ISMS 인증, 안전진단제도...

장 상 수

한국정보보호진흥원 기반보호팀장

ISMS 인증, 안전진단 제도추진현황 및 개선방향

목 차

ISMS 인증 제도 추진현황 및 개선방향I

안전진단 제도 추진현황 및 개선방향II

맺음말III

제도 개요제도 개요

기업의 정보보호 수준 제고를 위해 국내 보안관리 모델을 보급하여 관리,기술,물리적 보호조치를 종합한 체계적인 방법으로 보안관리체계를수립할 수 있도록함- 정보통신망의 안정성 및 정보의 신뢰성 확보

인증체계 : 인증기관(KISA), 인증위원회(10명), 인증심사원(111명)

인증심사기준 : 관리과정(14개), 문서화(3개), 정보보호대책(120개)

대상자 : 통신, 금융, 교육, 의료 등 정보보호관리체계를 수립 운영하는

모는 조직

인증유효기간 : 3년

법적 근거법적 근거

정보통신망이용촉진및정보보호등에관한 법률 제47조

- 동법 시행령 및 시행규칙

정보보호관리체계 인증심사기준 정통부 고시(2002.5)

정보보호관리체계 인증업무지침(2002.5)

ISMS 인증 제도 추진현황 및 개선방향I

안전진단안전진단정보보호관리체계란? ISMS 인증ISMS 인증

조직의 주요 정보자산을 보호하기 위해 정보보호관리 절차와 과정을

체계적으로 수립하여 지속적으로 관리 · 운영하기 위한 종합적인 체계

조직적조직적통제통제

관리적관리적 통제통제

운영적운영적 통제통제 기술적기술적 통제통제산발적

대응체계적대응

<정보보호관리체계>

<법적 정의: 정보통신망이용촉진및정보보호등에관한법률 제 47조>

-정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위하여 수립, 운영하고 있는

기술적, 물리적 보호조치를 포함한 종합적 관리체계

※ ISMS : Information Security Management System

ISMS 추진 현황ISMS 인증ISMS 인증

안전진단안전진단ISMS 인증ISMS 인증

‘02 ‘03 ‘04 ‘05 ‘06 합계

1 6 18 9 4 38

인증서 발급현황(2006년 12월 현재)인증서 발급현황(2006년 12월 현재)

2002년 : 에이쓰리시큐리티컨설팅

2003년 : 농협중앙회, SK텔레콤, STG시큐리티, 인젠, 인포섹, 시큐어소프트

2004년 : KTF(K-merce쇼핑, 보안관제체계), KT IDC(12개 사업장),

법원행정처, 한국과학기술정보연구원

2005년 : 중소기업은행, KTF(보안시스템운영), 시큐아이닷컴, 대한항공,

한진정보통신, 넷시큐어테크놀러지, 상호저축은행중앙회,

한국통신인터넷기술, 안철수연구소

2006년 : 다음커뮤니케이션, 이니텍, 정보통신부 우정사업본부,

씨아이씨코리아

2007년(예상) : 안전진단수행기관 9개, NHN, 의료분야, 원격대학 등

인증서 발급현황 분석인증서 발급현황 분석

현재, 통신사업자, 정보보호업체, IDC 등에 인증서 발급이 집중되어 있음



인증사례로 바라본 인증 효과인증사례로 바라본 인증 효과



업체업체 인증인증 효과효과

NN사사((은행은행)) ISMS 인증을 계기로 정보보호조직 구성의 발판 마련

KK사사(IDC)(IDC)

