K-ISMS 인증기준 - 정보보호관리과정








1. 정보보호정책수립 및 범위설정


1.1 정보보호정책의 수립

조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호정책을 수립하고 동 정책은 국가나 관련 산업에서 정하는 정보보호 관련 법, 규제를 만족하여야 한다.


1.1.1 조직이 수행하는 모든 정보보호 활동의 근거가 될 수 있는 최상위 수준의 정보보호정책이 있는가?

ㅇ 조직이 수행하는 모든 정보보호 활동의 근거가 될 수 있도록 다음과 같은 항목이 포함된 최상위 수준의 정보보호정책을 수립하여야 한다.


- 최고경영자 등 경영진의 정보보호에 대한 의지 및 방향

- 조직의 정보보호 목적, 범위, 책임

- 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거


ㅇ 정보보호 상위 정책을 시행하기 위한 세부적인 수행주체, 방법, 절차 등은 정보보호 지침, 절차, 매뉴얼 등의 형식으로 수립하여야 한다. 


1.1.2 정보보호정책은 조직이 제공하고 있는 사업 등에 관련된 정보보호 관련 법적 요구사항을 반영하여 수립하고 있는가?

ㅇ 제공하는 사업(서비스)에서 조직이 준수해야 하는 정보보호 관련 법적 요구사항을 분석하고 정보보호정책에 반영하여야 한다.


- 정보보호정책에 조직이 준수하여야 하는 법령 및 관련조항을 명시하여야 함


※ 참고 ※ 

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률

- 개인정보보호법

- 신용정보의 이용 및 보호에 관한 법률

- 위치정보보호에 관한 법률

- 전자금융거래법

- 신용정보 이용 및 보호에 대한 법률

- 전자상거래 등에서의 소비자보호에 대한 법률

- 저작권법

- 정보통신 기반보호법

- 산업기술의 유출방지 및 영업비밀보호에 관한 법률

- 부정경쟁방지 및 영업비밀보호에 관한 법률 등



1.2 범위설정

조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 관리체계 범위를 설정하고 범위 내 모든 자산을 식별하여 문서화하여야 한다. 


1.2.1 조직의 사업(서비스)에 영향을 줄 수 있는 핵심자산을 포함하도록 범위를 선정하고 있는가?

ㅇ 정보보호 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유 ∙ 무형의 핵심자산이 누락없이 포함되어야 한다. 


1.2.2 정보보호 관리체계 범위를 설명하기 위하여 다음과 같은 내용이 포함된 문서를 작성하고 있는가?


- 주요 서비스 및 업무 현황

- 서비스 제공과 관련된 조직

- 정보보호 조직, 주요 설비 목록

- 정보시스템 목록 및 네트워크 구성도

- 문서 목록 (예 : 정책, 지침, 매뉴얼, 대책 명세서 등)

- 정보보호 관리체계 수립 방법 및 절차 등

ㅇ 정보보호 관리체계의 범위 내 서비스, 업무, 조직, 정보시스템, 설비 등을 명확하게 정의하여 정보보호 관리체계 범위를 충분하게 설명하여야 한다.


ㅇ 정보보호 관리체계 범위가 특정 영역에만 해당되는 경우, 범위 영역 경계를 식별하여 문서화하고 범위가 일부일 경우 전체사업 대비 해당 범위를 명확하게 식별할 수 있도록 하여야 한다.









2. 경영진 책임 및 조직구성


2.1 경영진 참여

정보보호 관리체계 수립 및 운영 등 조직이 수행하는 정보보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여야 한다.


2.1.1 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?

ㅇ 정보보호 관리체계 수립 및 운영을 위한 정보보호정책의 제 ∙ 개정 승인 및 공표, 위험관리, 내부감사 등과 같은 중요한 사안에 대해 경영진이 참여하여 의사결정을 할 수 있도록 경영진의 책임과 역할을 정보보호정책에 명시하여야 한다.


2.1.2 경영진 또는 경영진의 권한을 위임받은 자가 정보보호 관리체계 내 중요한 활동 내용을 보고 받고 의사결정에 참여하고 있는가?

