K-ISMS 인증기준 - 정보보호관리과정
1. 정보보호정책수립 및 범위설정
1.1 정보보호정책의 수립
조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호정책을 수립하고 동 정책은 국가나 관련 산업에서 정하는 정보보호 관련 법, 규제를 만족하여야 한다.
1.1.1 조직이 수행하는 모든 정보보호 활동의 근거가 될 수 있는 최상위 수준의 정보보호정책이 있는가?
ㅇ 조직이 수행하는 모든 정보보호 활동의 근거가 될 수 있도록 다음과 같은 항목이 포함된 최상위 수준의 정보보호정책을 수립하여야 한다. - 최고경영자 등 경영진의 정보보호에 대한 의지 및 방향 - 조직의 정보보호 목적, 범위, 책임 - 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거 ㅇ 정보보호 상위 정책을 시행하기 위한 세부적인 수행주체, 방법, 절차 등은 정보보호 지침, 절차, 매뉴얼 등의 형식으로 수립하여야 한다. |
1.1.2 정보보호정책은 조직이 제공하고 있는 사업 등에 관련된 정보보호 관련 법적 요구사항을 반영하여 수립하고 있는가?
ㅇ 제공하는 사업(서비스)에서 조직이 준수해야 하는 정보보호 관련 법적 요구사항을 분석하고 정보보호정책에 반영하여야 한다. - 정보보호정책에 조직이 준수하여야 하는 법령 및 관련조항을 명시하여야 함 ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 - 개인정보보호법 - 신용정보의 이용 및 보호에 관한 법률 - 위치정보보호에 관한 법률 - 전자금융거래법 - 신용정보 이용 및 보호에 대한 법률 - 전자상거래 등에서의 소비자보호에 대한 법률 - 저작권법 - 정보통신 기반보호법 - 산업기술의 유출방지 및 영업비밀보호에 관한 법률 - 부정경쟁방지 및 영업비밀보호에 관한 법률 등 |
1.2 범위설정
조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 관리체계 범위를 설정하고 범위 내 모든 자산을 식별하여 문서화하여야 한다.
1.2.1 조직의 사업(서비스)에 영향을 줄 수 있는 핵심자산을 포함하도록 범위를 선정하고 있는가?
ㅇ 정보보호 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유 ∙ 무형의 핵심자산이 누락없이 포함되어야 한다. |
1.2.2 정보보호 관리체계 범위를 설명하기 위하여 다음과 같은 내용이 포함된 문서를 작성하고 있는가?
- 주요 서비스 및 업무 현황
- 서비스 제공과 관련된 조직
- 정보보호 조직, 주요 설비 목록
- 정보시스템 목록 및 네트워크 구성도
- 문서 목록 (예 : 정책, 지침, 매뉴얼, 대책 명세서 등)
- 정보보호 관리체계 수립 방법 및 절차 등
ㅇ 정보보호 관리체계의 범위 내 서비스, 업무, 조직, 정보시스템, 설비 등을 명확하게 정의하여 정보보호 관리체계 범위를 충분하게 설명하여야 한다. ㅇ 정보보호 관리체계 범위가 특정 영역에만 해당되는 경우, 범위 영역 경계를 식별하여 문서화하고 범위가 일부일 경우 전체사업 대비 해당 범위를 명확하게 식별할 수 있도록 하여야 한다. |
2. 경영진 책임 및 조직구성
2.1 경영진 참여
정보보호 관리체계 수립 및 운영 등 조직이 수행하는 정보보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여야 한다.
2.1.1 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?
ㅇ 정보보호 관리체계 수립 및 운영을 위한 정보보호정책의 제 ∙ 개정 승인 및 공표, 위험관리, 내부감사 등과 같은 중요한 사안에 대해 경영진이 참여하여 의사결정을 할 수 있도록 경영진의 책임과 역할을 정보보호정책에 명시하여야 한다. |
2.1.2 경영진 또는 경영진의 권한을 위임받은 자가 정보보호 관리체계 내 중요한 활동 내용을 보고 받고 의사결정에 참여하고 있는가?