모든 임직원의 정보보호 마인드의 확연한 변화 및 정보보호

활동을 자체적으로 수행할 수 있는 자생력 확보

고객의 신뢰성 제고 및 기업 이미지 제고

KK사사((통신통신))정보자산에 대한 체계적인 보안관리로 보안사고 최소화

정보보호수준 향상 및 정보보호관리 절차를 정착시킬 수 있는 환경 조성

정보보호정보보호

전문업체전문업체ISMS 컨설팅 방법론 검증으로 고객으로 부터의 신뢰성 향상

HH그룹그룹

ISMS 수립 시작부터 마무리까지 TFT 구성을 통한 자체 수립 통해

자체 보안관리체계 수립 방법 습득

기업 이미지 제고를 통한 매출 증대 및 아웃소싱 업체에 대한 인증 필요성

침해사고시 최고경영진의 책임에 대한 문제 고려(배상금 등)

분야별 ISMS 인식조사 결과(1/2)분야별 ISMS 인식조사 결과(1/2)



설문대상

- 의료기관 : 서울아산병원 등 29개 주요병원 및 의료기관- 중소기업 : 17개 중소기업- 원격대학 : 서울디지털대학 등 10개 원격대학

중소기업

의료기관

ISMS 인식수준

ISMS 인식수준

48%48%

83%

6%

원격대학

100%

88%

ISMS 수립필요성 공감ISMS 수립

필요성 공감ISMS 인증제도

인식 수준ISMS 인증제도

인식 수준ISMS 인증

기대효과 있음ISMS 인증

기대효과 있음정보유출방지수준정보유출방지수준

67%

48%48% 28%28%

84%

53%

62%62%

33%

6%

28%28%

분야별 ISMS 인식조사 결과(2/2)분야별 ISMS 인식조사 결과(2/2)

ISMS 인증ISMS 인증

ISMS 추진 현황 안전진단안전진단ISMS 인증ISMS 인증

ISMS 인증추진이 어려운 이유중소기업

의료기관

경영층의인식부족경영층의인식부족

31%31%

9%29%

원격대학33%

12%

ISMS 구축컨설팅 고비용

ISMS 구축컨설팅 고비용

ISMS 인증제도정보 부족

ISMS 인증제도정보 부족

인증 수수료부담

인증 수수료부담

투자대비 효과미흡

투자대비 효과미흡

33%

28%28%21%21%

8%

12%

10%10%

18%12%

10%10%

35%

분석결과

- 산업기밀정보, 개인정보 유출 방지를 위한 수단으로 낮다고 판단

- ISMS 인증제도에 대한 인식 수준은 대체로 낮은 반면 ISMS 수립의 필요성은 높게 인식

- 인증추진의 어려움으로는 경영층의 인식부족, ISMS 인증제도 정보 부족, ISMS 구축 사전 컨설팅 고비용, 자체적으로 수립의 어려움 등으로 나타남

인증심사원 현황(총111명)인증심사원 현황(총111명)

2006년 선임심사원 3명, 심사원 5명 신규 위촉

- 선임심사원 자격요건 : 인증심사 3회 이상 심사팀장 수행, 총 심사일수 15일 이상

- 심사원 자격요건 : 인증심사 4회 이상 참여, 총 심사일수 20일 이상

2007년 신규 심사원보 모집 계획(’07.2월 예정)

- 심사원보 자격요건

1. 인증심사원 교육과정 수료 및 시험합격

2. 4년제 대학졸업 및 동등 학력(2년제 대학 + 2년 실무경력)

3. 정보기술 실무경력 5년 이상, 최소 2년 정보보호 실무경력

외부심사원 심사팀장 수행 기회 확대



단위:명 KISA회계,

전산감리금융 대학 공공기관 IT업체 합계

선임심사원 6 6

18

8

6

심사원 1 0 3 0 5 27

심사원보 16 6 2 1 28 61

전문심사원 1 1 3 7 17

RAISS Forum 표준 채택(’06.11)

- 2004년 4월 발족되었으며, 정보보호 표준의 개발, 채택, 적용에 있어서아시아 각 국가의 경험과 지식을 배우고 공유하는 장을 마련하는 것이목적임

- ITU-T, ISO 국제 보안관리 표준화 전문가로 구성- RAISS(Regional Asia Information Security Standards)

