보장 무결성(Integrity) 비인가자에 의한 정보의 변경을 막는 특성, 물리적 통제와 접근통제로 보장 가용성(Availability) 비인가자에 의한 정보의 파괴를 막는 특성으로 필요한 시점에 정당한 사용자에게 정보가 제공되는것. 백업, 중복성 유지, 위협 요소로부터의 보호 등을 통해 보장
정보보호의 목적 인증(Authentication) 접근제어(Access Control) 부인방지(non-repudiation) 근거가 있는 무언가를 확인하거나 확증하는 행위, 객체를 인증하는 것은 이에 대한 출처를 확인하는 것이고 사람을 인증하는 것은 사람들의 신분을 구성하는것 접근제어(Access Control) 접근권한과 자격을 가지고 있는 사용자만 시스템이나 자원에 접근할 수 있도록 제어 부인방지(non-repudiation) 메시지의 송수신이나 교환 후 또는 통신이나 처리가 실행된 후 그 사실을 사후에 증명함으로써 부인을 방지하는 기술 책임추적성(accoutability) 자신의 행위에 대해 책임을 져야 한다는 특성, 개인식별을 위한 인증과 감사추적을 필요로 한다 감사추적(Audit trails) 감사를 위해 입력된 데이터가 어떤 변환과정을 거쳐 출력되는지 과정을 기록하여 추적하는 방법
정보보호와 비즈니스
정보보호의 필요성 전자상거래, 전자정부 등 사이버공간에서의 활동증가에 따른 안전성, 신뢰성 해결 글로벌화에 따른 국내 정보 유출 우려 공공기관에서 소유하고 있는 개인의 정보 회사의 제품개발 및 축적기술 회사간의 각종 사업계획에 관한 정보교환 및 사업행위 각종 지적소유권 보호
정보보호 관리의 개념 자산을 외부로부터 유ㆍ노출이나 오용, 데이터 유실 등으로부터 방어하고 정보시설을 방어하는데 관련된 일련의 활동 자산 위험의 이슈 자산의 위협 취약성 공격 정보보호 관리 이행을 위한 6단계 활동 정보보호 정책 및 조직 수립 정보보호 범위 설정 정보자산의 식별 위험관리 구현 사후관리활동
정보보호 모델 ISMS 인증 조직에 적합한 정보보호관리체계를 갖추었는지 제3자의 인증기관(KISA)을 통해 객관적이고 독립적으로 평가하여 인증기준에 대한 적합 여부를 보증해주는 제도 목적 정보자산의 안전, 신뢰성 향상 정보보호관리에 대한 인식 제고 국제적 신뢰도 향상 정보보호 서비스 산업의 활성화 ISMS 인증기준 인증심사 기준은 2013년 2월 방송통신위원회 고시(제2013-4호)로 새로운 개정기준 공표 정보보호 5단계 관리과정 요구사항은 12개 통제사항으로 문서요구사항은 삭제 정보보호대책부분은 13개 분야 92개 통제사항 등 총 104개로 구성
(Information Security Management System) 정보보호 관리체계(ISMS) 정의 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화하고 지속적으로 관리ㆍ운영하는 시스템 조직에서 비즈니스의 연속성 확보를 위하여 각종 위협으로 부터 정보자산을 보호하기 위한 위험관리 기반의 체계적이고 지속적인 프로세스 개선 활동 ㆍ 부분적 보안ㆍ 일회성 관리 ㆍ 산발적 대응 ㆍ 균형적 보안 ㆍ 지속적 관리 ㆍ 체계적 대응 <보안수준> <보안수준> 평가수준 평가수준 관리체계 부재 관리체계 운영 조직 조직 시설 정책 시설 정책 Islanded Integrated 장비 문서 장비 문서 (Information Security Management System) ISMS [ISMS 적용 전과 후]