ㅇ 정보보호 관리체계에서 경영진이 참여하는 중요한 활동을 정의하고 그에 따른 보고체계를 갖추어야 한다. ㅇ 정보보호 관리체계 내 중요한 활동에 대해 경영진은 직접 또는 권한 위임을 통해 보고를 받고 의사결정에 참여하여야 한다. |
2.2 정보보호 조직 구성 및 자원 할당
최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정보보호 관리체계의 지속적인 운영이 가능하도록 정보보호 최고책임자, 실무조직 등 정보보호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행하는데 필요한 자원(예산 및 인력)을 확보하여야 한다.
2.2.1 조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 관리체계 구축 ∙ 운영 활동을 지속적으로 수행할 수 있는 정보보호 조직(CISO, 실무조직, 정보보호위원회 등)을 구성하고 있는가?
ㅇ 최고경영자는 정보보호 관리체계의 지속적인 운영이 가능하도록 조직의 규모, 업무 중요도 등에 따라 요구되는 정보보호 조직을 구성하여야 한다. |
2.2.2 최고경영자는 정보보호 관리체계 구축 ∙ 운영에 소요되는 자원을 평가하여 필요한 예산과 인력을 승인하고 있는가?
ㅇ 최고경영자는 정보보호 관리체계 구축 및 운영을 하는데 필요한 자원을 파악하여 예산 및 인력운영계획을 승인하여야 한다. ㅇ 예산 및 인력운영에 대해 다음의 사항을 권고할 수 있다. - 정보보호 예산은 정보화 예산대비 5%이상, 정보보호 인력은 정보화 투입인력 대비 5% 이상으로 운영 - IT투자 대비 정보보호 투자 비율, 정보보호 인력 및 조직 등에 관한 사항의 홈페이지 공개 |
ㅇ 관리적, 기술적, 물리적, 법적 분야 등 조직 전 영역에 대한 위험식별 및 평가가 가능하도록 각 영역별 특성을 반영한 위험관리 방법을 선정하여야 하며 그 방법과 절차를 지침으로 규정하여야 한다. ※ 참고 ※ - 관리적, 물리적, 법적분야 : 베이스라인 접근법 - 기술적분야 : 상세위험분석 또는 복합접근법 ㅇ 핵심자산에 대한 기술적 위험분석의 경우 상세 위험분석(자산 중요도, 위협, 취약점)을 수행하는 것이 바람직하다. |
ㅇ 위험관리 방법 및 절차에 따라 매년 위험관리계획을 수립하고 이행하여야 하며 계획에는 다음과 같은 내용을 포함하여야 한다. - 위험관리 대상 : 정보보호 관리체계 인증범위 내 핵심자산 및 서비스를 누락 없이 포함 - 위험관리 수행인력 : 위험관리 방법, 조직의 업무 및 시스템에 대한 전문성을 갖춘 인력과 관련 부서 실무책임자가 참여 (위험관리 전문가, 정보보호관리자, IT 실무 책임자, 현업부서 실무 책임자 등) - 위험관리 기간 등 |
3.2 위험 식별 및 평가
위험관리 방법 및 계획에 따라 정보보호 전 영역에 대한 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용 가능한 위험수준을 설정하여 관리하여야 한다.
3.2.1 정보보호 관리체계 범위 전 영역에 대한 위험식별 및 평가를 연 1회 이상 수행하고 있는가?
ㅇ 매년 정보보호 관리체계 범위 전체를 대상으로 위험식별과 평가를 수행하여야 하며 기 적용된 정보보호대책의 실효성 검토도 함께 이루어져야 한다. |
3.2.2 정보보호 및 개인정보보호 관련 법적 준거성 위험을 식별하고 있는가?
ㅇ 정보보호 및 개인정보 관련 법적 요구사항 준수여부에 대한 위험을 식별하여야 한다. ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 - 전자금융거래법 - 개인정보보호법 - 부정경쟁방지 및 영업비밀보호에 관한 법률 등 |
3.2.3 정보보호 관리체계 통제항목 또는 별도의 기준으로 관리적, 운영적, 물리적 위험을 식별하고 있는가?
