정보보안 - 정보보안/정보보호 인증 - ISMS

* 기밀성, 무결성, 가용성 실현 조직의 절차와 대응 종합체계

* 관리과정, 문서화, 정보보호대책

* 관리과정: 정책수립, 범위설정, 책임 및 조직, 위험관리, 정보보호대책구현, 사후관리

* 인증기준: 정책, 조직, 외부자보안, 자산분류, 교육훈련, 인적, 물리, 개발, 접근통제, 운영관리, 침해사고, IT재해복구

구성

정보보호관리과정( 5개단계 12개 통제사항)

정보보호대책 (13개 통제분야 92개 통제사항)

 

총 104개 통제사항 

 

인증 추진 체계

 

 

* 인증 의무대상자  

1. 기간통신사업 허가를 받은 자로서 정보통신망 서비스 제공지역이 ‘서울특별시 및 모든 광역시’인 사업자

2. 집적정보통신시설 사업자(IDC)  

- 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자  

- 집적정보통신시설 일부를 임대하여 집적된 정보통신시설 사업을 하는 자는 ‘연간 매출액 또는 이용자수’ 기준 적용  

3. 정보통신서비스부문 전년도 매출액 100억 이상 또는 전년도말 기준 3개월간 일일평균 이용자 수 100만 명 이상인 정보통신서비스 제공자

 

제21조 개인정보보호 및 정보보안에 따르면

대학은

▲개인정보 보호 지침 마련·운영

▲교육정보시스템을 통해 관리되는 교육자료·정보와 각종 데이터베이스 등의 구축·운영 때 개인정보 보호 및 유해정보 차단 등 정보보안 대책 수립·시행

▲주요 정보통신기반시설로 지정된 교육정보시스템 취약점 분석·평가

▲정보 유출, 위변조 등의 예방, 백업·복구 등 물리적·기술적 보안방안을 포함한 관리대책을 시행해야 한다.

또한, 이 법안에는 교육정보보호 관리체계를 인증하도록 돼 있다.

 

그동안 중복논란을 빚어 온 ISMS(정보보호관리체계)와 PIMS(개인정보보호 관리체계) 통합방안이 연말 마무리돼 이르면 내년부터 기업과 기관들이 일원화된 국가 공인 보안인증을 받게 된다.  

 

ISMS와 PIMS는 정부 보안인증제도로, 과기정통부와 방통위가 각각 운영해 왔다. ISMS와 PIMS 모두 정보통신망법에 따라 조직의 정보보호 관리체계와 개인정보보호를 평가해 적합성에 따른 인정서를 부여한다. ISMS가 일정 기준 조직에 대한 필수인증이라면 PIMS는 자율인증이다. ISMS는 정보보호라는 거시적 관점에서 심사한다면 PIMS는 개인정보보호 조치가 얼마나 적절한지에 초점을 맞춘다.

 

그러나 두 제도가 상당 부분 중복되다 보니 기업들의 부담이 크다는 문제가 지속적으로 불거졌다. ISMS, PIMS의 심사항목 중 74%가 유사·중복인데도 불구하고 두 기관이 각각 인증심사원을 양성하면서 예산낭비가 크다는 지적도 제기돼 왔다. 

 

방통위 관계자는 "현재 두 제도를 통합하는 방향으로 과기정통부와의 논의가 마무리 단계"라며 "PIMS 인증 기업의 기준 조정 문제나 고시 개정 등 일정을 감안할 경우 이르면 내년, 늦어도 2019년 통합 인증체계가 시작될 것"이라고 말했다. 과기정통부 관계자는 "기존 PIMS 인증 대상 기업들의 기준을 어떻게 둘지에 대한 협의가 아직 남아있지만, 정보보안 강화라는 전체적 관점에서 방통위와 충분한 공감대를 이뤘다"고 말했다.  

(http://www.dt.co.kr/contents.html?article_no=2017120402100351041001)

 

 

정보통신망의 안전성 확보를 위하여 수립•운영하고 있는 기술적•물리적 보호조치 등 종합적인 관리체계에 대한 인증제도

기업이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립, 관리, 운영하는 종합적인 체계

 

정보통신망 47조에 근거를 두고 있음.

 

정보보안과 개인정보보호 제도간 연계성 강화 및 기업부담 완화 기대

 

◇통합 인증 ISMS-P란

 

통합에 따라 기업은 80개 보안 항목을 기본으로 'ISMS 인증'을 받는다. 여기에 추가 신청해서 20개 개인 정보 보호 항목까지 인증 받으면 'ISMS-P(가칭)' 인증이 된다. 본래 ISMS 의무화 기업은 80개 항목만 받으면 된다. 개인 정보 보호까지 더욱 강화된 인증을 받고 싶은 기업은 20개를 추가해서 ISMS-P를 받는다.

(http://www.etnews.com/20180117000201)

 

국제표준화 흐름과 반대로 가고 있다는 의견과 인증심사 범위, 심사원 비용 문제 등

기업, 통합 좋지만 혜택 없는 ISMS 의무화는 ‘별로’

인증심사원, 처우와 시스템 등에 있어 ‘불만’

인증 통합, 장기적 차원에서 글로벌 표준화 추세 반영해야

GDPR로 인해 글로벌 PIMS 인증이 나타날 가능성이 크므로 장기적인 차원에서 글로벌 비즈니스와 개인정보보호 분야 국제적 환경을 고려해야 한다

(http://www.boannews.com/media/view.asp?idx=66146)

 

 

http://blog.lgcns.com/1550