정보보호 관리체계(ISMS) 필요성 “조직의 보안은 각 분야의 유기적인 협조와 노력에 종합적인 정보보호 관리의 필요성 “조직의 보안은 각 분야의 유기적인 협조와 노력에 의해 지켜질 수 있으며, 한 분야의 취약점은 조직 전체의 보안수준을 저하” (리비히의 최소율의 법칙-나무 물통의 법칙) 11 10 9 12 8 운영 보안 접근 통제 7 13 침해 사고 관리 암호 통제 시스템 개발 보안 6 물리적 보안 Level 5: “Improving” IT재해 복구 인적 보안 Level 4: “Advanced” 1 정보 보호 수준 5 9 2 5 Level 3: “Controlled” 1 7 8 정보 보호 정책 3 4 정보 보호 교육 2 정보 보호 조직 Level 2: “Elementary” 외부자 보안 정보 자산 분류 6 3 4 5 Level 1: “Poor”
정보보호 관리체계(ISMS) 필요성 “Security is a process, not a product” - 보안은 제품(기술)이 아니라, 프로세스이다. "Security is a chain; it's only as secure as the weakest link” - 보안은 사슬이다. 사슬의 가장 약한 고리만큼만 안전하다. - 정보보호란 사슬처럼 연결되어 있어서 전체 정보보호 수준은 가장 취약한 연결 부분의 수준을 넘을 수 없다는 것 완벽한 보안은 없다. 그러나 보안은 .. 있다” - 완벽한 보안이 불가능해도 최선을 다 해야 하며, 그것은 보안에 대한 올바른 인식으로부터 출발 -미국의 정보보호 전문가인 브루스 슈나이어(Bruce Schneier)저서 `비밀과 거짓말(Secrets and Lies)'에서 -
2.1 정보보호 관리 필요성 회사 비밀의 보호를 위한 노력 필요 : Governance 강화 측면 영업비밀보호법으로부터 보호받기 위한 회사의 보안관리 노력 강구 - 벌률상 용어 정의 : 상당한 노력에 의하여 비밀로 유지 - 양벌 규정에 대한 예외 정의 : 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다. 개인정보 법규제의 강화에 맞춘 보안관리 노력 필요 : Compliance 측면 정보통신서비스제공자에 대한 정보통신망법(감독기관: 방통위)의 개인정보 보호조치 의무 준용사업자(Off-line 개인정보수집), 금융, 교육, 의료, 공공 부문 등의 모든 개인정보취급에 대하여 일반법인 개인정보보호법(감독기관: 행안부) 적용 정보통신망법 개정 사항에 따라 안전진단 폐지 및 ISMS인증 의무화(2013) 상당한 노력을 법적으로 인정을 받기 위해 보안관리증적(Evidence)필요 법적 준거성과 증적을 확보하기 위해서는 보안관리 업무프로세스 정립이 필수
2. 정보보호 관리 체계 3.8 국내 정보보호 관리체계(ISMS) 운영 현황 국내 주요 정보보호 관리체계 현황 국내 주요 정보보호 관리체계 현황 국내는 ISMS, G-ISMS, PIMS 인증 제도와 국제 표준 ISO27001 상존 ISMS (정보보호 관리체계) [2013년 개정, 권고 + 의무) - 2001년 BS779를 기반으로 국내 환경(민간 기업/조직)에 맞게 개발 (국내 공통 표준 프레임워크) G-ISMS (전자정부 정보보호 관리체계) [2014년 ISMS와 통합] - 전자정부 대민 서비스의 안전성 제고를 위하여 행정기관 특성에 맞도록 개발 PIMS (개인정보보호 관리체계) [2013년 법적 근거 마련, 국제표준으로 추진중] - ISMS, G-ISMS 기반으로 개인정보의 생명주기에 따라 보호조치 등 개발 ISO/IEC 27001[2013년 개정] [국내는 해외 인증과 국내 인증으로 이원화] - 영국의 BS7799, 한국 ISMS를 기반으로 2006년 IS0/IEC 국제 표준 규격
2. 정보보호 관리 체계 3.10 정보보호 관리체계(ISMS) 구축 운영 어려움 ① 관리체계의 수립 및 운영은 기술적인 문제라기보다는 프로세스와 사람이 연계된 문제 ② 정보보호와 관련된 조직/책임/역할/권한이 불분명하고 협조체계가 미흡 ③ 기업내에 관리체계의 핵심요소인 위험 관리의 기법들이 제대로 활용되고 내재화되지 않음 ④ 관리체계의 운영은 장기간의 꾸준한 유지보수 활동을 요구 ⑤ 관리체계에 대한 주기적인 감사와 측정이 부족 ⑥ 강력한 추진요인이 필요한데 이러한 추진요인을 확보하기 어려움 ⑦ 경영층의 지속적인 의지, 강력한 추진요인이 없다면 포기하기 쉽고 유지되기 어려움