ISMS 인증 모델의 국내 TTA 표준 개정(’06.12)- 국내 TTA 표준 제정(’02.12) 및 표준활용도 전체 정보통신표준중에서

5위권 이내(정보보호 컨설팅 방법론 등으로 활용

ISMS 국가간 상호 인정 및 국제 표준화 추진- RAISS 포럼내에서 아시아권 7개국 협의 중- ISMS에 대한 분야별 B/P에 대한 ITU-T, ISO 등 국제 표준화 추진 예정

국내 ISMS 표준화 현황국내 ISMS 표준화 현황



개인정보보호 강화개인정보보호 강화

문제점 및 개선방향

현행현행 문제점문제점 개선방안개선방안

개인정보보호 점검체계 미흡

개인정보 유출 사고등에 노출

개인정보보호관리체계 스킴 개발(ISMS for Privacy)

ISMS 인증ISMS 인증안전진단안전진단ISMS 인증ISMS 인증

ISMS 기준 강화ISMS 기준 강화


-신규 IT 서비스에대한 점검 항목 없음

-규모, 분야에 관계없이 적용

-신규서비스 업체에대한 침해사고 노출

-분야별 적용이 어려움

-신규서비스에 대한보호대책 개발

-분야별 보호대책 개발

제도제도 실효성실효성제고제고


ISMS 인증ISMS 인증 안전진단안전진단

사후관리강화사후관리강화

문제점 및 개선방향(1/4)


-인증 취득 기업에대한 지원 방안 미흡

-매년 사후관리

-침해사고시에 인증에대한 혜택이 없음

-취약점 점검 등실질적인 점검 필요

-침해사고시 책임감면 등 방안 마련

-취약점 점검 등기술적 점검 강화

소규모 업체 지원소규모 업체 지원


높은 수준의ISMS 심사기준

소규모 기업 등이ISMS 구축 어려움

소규모에 적합한 ISMS 기준 개정 검토 및

수립 자동화 도구 개발

사후관리사후관리

강화강화

제도제도

활성화활성화

ISMS 인증이 필요로 하는 분야ISMS 인증이 필요로 하는 분야

산업기밀유출, 개인정보유출로 인한 정보 보호의 중요성이 부각됨에 따라

산업기술, 고객 정보 등 민감한 정보를 다루고 있는 분야

- 학사정보 : 일반대학 및 원격대학, 의료정보 : 주요병원 및 의료기관

- 거래정보 : 주요 쇼핑몰 및 포털, 계좌정보 : 금융기관

- 산업기술 정보 보유 기업 등

* 정보유출시 손해배상 등에서 최고경영진의 책임 부분에 대한 고려

최소한의 보호조치만을 취하고 있는 안전진단대상자가 보다 높은 수준의

보호조치를 하고자 하는 기업

국가 또는 민간기업에 조달 등 입찰에 참가하는 기업

국가기관 또는 기업의 정보시스템 등 주요 정보를 위탁관리운영을 기업

IT 경영평가, 신용평가, 회계감사 등 외부로 부터 평가를 받아야 하는 기업 등



법적 근거법적 근거

정보통신망이용촉진및정보보호등에관한법률제45조(정보통신망의 안정성 확보 등)제46조(정보보호 안전진단)

정보통신망법 시행규칙제5조의2(정보보호 안전진단 방법 및 절차 등) 등

정보보호조치및안전진단방법, 절차, 수수료에관한지침(정통부 고시)

제도 개요제도 개요

정보통신망에 대한 침해사고 예방 목적대상자는 관리적, 기술적, 물리적 정보보호조치를 이행

이행 여부를 안전진단수행기관으로부터 확인 후 정통부에 결과제출

대상자주요정보통신서비스제공자 : 전기통신사업법에 의한 전기통신사업자로서 전국적으로

정보통신망접속서비스를 제공하는 자집적정보통신시설사업자 : 타인의 정보통신서비스제공을 위해 집적된 정보통신시설을

운영, 관리하는 사업자정보통신서비스제공자 : 정보통신서비스부문 매출액이 100억원 이상 또는 전년도 말

기준 3개월간의 일평균 이용자가 100만명 이상인 정보통신서비스제공자

안전진단 제도 추진현황 및 개선방향II

안전진단 추진 현황

정보통신망법 개정(1월) : 정보보호 안전진단 제도 도입하위법령 개정(7월) : 정보보호 안전진단 방법 및 절차, 진단 수수료,

필증 교부, 결과 제출 등관련 고시 및 해설서 공포(10월)

