정보보호 관리 체계(Information Security Management System)

문제3) 정보보호 관리 체계(Information Security Management System)

 

답)

 

 

1. 정보보호 및 개인정보보호 관련 컴플라이언스, 정보보호 관리체계의 개념

가. 정보보호 관리체계(Information Security Management System) 의 개념

 

개념	정보보호관리에 대한 표준적 모델 및 기준을 제시하여 기업의 정보보호관리체계 수립·운영을 촉진하고 기업의 정보보호를 위한 일련의 활동등이 객관적인 인증 심사 기준에 적합한지를 인증하는 제도
개별적으로 운영되던 과학기술부정통부 소관의 '정보보호 관리체계 인증제도(ISMS)'와 방송통신위원회, 행정안전부 소관의 '개인정보보호 관리체계 인증제도(PIMS)'를 통합하여 인증 제도를 일원화하여 ISMS-P로 변경

 

나. 정보보호 관리체계(Information Security Management System) 의 인증 영역과 법적 근거

구분	통합인증	인증심사분야
ISMS	1.관리체계 수립 및 운영	1.1 관리체계 기반 마련	1.2 위험 관리
		1.3 관리체계 운영	1.4 관리체계 점검 및 개선
	2.보호대책 요구사항	2.1 정책, 조직, 자산관리	2.2 인적 보안
		2.3 외부자 보안	2.4 물리 보안
		2.5 인증 및 권한 관리	2.6 접근 통제
		2.7 암호화 적용	2.8 정보시스템 도입 및 개발 보안
		2.9 시스템 및 서비스 운영 관리	2.10 시스템 및 서비스 보안관리
		2.11 사고 예방 및 대응	2.12 재해복구
	3. 개인정보 처리 단계별 요구 사항	3.1 개인정보 수집 시 보호조치	3.2 개인정보 보유 및 이용 시 보호조치
		3.3 개인정보 제공 시 보호조치	3.4 개인정보 파기 시 보호조치
		3.5 정보주체 권리보호
법적 근거

 

2. 정보보호 관리체계(Information Security Management System) 관리 과정

관리 과정	1단계	2단계	3단계	4단계	5단계
	정보보호 정책수립	정보보호관리 체계범위설정	위험관리	구현	사후관리
수행 내용	정보보호정책수립 조직 및 책임의 설정	정보보호관리체계 범위 설정 정보자산의 식별	위험관리 전략 및 계획 수립 위험 분석 위험 평가 정보보호대책 선정 정보보호계획 수립	정보보호 대책 구현 정보보호교육 훈련	정보보호관리체계 재검토 정보보호관리체계 모니터링 개선 내부감사

 

3. 정보보호 관리체계(Information Security Management System) 세부 관리 과정

관리 과정 단계	관리 과정 수행 내용	설명
정보보호정책 수립	정보보호정책 수립	경영목표 지원하는 법적, 규제적 요건 전략적 정보보호정책 관리과정 5단계를 통해 지속적 검토 및 개선
	조직 수립	조직 규모와 정보자산에 맞는 인원수 및 예산 배정 조직원에 대한 책임 및 권한 문서화
정보보호관리 체계 범위설정	범위 설정	수행 기관의 기술, 정보, 위치 등에 대한 범위 설정 제외 범위에 대한 타당성 확보
	정보자산 식별	모든 정보자산을 식별하여 목록화
위험관리	조직의 재산 안전성 확보	위험에 대해 위험관리전략 및 계획수립 → 위험분석 → 위험평가 → 정보보호대책 수립 → 정보보호계획 수립의 위험 관리
	수용, 감소, 회피, 전가	수용가능 위험(Degree of Assurance) 결정
구현	정보보호대책 구현	품질관리, 변경관리, 보고관리
	정보보호교육 및 훈련	교육 및 훈련 프로그램 이행 정보보호 인식 제고
사후관리	정보보호관리체계 재검토	변화요인과 목표, 효율성과 범위 적절성, 잔류 위험 수준과 절차에 대해 지속적 목표 수준 확인
	내부 감사	기준과 방법을 수립 후 일정 주기별로 내부 감사 수행

 

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