3.16 관리체계 인증 취득의 이점 조직의 정보보호 인식 제고 종합적이고 효과적인 정보보호대책의 적용 위험의 감소 위험의 감소 침해사고에 대한 피해 최소화 기업 체질의 강화와 조직의 지속성장 및 비즈니스 확대 고객 만족 및 신뢰도 향상, 경쟁사와 차별화 입찰 및 거래 조건 충족 범규 준수(컴플라이언스) 기업의 사회적 책임 및 공헌
3.17 ISMS 인증 취득 혜택 소규모 기업의 경우 할인(상시 근로자 수 50명 미만 또는 매출액 50억 미만, 50%) 구분 시행기관 혜택 내용 근거 가산점 부 여 지식경제부 공공부문 정보시스템 기획․구축․운영 사업자, SW개발사업자 선정 시 평가항목(기밀보안) 만점 부여 지경부 고시 제2010-53호 보안관제 전문업체 지정 시 평가항목(신뢰도) 만점 부여 지경부 공고 제2010-478호 KISA 정보보호대상, 입찰, 과제선정 평가 시 가점 부여 KISA 지침 신용평가 기관 한국신용평가정보의 기업신용평가 시 가점 부여 업무 협약 (공문) 한국기업지배구조원 상장기업 대상 ESG(환경, 사회, 지배구조) 평가 시, 소비자항목에 가산점 부여 요금 할인 보험사 정보보호관련 보험(배상책임보험 등) 가입 시 할인(AIG, LIG, 그린손해보험, 동부화재, 롯데손해보험, 메리츠화재, 삼성화재, 제일화재, 한화손해보험, 현대해상, 흥국화재) 권고 교육과학 기술부 원격교육설비기준에 ISMS 인증 취득 권고 교과부 고시 제2008-93호 국토해양부 유비쿼터스도시기반시설에 대하여 ISMS 인증 취득 권고 유비쿼터스 도시의 건설 등에 관한 법률 제22조 ISMS 인증 수수료 할인 정보보호 大賞 수상 기업의 경우 할인 (대상․우수상․특별상, 100~50%) 소규모 기업의 경우 할인(상시 근로자 수 50명 미만 또는 매출액 50억 미만, 50%)
정보보호심사원 정보보호관리체계 ISMS ( ) 양성교육교재 3. 정보보호 관리체계(isms) 프레임워크
2. 정보보호 관리 체계 1. 정보보호 관리체계(ISMS) 프레임워크 이를 이행하기 위한 개념으로 ‘PDCA 모델’을 제시 이해관계자의 정보보호 요구사항 및 기대를 Input으로, 이들의 요구사항 및 기대를 충족시키는 정보보호의 결과(운용ㆍ관리된 정보보호)을 Output으로 이끌어 내기 위해 필요한 활동 및 프로세스를 ISMS 프로세스 기업·조직의 사업 활동은 Input이 처리되어 Output으로서 가치를 낳는 프로세스의 연속 처럼 ISMS에서도 PDCA 사이클에 의해 정보보호의 계속적 개선을 추구하는 프로세스 접근방법인 매니지먼트 시스템
2. 정보보호 관리 체계 1. 정보보호 관리체계(ISMS) 프레임워크 계획(Plan) 검토(Check) (이해관계자) 정보보호 요구사항 관리운영된 (성과) INPUT OUTPUT PROCESS 점검(Check) 계획 수립 모니터링 및 검토 유지 및 개선 구현 및 운영 실행(do) 개선Act) ISMS구축을 일련의 프로세스로 간주하여 각각의 프로세스를 프로세스 접근방법에 따라 명확화하고, 상호관계를 파악하여 시스템화하여 운영 관리하는 접근방법
2. 정보보호 관리 체계 1. 정보보호 관리체계(ISMS) 프레임워크 명확히 하고 상호 연계와 프로세스를 시스템으로서 조직내에 적용하여 운영 관리하는 것 Plan-계획 (ISMS 구축) 조직의 전반적인 비즈니스와 연계하여 정보보호 정책, 목적, 프로세스 등 수립 Do-실행 (ISMS 도입 및 운영) 정보보호 정책, 관리방안, 프로세스 등 도입 및 운영 Check-점검 (ISMS 모니터링 및 검토) 정보보호 정책, 목적 및 실제경험에 비추어 본 프로세스의 성과평가 및 그 결과검토를 위한 경영진에 대한 보고 Act-개선 (ISMS 유지 및 개선) ISMS의 지속적인 개선을 위한 ISMS의 내부감사 및 관리검토 결과 또는 시정조치 및 예방조치 실시