‘05년 안전진단 완료(’04.7.30 ~ ’05.7.29) : 142개 업체 수검 완료‘06년 안전진단 시행 (’05.7.30 ~ ’06.7.29)

정보통신망법 개정(’06. 3월) : 안전진단수행기관 확대(’06. 8)자격요건 : 15인 이상 기술인력, 정보보호컨설팅 수행실적 보유정보보호컨설팅전문업체 → 안전진단수행기관(18개사)

‘05년 안전진단 완료(’05.7.30 ~ ’06.7.29) : 160개 업체 수검 완료


’06년도 신규 지정 안전진단 수행기관

1

수행기관(18개)수행기관(18개)

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

씨에이에스(CAS)

에이쓰리시큐리티컨설팅

안진회계법인

넷시큐어테크놀러지

안철수연구소

시큐아이닷컴

STG시큐리티

인포섹

한영회계법인

한국전산감리원

안랩코코넛

한국통신인터넷기술

KT

한국IT감리컨설팅

이니텍

인젠시큐리티서비스

인젠

정보보호기술

신규 안전진단수행기관 지정업체는 자료유출 등 보안관리체계 수립 필요- 법 개정 이전에 현재 KISA ISMS 인증을 받도록 하고 있음

안전진단 효과

제도 효과제도 효과


안전진단대상자의정보보호체계 수립(50% 증가)

정책 및 지침 : 55.9% -> 100%보안 패치 : 86.4% -> 100%

2004년(안전진단 이전)

2005년(안전진단 이후)

80%

30%


대상자대상자

ISP, IDC, 쇼핑몰 등 총 160개 모두 수검 완료ISP : 12개IDC : 24개VIDC : 45개쇼핑몰 등 : 79개

※ 면제업체 : 1개(ISMS 인증)

※’05년도 대상자 : 142개

월별 수검 업체수월별 수검 업체수

12개

45개

2006년

2005년

24개

전체전체 IDCIDCISPISP VIDCVIDC

142개142개

13개13개 24개24개39개39개

79개

66개66개

쇼핑몰 등쇼핑몰 등

160개

안전진단 수검 쏠림 현상 발생 : 6월 – 7월에 집중

수행기관 진단인력 부족 등 발생 -> 일정단축, 서면검사 위주 등 문제점 발생

구분 1월 2월 3월 4월 5월 6월 7월 합계

합계 3 1 1 6 16 56 77 160

’06년도 안전진단 결과(1/2)


결과보고서 검토결과결과보고서 검토결과

'06년 결과보고서 검토결과, 총 159개 업체 중 57개 업체가 미흡

양호 : 101개 업체서류보완 : 49개 업체현장확인 : 8개 업체

미흡한 업체에 대해서는 서류보완, 현장확인 등을 통해 사실 확인 예정- 결과보고서 작성 주체(전문업체)와 보고서 제출 주체(수검업체)가 달라 후속 조치 어려움

주요 미흡한 내용

안전진단 대상 설비 및 시설 선정, 검사 대상 설비 선정의 객관성 결여- 진단 대상 설비에 DNS 등 주요 서버, 라우터 등 네트워크 장비, 정보보호시스템 등

주요 설비 누락- 무작위 샘플 방식이나 대상자와 수행업체간에 협의하여 검사대상 선정안전진단 수행 인력의 수행기관 소속 여부 불확실동일한 수행업체가 작성한 업체별 결과보고서의 내용이 대부분 유사보안패치 관리, 정기적 백업 등에 대한 이행 기록 등 보호조치사항 이행과 관련한증빙자료 미흡 등