ㅇ 정보보호 관리체계에서 경영진이 참여하는 중요한 활동을 정의하고 그에 따른 보고체계를 갖추어야 한다.


ㅇ 정보보호 관리체계 내 중요한 활동에 대해 경영진은 직접 또는 권한 위임을 통해 보고를 받고 의사결정에 참여하여야 한다.



2.2 정보보호 조직 구성 및 자원 할당

최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정보보호 관리체계의 지속적인 운영이 가능하도록 정보보호 최고책임자, 실무조직 등 정보보호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행하는데 필요한 자원(예산 및 인력)을 확보하여야 한다. 


2.2.1 조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 관리체계 구축 ∙ 운영 활동을 지속적으로 수행할 수 있는 정보보호 조직(CISO, 실무조직, 정보보호위원회 등)을 구성하고 있는가?

ㅇ 최고경영자는 정보보호 관리체계의 지속적인 운영이 가능하도록 조직의 규모, 업무 중요도 등에 따라 요구되는 정보보호 조직을 구성하여야 한다.


2.2.2 최고경영자는 정보보호 관리체계 구축 ∙ 운영에 소요되는 자원을 평가하여 필요한 예산과 인력을 승인하고 있는가?

ㅇ 최고경영자는 정보보호 관리체계 구축 및 운영을 하는데 필요한 자원을 파악하여 예산 및 인력운영계획을 승인하여야 한다.

ㅇ 예산 및 인력운영에 대해 다음의 사항을 권고할 수 있다.

 - 정보보호 예산은 정보화 예산대비 5%이상, 정보보호 인력은 정보화 투입인력 대비 5% 이상으로 운영

 - IT투자 대비 정보보호 투자 비율, 정보보호 인력 및 조직 등에 관한 사항의 홈페이지 공개









3. 위험관리
 
3.1 위험관리 방법 및 계획 수립
관리적, 기술적, 물리적, 법적 분야 등 조직의 정보보호 전 영역에 대한 위험식별 및 평가가 가능하도록 위험관리 방법을 선정하고 위험관리의 전문성을 보장할 수 있도록 수행인원, 기간, 대상, 방법 등을 구체적으로 포함한 위험관리계획을 사전에 수립하여야 한다.

3.1.1 정보보호 및 개인정보보호를 위한 관리적, 물리적, 기술적, 법적 분야 등 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하여 문서화하고 있는가? 

ㅇ 관리적, 기술적, 물리적, 법적 분야 등 조직 전 영역에 대한 위험식별 및 평가가 가능하도록 각 영역별 특성을 반영한 위험관리 방법을 선정하여야 하며 그 방법과 절차를 지침으로 규정하여야 한다.


※ 참고 ※
- 관리적, 물리적, 법적분야 : 베이스라인 접근법
- 기술적분야 : 상세위험분석 또는 복합접근법

ㅇ 핵심자산에 대한 기술적 위험분석의 경우 상세 위험분석(자산 중요도, 위협, 취약점)을 수행하는 것이 바람직하다. 


3.1.2 매년 위험관리를 수행하기 위하여 전문인력 구성, 기간, 대상, 방법, 예산 등을 구체화한 위험관리계획을 수립 ∙ 이행하고 있는가?

ㅇ 위험관리 방법 및 절차에 따라 매년 위험관리계획을 수립하고 이행하여야 하며 계획에는 다음과 같은 내용을 포함하여야 한다.


- 위험관리 대상 : 정보보호 관리체계 인증범위 내 핵심자산 및 서비스를 누락 없이 포함
- 위험관리 수행인력 : 위험관리 방법, 조직의 업무 및 시스템에 대한 전문성을 갖춘 인력과 관련 부서 실무책임자가 참여 (위험관리 전문가, 정보보호관리자, IT 실무 책임자, 현업부서 실무 책임자 등)
- 위험관리 기간 등 



3.2 위험 식별 및 평가

위험관리 방법 및 계획에 따라 정보보호 전 영역에 대한 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용 가능한 위험수준을 설정하여 관리하여야 한다.


3.2.1 정보보호 관리체계 범위 전 영역에 대한 위험식별 및 평가를 연 1회 이상 수행하고 있는가?