ㅇ 관리적, 운영적, 물리적 위험은 정보보호 관리체계 통제항목이 적용되고 있는지 점검하여 통제적용이 이루어지지 않거나 미흡한 경우 위험으로 식별하여야 한다. |
3.2.4 정보보호 관리체계 인증범위 내의 정보시스템 자산에 대해 취약점 점검을 통한 기술적 위험을 식별하고 있는가?
ㅇ 기술적 위험은 정보보호 관리체계 범위 내의 정보시스템(서버, 네트워크 장비, 응용 프로그램 등), 정보보호시스템 등에 대한 취약점 점검(점검툴 사용, 체크리스트 사용, 침투시험 등)을 수행하여 발견된 취약점을 위험으로 식별하여야 한다. |
3.2.5 식별된 위험에 대한 위험도를 산정하고 있는가?
ㅇ 식별된 위험이 실제 조직에 미치는 영향(잠재적 손실)을 고려하여 위험도를 산정하여야 하며 이를 위하여 위험도 산정기준을 마련하여야 한다. |
3.2.6 조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?
ㅇ 식별된 위험과 각 위험도를 검토하여 수용 가능한 목표 위험수준(DoA : Degree of Assurance)을 정한 뒤 이를 초과하는 위험을 식별하여야 한다. 이 수준은 논리적이거나 수리적인 방법을 통해 계산될 필요는 없으나 반드시 정보보호 최고책임자 등 경영진의 의사결정에 의해 설정되어야 한다. |
3.2.7 위험 식별 및 평가 결과를 정보보호 최고책임자 등 경영진이 이해하기 쉽게 작성하여 보고하고 있는가?
ㅇ 식별된 위험에 대한 평가 보고서를 정보보호 최고책임자를 포함한 경영진이 손쉽게 이해할 수 있도록 작성하여 보고하여야 한다. |
3.3 정보보호대책 선정 및 이행계획 수립
위험을 수용 가능한 수준으로 감소시키기 위해 정보보호대책을 선정하고 그 보호대책의 구현 우선순위, 일정, 담당부서 및 담당자 지정, 예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.
3.3.1 식별된 위험에 대한 처리 전략(위험감소, 위험회피, 위험전가, 위험수용 등)을 수립하고 위험처리를 위한 정보보호대책을 선정하고 있는가?
ㅇ 위험 식별 및 평가 결과에 근거하여 정보보호 대책을 선정하고 정보보호 관리체계 인증 기준에서 제시하는 정보보호 대책 통제항목(92개)과의 연계성도 함께 고려하여야 한다. ㅇ 위험수준 감소를 목표로 위험처리 전략을 수립하는 게 일반적이며 위험회피, 위험전가, 위험수용 등으로 고려할 수 있다. ㅇ 수용 가능한 위험 수준을 초과하지 않은 위험 중 기업 및 외부 환경에 따라 위험 수준이 상승할 가능성이 높거나 조직이 중요하다고 판단하는 부분에 대해서는 필요시 보호대책 수립을 고려할 수 있다. ㅇ 특별한 사유(예 : 대책 적용 대상 자산 無)로 인해 위험수용 전략을 선택하는 경우 경영진, 정보보호 관리체계 인증 심사 팀 등 조직 내 ∙ 외부에서 객관적으로 인정하는 경우에 가능하다. |
3.3.2 정보보호대책 구현의 우선순위를 정한 후에 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 정보보호대책 이행계획을 수립하고 정보보호 최고책임자 등 경영진의 승인을 받고 있는가?
ㅇ 위험수준의 감소를 위하여 선정한 정보보호대책은 위험처리의 시급성, 예산 할당, 구현에 요구되는 기간에 따라 이행 우선순위를 정하고 계획을 수립하여야 한다. ㅇ 정보보호 대책의 효과적인 이행을 위하여 이행계획을 정보보호 최고책임자 등 경영진의 승인을 얻고 이행여부를 확인하기 위한 절차 및 방법도 함께 고려하여야 한다. |
4. 정보보호대책 구현
4.1 정보보호대책의 효과적 구현
정보보호대책 이행계획에 따라 보호대책을 구현하고 경영진은 이행결과의 정확성 및 효과성 여부를 확인하여야 한다.