102개

49개

8개양호

서류보완

현장확인

’06년도 안전진단 결과(2/2)


안전진단 주기안전진단 주기



매년 7월 30일 부터익년 7월 29일 까지

기업의 회계연도와맞지 않아 매년 특정시기 쏠림 현상 반복

기업 회계연도 기간에맞춰 주기 조정

※ 매년 1월1일 – 12월 31일

안전진단 기준 강화안전진단 기준 강화


-신규 IT 서비스에대한 점검 항목 없음

-관리적 중심 점검항목-매년 동일한 기준

-신규서비스, 개인정보취급 업체에 대한 침해사고 노출-형식적인 진단

취약점 점검 등 기술적점검항목 위주의

안전진단 기준 강화

대상자대상자 편의성편의성제고제고



대상자 기준대상자 기준



정보통신서비스부문매출액 `100억원,

일평균이용자수 100만

개인정보를 취급하는대다수업체가포함되지 않음

정보통신서비스부문매출액 및

일평균이용자수하향 조정

수행기관 사후관리수행기관 사후관리


부실진단, 불성실 진단등 수행업체에 대한

제재 방안 미흡

부실진단 우려 안전진단에 대한 책임강화 및 수행기관취소 요건 등 마련



ISMS 인증ISMS 인증 안전진단안전진단문제점 및 개선방향(3/4)

안전진단 절차안전진단 절차


서면, 현장검사를수행기관이

자율적으로 수행

현장검사보다서면검사 위주로 진행,

진단의 질적저하 우려

현장검사 등을 항목별로이행하는 방안

진단진단 품질품질제고제고

컨설팅과 진단 동시수행컨설팅과 진단 동시수행


동일 수행기관이컨설팅과 안전진단을

동시에 수행

안전진단의 객관성ᆞ공정성ᆞ독립성

훼손 우려

동일 수행기관으로부터컨설팅과 안전진단을동시에 받지 못하도록

규정



진단 설비의 중복진단 설비의 중복

문제점 및 개선방향(5/)


동일 종류의 설비에대해서는 일부만을무작위로 점검 가능

매년 동일한 설비를현장검사하여

형식적 안전진단 가능

무작위로 점검하되전년도와 진단 설비와중복되지 않도록 규정


대상 설비 누락대상 설비 누락


안전진단 설비 및 시설선정 기준 제시(고시)

대상업체가 자의적 해석으로 일부 설비에 대해대상 누락 및 검사 회피가능

대상설비 및 시설 선정기준 준수 여부 확인강화


III 맺음말

대상자 관점대상자 관점

최근 개인정보 유출, 산업 기술 정보 유출 등 적극 대응 필요

침해사고 예방을 위하여 ISMS, 안전진단 제도를 최대한 활용

정보보호담당자의 책임에서 최고경영진의 책임 강화로 인식 전환

침해사고 예방을 위하여 실효성 있는 제도 개선

기술적 접근 방식에서 비즈니스 관점으로 접근이 필요

제도 개선 등을 통한 침해사고 예방 제도의 실효성 제고대상자 등 이해당사자간의 협력 체계 마련

보안 시장 확대 논리가 아닌 실직적인 전문 기술 제공

감사, 컨설팅 등 업체 관점감사, 컨설팅 등 업체 관점

정부 관점정부 관점

인증 취득 목적이 아닌 실제 고객 및 산업기밀 정보를 보호하기 위함

<참고> ISMS 인증 및 안전진단 홈페이지

<정보보호 안전진단 홈페이지>

www.kisa.or.kr >>

주요사업 바로가기 >>

정보보호 안전진단 지원

<정보보호관리체계 인증 홈페이지>

www.kisa.or.kr >>

주요사업 바로가기 >>

정보보호관리체계 인증

ISMS 인증, 안전진단제도...

Documents

Transcript of ISMS 인증, 안전진단제도...