ㅇ 매년 정보보호 관리체계 범위 전체를 대상으로 위험식별과 평가를 수행하여야 하며 기 적용된 정보보호대책의 실효성 검토도 함께 이루어져야 한다.


3.2.2 정보보호 및 개인정보보호 관련 법적 준거성 위험을 식별하고 있는가?

ㅇ 정보보호 및 개인정보 관련 법적 요구사항 준수여부에 대한 위험을 식별하여야 한다.


※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률

- 전자금융거래법

- 개인정보보호법

- 부정경쟁방지 및 영업비밀보호에 관한 법률 등


3.2.3 정보보호 관리체계 통제항목 또는 별도의 기준으로 관리적, 운영적, 물리적 위험을 식별하고 있는가?

ㅇ 관리적, 운영적, 물리적 위험은 정보보호 관리체계 통제항목이 적용되고 있는지 점검하여 통제적용이 이루어지지 않거나 미흡한 경우 위험으로 식별하여야 한다.


3.2.4 정보보호 관리체계 인증범위 내의 정보시스템 자산에 대해 취약점 점검을 통한 기술적 위험을 식별하고 있는가?

ㅇ 기술적 위험은 정보보호 관리체계 범위 내의 정보시스템(서버, 네트워크 장비, 응용 프로그램 등), 정보보호시스템 등에 대한 취약점 점검(점검툴 사용, 체크리스트 사용, 침투시험 등)을 수행하여 발견된 취약점을 위험으로 식별하여야 한다.


3.2.5 식별된 위험에 대한 위험도를 산정하고 있는가?

ㅇ 식별된 위험이 실제 조직에 미치는 영향(잠재적 손실)을 고려하여 위험도를 산정하여야 하며 이를 위하여 위험도 산정기준을 마련하여야 한다.

3.2.6 조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?

ㅇ 식별된 위험과 각 위험도를 검토하여 수용 가능한 목표 위험수준(DoA : Degree of Assurance)을 정한 뒤 이를 초과하는 위험을 식별하여야 한다. 이 수준은 논리적이거나 수리적인 방법을 통해 계산될 필요는 없으나 반드시 정보보호 최고책임자 등 경영진의 의사결정에 의해 설정되어야 한다. 

3.2.7 위험 식별 및 평가 결과를 정보보호 최고책임자 등 경영진이 이해하기 쉽게 작성하여 보고하고 있는가?

ㅇ 식별된 위험에 대한 평가 보고서를 정보보호 최고책임자를 포함한 경영진이 손쉽게 이해할 수 있도록 작성하여 보고하여야 한다. 



3.3 정보보호대책 선정 및 이행계획 수립

위험을 수용 가능한 수준으로 감소시키기 위해 정보보호대책을 선정하고 그 보호대책의 구현 우선순위, 일정, 담당부서 및 담당자 지정, 예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.


3.3.1 식별된 위험에 대한 처리 전략(위험감소, 위험회피, 위험전가, 위험수용 등)을 수립하고 위험처리를 위한 정보보호대책을 선정하고 있는가?

ㅇ 위험 식별 및 평가 결과에 근거하여 정보보호 대책을 선정하고 정보보호 관리체계 인증 기준에서 제시하는 정보보호 대책 통제항목(92개)과의 연계성도 함께 고려하여야 한다.


ㅇ 위험수준 감소를 목표로 위험처리 전략을 수립하는 게 일반적이며 위험회피, 위험전가, 위험수용 등으로 고려할 수 있다.


ㅇ 수용 가능한 위험 수준을 초과하지 않은 위험 중 기업 및 외부 환경에 따라 위험 수준이 상승할 가능성이 높거나 조직이 중요하다고 판단하는 부분에 대해서는 필요시 보호대책 수립을 고려할 수 있다.


ㅇ 특별한 사유(예 : 대책 적용 대상 자산 無)로 인해 위험수용 전략을 선택하는 경우 경영진, 정보보호 관리체계 인증 심사 팀 등 조직 내 ∙ 외부에서 객관적으로 인정하는 경우에 가능하다.