2. 정보보호 관리 체계 1. 정보보호 관리체계(ISMS) 프레임워크 각 프로세스에 대한 목적 및 요구사항을 명확히 이해 프로세스를 위한 입력과 출력 규정 프로세스별로 범위를 정의하고 고객의 요구사항을 규정 프로세스 책임자 규정 프로세스 네트워크의 전반적인 흐름과 구성도 전개 프로세스간 상호작용 규정 의도되거나 그렇지 않은 결과의 특성지정 기준에 대한 측정, 모니터링과 분석을 위한 방법 지정 경제적 문제 고려 (비용,시간,손실 등) 자료 수집을 위한 방법 규정 각 프로세스를 위한 자원분배 의사소통 경로 수립 대내외의 정보제공 피드백 수용 자료 수집 기록 유지 PLAN DO ACT CHECK 정확한 프로세스의 측정과 그 이행을 모니터링 수집된 정보 분석(정량적, 정성적) 분석 결과 평가 시정 및 예방 조치 실행 시정 및 예방 조치의 유효성과 이행에 대한 검증
2. 정보보호 관리 체계 1. 정보보호 관리체계(ISMS) 프레임워크 ISMS PDCA 모델 정보보호 정책 수립 및 범위설정 계획(Plan) 경영진 책임 및 조직 구성 위험관리 구현 실행(Do) 사후관리 점검(Check) 개선(Act)
2. 정보보호 관리 체계 1. 정보보호 관리체계(ISMS) 프레임워크 정보보호관리 생명주기 정보보호 정책수립 및 범위설정 경영진참여 및 조직구성 구 현 사후관리 위험관리 정보보호정책의 수립, 관리체계 수립·운영을 위한 관리 범위 설정 및 정보자산의 현황조사 관리체계의 재검토, 모니터링 및 개선, 내부감사 활동의 적절성 정보보호대책의 구현 및 정보보호 교육·훈련의 효과성 경영진 책임 조직의 구성·운영, 책임성의 명확한 설정
3. ISMS 프리임워크 특징 ISMS 기준은 조직이 ISMS를 수립, 운영, 모니터링 및 검토, 유지 및 개선을 위한 PDCA 모델을 제시 인증기준은 조직의 정보보호를 관리하기 때문에 많은 활동을 명확히 한 Process Approach 방식을 도입 프로세스의 상호관계를 파악하여 일련의 프로세스를 시스템으로 적용하여 운용ㆍ관리 조직의 정보보호 요구사항을 이해하고 정보보호 정책 및 목적을 수립할 필요성 이해 조직의 사업 위험 전반에 대해 고려하여 정보보호 위험을 운영ㆍ 관리하기 위한 관리 방법을 도입ㆍ운영 ISMS의 성과 및 유효성을 모니터링하고 검토 객관적인 평가를 통해 지속적인 개선
정보보호심사원 양성교육교재 정보보호관리체계 ISMS ( ) 4. 정보보호 관리체계 인증 모델 ( ) 양성교육교재 4. 정보보호 관리체계 인증 모델 ISMS 인증기준(미래부고시, TTA 표준) IT재해홉구 정보보호 교육 정보자산 분류 정보보호 조직 정보보호 정책 외부자 보안 인적 보안 물리적 보안 시스템 개발 보안 암호 통제 접근통제 운영보안 보안사고 관리 1. 정보보호관리과정[5단계, 12개 통제사항] 3. 정보보호대책[15개 분야, 120개 통제사항] 정보보호 관리체계 LIFE CYCLE 정보보호정책 수립 및 범위설정 경영진 책임 및 조직 구성 정보보호대책 구현 위험관리 사후관리
정보보호심사원 양성교육교재 정보보호관리체계 ISMS ( ) 4. 정보보호 관리체계 인증 모델 ( ) 양성교육교재 4. 정보보호 관리체계 인증 모델 정보보호 관리과정 요구사항(5단계, 12개 통제사항) 1.1 정보보호정책의 수립 1.2 범위 설정 5.1 법적 요구사항 준수검토 5.1 정보보호관리체계의 재검토 5.2 정보보호관리체계 운영현황 관리 5.2 모니터링 및 개선 2.1 경영진 참여 2.2 정보보호조직 구성 및 자원 할당 1.정보보호 정책 수립 및 범위설정 5.3 내부감사 5.3 내부감사 4.정보보호대책 구현 5.사후 관리 2.경영진 책임 및 조직 구성 3.위험 관리 4.1 정보보호대책의 효과적 구현 4.2 정보보호 교육 및 훈련 4.1 정보보호대책의 효과적 구현 4.2 내부 공유 및 교육 3.1 위험관리방법 및 계획 수립 3.2 위험 식별 및 평가 3.3 정보보호대책 선정 및 이행계획 수립