4.1.1 정보보호대책 이행계획에 따라 정보보호대책을 구현하고 그 이행결과를 정보보호 최고책임자 등 경영진에게 보고하고 있는가?
ㅇ 식별된 위험에 대한 위험수준이 감소되었음을 보장하기 위하여 정보보호 최고책임자 등 경영진은 정보보호대책이 이행계획에 따라 빠짐없이 효과적으로 이행되었는 지 여부를 검토 및 확인하여야 한다. |
4.1.2 정보보호 관리체계 인증기준 통제항목별(관리과정 및 정보보호 대책 총 104개)로 정보보호대책 구현 및 운영 현황을 기록한 '정보보호 대책명세서'를 작성하고 있는가?
ㅇ '정보보호 대책명세서'는 정보보호 관리체계 인증기준에서 제시하는 통제항목별 운영현황을 확인할 수 있도록 다음과 같은 내용을 포함하여야 한다. - 통제항목 선정여부(Yes/No) 확인 : 관리과정 12개 통제항목은 필수사항 - 운영 현황 - 관련문서 (정책, 지침 등) - 기록 (증적자료) - 통제항목 미선정 시 사유 ㅇ 미선정 통제항목이 있을 경우, 미선정 사유를 명확하게 명시하고 정보보호 최고책임자 등 경영진의 승인을 득하여 부주의 또는 의도적으로 통제항목 선정이 배제되지 않도록 하여야 한다. |
4.2 내부 공유 및 교육
구현된 정보보호대책을 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여야 한다.
4.2.1 구현된 정보보호대책 운영 및 시행부서 담당자를 대상으로 관련내용 공유 및 교육을 수행하고 있는가?
ㅇ 정보보호 관리체계를 내재화하기 위하여 다음과 같은 사항으로 정보보호 활동업무에 영향이 발생하는 경우, 관련부서 및 담당자를 파악하여 정보보호대책의 내용을 공유하고 교육을 수행하여야 한다. - 정책(지침 및 절차 포함) 신규 제정 및 개정 - 정보시스템 신규 도입 및 개선 등 |
5. 사후관리
5.1 법적요구사항 준수검토
조직이 준수해야 할 정보보호 관련 법적요구사항을 지속적으로 파악하여 최신성을 유지하고 준수여부를 지속적으로 검토하여야 한다.
5.1.1 조직이 준수해야 하는 개인정보 및 정보보호 관련 법적 요구사항(법규명, 관련 조항, 세부내용 등)의 준수여부를 주기적(최소 연 1회 이상)으로 검토하고 있는가?
ㅇ 정보보호 관리체계 구축 및 운영에 있어서 조직이 준수해야 하는 법령의 관련 조항, 세부 내용을 파악하고 준수여부를 주기적으로 검토할 수 있는 절차를 수립하여야 한다. (관리과정 1.1 정보보호정책의 수립, 3.2 위험 식별 및 평가 참고) ※ 참고 ※ - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 - 전자금융거래법 - 개인정보보호법 - 부정경쟁방지 및 영업비밀보호에 관한 법률 등 ㅇ 관련 법규의 제 ∙ 개정 현황을 최소 연 1회 이상 검토하여 조직에 미치는 영향을 분석하고 조직의 정책 및 절차에 바로 반영하여 법규 미준수로 인한 과태료 부과 등과 같은 상황이 발생하지 않도록 대응하여야 한다. |
5.1.2 조직이 준수해야 할 법적 요구사항은 최신성을 유지하고 있는가?
ㅇ 조직이 준수해야 할 법규가 존재하는 경우 법적 요구사항을 명시한 문서(지침 등), 해당 법규 준거성을 점검하기 위한 체크리스트는 최신 법규 사항을 반영하고 있어야 한다. |
5.2 정보보호 관리체계 운영현황 관리
정보보호 관리체계 범위 내에서 주기적 또는 상시적으로 수행해야 하는 활동을 문서화하고 그 운영현황을 지속적으로 관리하여야 한다.