3.3.2 정보보호대책 구현의 우선순위를 정한 후에 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 정보보호대책 이행계획을 수립하고 정보보호 최고책임자 등 경영진의 승인을 받고 있는가?

ㅇ 위험수준의 감소를 위하여 선정한 정보보호대책은 위험처리의 시급성, 예산 할당, 구현에 요구되는 기간에 따라 이행 우선순위를 정하고 계획을 수립하여야 한다. 


ㅇ 정보보호 대책의 효과적인 이행을 위하여 이행계획을 정보보호 최고책임자 등 경영진의 승인을 얻고 이행여부를 확인하기 위한 절차 및 방법도 함께 고려하여야 한다.








4. 정보보호대책 구현


4.1 정보보호대책의 효과적 구현

정보보호대책 이행계획에 따라 보호대책을 구현하고 경영진은 이행결과의 정확성 및 효과성 여부를 확인하여야 한다.


4.1.1 정보보호대책 이행계획에 따라 정보보호대책을 구현하고 그 이행결과를 정보보호 최고책임자 등 경영진에게 보고하고 있는가?

ㅇ 식별된 위험에 대한 위험수준이 감소되었음을 보장하기 위하여 정보보호 최고책임자 등 경영진은 정보보호대책이 이행계획에 따라 빠짐없이 효과적으로 이행되었는 지 여부를 검토 및 확인하여야 한다.


4.1.2 정보보호 관리체계 인증기준 통제항목별(관리과정 및 정보보호 대책 총 104개)로 정보보호대책 구현 및 운영 현황을 기록한 '정보보호 대책명세서'를 작성하고 있는가?

ㅇ '정보보호 대책명세서'는 정보보호 관리체계 인증기준에서 제시하는 통제항목별 운영현황을 확인할 수 있도록 다음과 같은 내용을 포함하여야 한다.


- 통제항목 선정여부(Yes/No) 확인 : 관리과정 12개 통제항목은 필수사항

- 운영 현황

- 관련문서 (정책, 지침 등)

- 기록 (증적자료)

- 통제항목 미선정 시 사유


ㅇ 미선정 통제항목이 있을 경우, 미선정 사유를 명확하게 명시하고 정보보호 최고책임자 등 경영진의 승인을 득하여 부주의 또는 의도적으로 통제항목 선정이 배제되지 않도록 하여야 한다.



4.2 내부 공유 및 교육

구현된 정보보호대책을 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여야 한다.


4.2.1 구현된 정보보호대책 운영 및 시행부서 담당자를 대상으로 관련내용 공유 및 교육을 수행하고 있는가?

ㅇ 정보보호 관리체계를 내재화하기 위하여 다음과 같은 사항으로 정보보호 활동업무에 영향이 발생하는 경우, 관련부서 및 담당자를 파악하여 정보보호대책의 내용을 공유하고 교육을 수행하여야 한다.


- 정책(지침 및 절차 포함) 신규 제정 및 개정

- 정보시스템 신규 도입 및 개선 등 








5. 사후관리


5.1 법적요구사항 준수검토

조직이 준수해야 할 정보보호 관련 법적요구사항을 지속적으로 파악하여 최신성을 유지하고 준수여부를 지속적으로 검토하여야 한다.


5.1.1 조직이 준수해야 하는 개인정보 및 정보보호 관련 법적 요구사항(법규명, 관련 조항, 세부내용 등)의 준수여부를 주기적(최소 연 1회 이상)으로 검토하고 있는가?

ㅇ 정보보호 관리체계 구축 및 운영에 있어서 조직이 준수해야 하는 법령의 관련 조항, 세부 내용을 파악하고 준수여부를 주기적으로 검토할 수 있는 절차를 수립하여야 한다.

(관리과정 1.1 정보보호정책의 수립, 3.2 위험 식별 및 평가 참고)


※ 참고 ※

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률

- 전자금융거래법

- 개인정보보호법

- 부정경쟁방지 및 영업비밀보호에 관한 법률 등


ㅇ 관련 법규의 제 ∙ 개정 현황을 최소 연 1회 이상 검토하여 조직에 미치는 영향을 분석하고 조직의 정책 및 절차에 바로 반영하여 법규 미준수로 인한 과태료 부과 등과 같은 상황이 발생하지 않도록 대응하여야 한다.