정보보호심사원 양성교육교재 정보보호관리체계 ISMS ( ) 4. 정보보호 관리체계 인증 모델 ①정보보호정책 수립 및 범위설정 ( ) 양성교육교재 4. 정보보호 관리체계 인증 모델 ①정보보호정책 수립 및 범위설정 ②경영진 책임 및 조직구성 ③위험관리 ④정보보호대책 구현 ⑤사후관리 ①정보보호정책의 수립 ③경영진 참여 ⑤위험관리 방법 및 계획 수립 ⑧정보보호대책의 효과적 구현 ⑩법적요구 사항 준수검토 ②범위설정 ④정보보호 조직 구성 및 자원 할당 ⑥위험식별 및 평가 ⑨내부 공유 및 교육 ⑪ISMS운영 현황 관리 ⑦정보보호 대책 선정 및 이행계획 수립 ⑫내부감사
2. 정보보호 관리 체계 4. 정보보호 관리체계 인증 모델 정보보호관리체계 인증 기준 정보보호 관리과정 정보보호 대책 통제분야 (고시, TTA표준) 정보보호 관리과정 (5단계, 12개 통제사항) 정보보호 대책 (13분야, 92개 통제사항) 정보보호 정책 및 범위 설정 경영진 책임 및 조직 구성 위험관리 정보보호대책 구현 사후관리 정보보호 정책 정보보호 조직 외부자 보안 정보자산 분류 정보보호 교육 인적 보안 물리적 보안 시스템개발 보안 암호 통제 접근 통제 운영 보안 침해사고 관리 IT재해복구 통제분야 통제사항 수 세부 통제사항 수 정보보호 관리과정 12 28 정보보호 대책 92 225 소계 104 253
ISMS 관리과정 5단계 관리과정 요구사항 관련문서 정보보호정책 수립및 범위설정 조직전반에 걸친 상위 수준의 정보보호정책 수립 정보보호 관리체계 범위 설정 정보보호정책서 정보보호 관리체계 범위서 정보자산목록(정보통신설비목록) 네트워크 및 시스템 구성도 경영진 책임 및 조직구성 정보보호를 수행하기 위한 조직 내 각 부문의 책임 설정 경영진 참여 가능하도록 보고 및 의사결정 체계 구축 정보보호조직도 위험관리 위험관리 방법 및 계획 수립 위험 식별 및 위험도 평가 정보보호 대책 선정 구현 계획 수립 위험관리 지침서 (00년)위험관리 계획서 위험분석ㆍ평가보고서 정보보호 대책구현 정보보호 대책 구현 및 이행확인 내부공유 및 교육 정보보호대책 명세서 정보보호 계획서 정보보호계획 이행결과 보고서 사후관리 법적 요구사항 준수 검토 정보보호관리체계 운영 현황관리 정기적인 내부감사를 통해 정책 준수 확인 정보보호관리체계 내부감사보고서 정보보호관리체계 운영현황표
2. 정보보호 관리 체계 12. 유사 정보보호 관리체계 비교 국내외 주요 정보보호 관리체계 현황 국내외 주요 정보보호 관리체계 현황 국내는 ISMS, G-ISMS, PIMS 인증 제도와 국제 표준 ISO27001 상존 ISMS (정보보호 관리체계) [2013년 개정] - 2001년 BS779를 기반으로 국내 환경(민간 기업/조직)에 맞게 개발(국내 표준) G-ISMS (전자정부 정보보호 관리체계) [2014년 ISMS와 통합] - 전자정부 대민 서비스의 안전성 제고를 위하여 행정기관 특성에 맞도록 개발 PIMS (개인정보보호 관리체계) [2013년 법적 근거 마련, 국제표준으로 추진중] - ISMS, G-ISMS 기반으로 개인정보의 생명주기에 따라 보호조치 등 개발 ISO/IEC 27001[2013년 개정] [국내는 해외 인증과 국내 인증으로 이원화] - 영국의 BS7799, 한국 ISMS를 기반으로 2006년 IS0/IEC 국제 표준 규격 FISMA - 미 연방정부의 정보시스템 보호 및 보안관리 강화를 위한 정보보호 관리체계