5.2.1 정보보호 관리체계 운영을 위한 정보보호 활동의 수행 주기를 손쉽게 확인할 수 있도록 문서화하고 최신성 여부를 주기적으로 검토하고 있는가?
ㅇ 조직 내 정책, 지침, 절차 등에 규정화 되어 있는 정보보호 관리체계 운영활동을 식별하고 그 운영현황을 확인할 수 있도록 수행 주기, 수행 주체(담당부서, 담당자)를 정의한 문서(운영현황표)를 관리하고 최신성을 유지하여야 한다. |
5.3 내부감사
조직은 정보보호 관리체계가 정해진 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는 지를 점검하기 위하여 연 1회 이상 내부감사를 수행하여야 한다. 이를 위해 감사 기준, 범위, 주기, 방법 등을 구체적으로 정하고 내부감사를 통해 발견된 문제점은 보완조치를 완료하여 경영진 및 관련 책임자에게 보고하여야 한다. 또한 감사의 독립성 및 전문성을 확보할 수 있도록 감사인력에 대한 자격요건을 정의하여야 한다.
5.3.1 법적 요구사항 및 수립된 정책에 따라 정보보호 관리체계가 효과적으로 운영되는 지 여부를 검토하기 위한 내부감사를 수행하기 위하여 감사기준, 범위, 주기, 감사인력 자격요건 등을 정의하고 있는가?
ㅇ 법적 요구사항 및 조직 내 수립된 정보보호정책에 따라 정보보호 관리체계 활동이 효과적으로 수행되는 지 여부를 검토하기 위하여 다음과 같은 항목이 정의된 내부감사 지침을 수립하여야 한다. - 내부감사 기준 - 내부감사 범위 - 내부감사 수행 주기 (예 : 연 1회 이상) - 감사인력 자격요건 : 감사의 객관성을 확보하기 위해 제3자가 감사를 수행하는 것이 원칙임. 다만, 불가피한 경우 제3자 인력을 포함하여 정보보호조직이 감사를 수행할 수 있음 |
5.3.2 내부감사 지침에 따라 연 1회 이상의 내부감사 계획을 수립하여 정보보호 최고책임자 등 경영진에게 보고한 후 계획에 따라 내부감사를 수행하고 있는가?
ㅇ 내부감사 지침에 따라 연 1회 이상 감사가 수행될 수 있도록 연간 계획을 수립한 후 정보보호 최고책임자 등 경영진에게 보고하여 승인을 득한 후 계획에 따라 내부감사를 수행하여야 한다. |
5.3.3 내부감사에서 발견된 지적사항에 대해 보완조치 여부를 확인하여 정보보호 최고책임자 등 경영진에 보고하고 있는가?
ㅇ 내부감사 중 지적사항이 발견된 경우 일정 기간 동안 피감사 부서 혹은 담당자가 대책을 마련하여 보완하게끔 한 후 보완조치여부를 확인하여야 한다. ㅇ 감사결과 보고서에 다음과 같은 내용을 작성하여 정보보호 최고책임자 등 경영진 등에게 보고하여야 한다. - 일정 및 범위 - 감사 내용 (감사 방법, 검토 문서, 면담자 등) - 지적사항 및 보완조치 내용 (보완조치 완료 여부, 대책 등 포함) 등 |
'ISMS' 카테고리의 다른 글
[K-ISMS 인증기준] 정보보호관리과정 2. 경영진 책임 및 조직구성 (0) | 2017.06.13 |
---|---|
[K-ISMS 인증기준] 정보보호관리과정 1. 정보보호정책수립 및 범위설정 (0) | 2017.06.13 |
[정보통신망법] 개인정보의 기술적관리적 보호조치 기준 (0) | 2017.06.12 |
[개인정보보호법] 개인정보의 안전성 확보조치 기준 해설서 (0) | 2017.04.09 |
ISMS 인증기준 세부점검항목 (2013/05/15) (0) | 2017.04.06 |