5.1.2 조직이 준수해야 할 법적 요구사항은 최신성을 유지하고 있는가?

ㅇ 조직이 준수해야 할 법규가 존재하는 경우 법적 요구사항을 명시한 문서(지침 등), 해당 법규 준거성을 점검하기 위한 체크리스트는 최신 법규 사항을 반영하고 있어야 한다.



5.2 정보보호 관리체계 운영현황 관리

정보보호 관리체계 범위 내에서 주기적 또는 상시적으로 수행해야 하는 활동을 문서화하고 그 운영현황을 지속적으로 관리하여야 한다.


5.2.1 정보보호 관리체계 운영을 위한 정보보호 활동의 수행 주기를 손쉽게 확인할 수 있도록 문서화하고 최신성 여부를 주기적으로 검토하고 있는가?

ㅇ 조직 내 정책, 지침, 절차 등에 규정화 되어 있는 정보보호 관리체계 운영활동을 식별하고 그 운영현황을 확인할 수 있도록 수행 주기, 수행 주체(담당부서, 담당자)를 정의한 문서(운영현황표)를 관리하고 최신성을 유지하여야 한다.



5.3 내부감사

조직은 정보보호 관리체계가 정해진 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는 지를 점검하기 위하여 연 1회 이상 내부감사를 수행하여야 한다. 이를 위해 감사 기준, 범위, 주기, 방법 등을 구체적으로 정하고 내부감사를 통해 발견된 문제점은 보완조치를 완료하여 경영진 및 관련 책임자에게 보고하여야 한다. 또한 감사의 독립성 및 전문성을 확보할 수 있도록 감사인력에 대한 자격요건을 정의하여야 한다.


5.3.1 법적 요구사항 및 수립된 정책에 따라 정보보호 관리체계가 효과적으로 운영되는 지 여부를 검토하기 위한 내부감사를 수행하기 위하여 감사기준, 범위, 주기, 감사인력 자격요건 등을 정의하고 있는가?

ㅇ 법적 요구사항 및 조직 내 수립된 정보보호정책에 따라 정보보호 관리체계 활동이 효과적으로 수행되는 지 여부를 검토하기 위하여 다음과 같은 항목이 정의된 내부감사 지침을 수립하여야 한다.


- 내부감사 기준

- 내부감사 범위

- 내부감사 수행 주기 (예 : 연 1회 이상)

- 감사인력 자격요건 : 감사의 객관성을 확보하기 위해 제3자가 감사를 수행하는 것이 원칙임. 다만, 불가피한 경우 제3자 인력을 포함하여 정보보호조직이 감사를 수행할 수 있음 


5.3.2 내부감사 지침에 따라 연 1회 이상의 내부감사 계획을 수립하여 정보보호 최고책임자 등 경영진에게 보고한 후 계획에 따라 내부감사를 수행하고 있는가?

ㅇ 내부감사 지침에 따라 연 1회 이상 감사가 수행될 수 있도록 연간 계획을 수립한 후 정보보호 최고책임자 등 경영진에게 보고하여 승인을 득한 후 계획에 따라 내부감사를 수행하여야 한다.


5.3.3 내부감사에서 발견된 지적사항에 대해 보완조치 여부를 확인하여 정보보호 최고책임자 등 경영진에 보고하고 있는가?

ㅇ 내부감사 중 지적사항이 발견된 경우 일정 기간 동안 피감사 부서 혹은 담당자가 대책을 마련하여 보완하게끔 한 후 보완조치여부를 확인하여야 한다.


ㅇ 감사결과 보고서에 다음과 같은 내용을 작성하여 정보보호 최고책임자 등 경영진 등에게 보고하여야 한다.


- 일정 및 범위

- 감사 내용 (감사 방법, 검토 문서, 면담자 등)

- 지적사항 및 보완조치 내용 (보완조치 완료 여부, 대책 등 포함) 등


+ Recent posts