ISMS-P 인증 기준 안내서 요약 - 관리체계 (1.1 관리체계 기반 마련 ~ 1.2 위험 관리)

ISMS-P 인증 시험을 준비하면서 가장 많이 참고 했던 것은 'ISMS-P 인증 기준 안내서' 이다. 하지만 페이지가 300페이지 가까이 되기 때문에 반복해서 읽으니 시간도 오래 걸리고 눈에도 잘 안들어와서 보고싶은 내용만 추려봤다. 안봐도 알만한 결함들은 제외했다. 만약, ISMS가 처음이라면 인증 기준 안내서를 먼저 보는 걸 추천한다.

 

1. 관리체계 수립 및 운영

1.1 관리체계 기반 마련

1.1.1 경영진의 참여

• 인증기준:
  • 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.
• 주요 확인사항:
  • 문서화, 보고/검토/승인 절차 수립 및 이행
• 결함사례:
  • 정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우
  • 중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동, 보고 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증적이 확인되지 않은 경우

1.1.2 최고책임자의 지정

• 인증기준:
  • 정보보호 최고 책임자, 개인정보보호 책임자를 임원급으로 지정
• 세부 설명:
  • 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통해 공식으로 임명하여야 함
  • 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요
    • 정보보호 최고책임자 지정/신고 대상자의 범위
      • 내용 선별 소프트웨어 개발 및 보급하는 사업자
      • 정보보호 관리체계 인증을 받아야 하는 자
      • 저작권법에 따른 특수한 유형의 온라인서비스제공자로서 상시 종업원 수가 5명 이상이거나 전년도 말 기준 직전 3개월간의 일일 평균 이용자 수가 1천명 이상인자
      • 통신판매업자로서 상시 종업원 수가 5명 이상인 자
      • 음란물 및 사행성게임물 차단 프로그램 제공 사업자
      • 상시 종업원 수가 1천명 이상인 자
    • 정보보호 최고책임자는 다음의 업무를 총괄
      
      • 정보보호관리체계의 수립 및 관리/운영
      • 정보보호 취약점 분석/평가 및 개선
      • 침해사고의 예방 및 대응
      • 사전 정보보호대책 마련 및 보안조치 설계/구현 등
      • 정보보호 사전 보안성 검토
      • 중요 정보의 암호화 및 보안서버 적합성 검토
      • 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
• 결함사례:
  • 개인정보 보호법을 적용받는 민간기업이 개인정보 처리업무 관련 임원이 존재함에도 불구하고 부서장을 개인정보 보호책임자로 지정한 경우
  • 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나 인사발령 등의 공식적인 지정절차를 거치지 않은 경우

1.1.3 조직 구성

• 인증기준: 
  • 실무조직, 위원회, 협의체 구성
• 결함사례:
  
  • 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무부서의 장으로 구성되어 있는 경우
  • 실무협의체를 구성하였으나, 장기간 운영 실적이 없는 경우
  • 위원회를 개최하였으나, 연간 정보보호 및 개인정보보호 계획 및 교육계획, 예상 및 인력 등 정보보호 및 개인정보호에 관한 주요 사항이 검토 및 의사결정 되지 않은 경우

1.1.4 범위 설정

• 인증기준:
  • 핵심 서비스와 개인정보 처리 현황을 고려하여 관리체계 범위 설정 및 문서화
• 결함사례:
  • 개발 및 시험 시스템, 외주업체 직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락됨

1.1.5 정책 수립

• 인증기준: 
  • 정책 및 시행문서를 수립
  • 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시
  • 경영진 승인을 받고 임직원에게 이해하기 쉬운 형태로 전달
• 결함사례:
  • 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제/개정 시에는 정보보호 및 개인정보보호 위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우

1.1.6 자원 할당

• 인증기준:
  • 전문성을 갖춘 인력을 확보하고, 예상 및 자원을 할당
• 결함사례:
  • 개인정보처리시스템의 기술적, 관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우

1.2 위험 관리

1.2.1 정보자산 식별

• 인증기준:
  • 정보자산 분류기준 수립 후 모든 정보자산을 식별/분류
  • 중요도 산정 후 목록을 최신으로 관리(정기적)
• 결함사례:
  • 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보취급자 PC를 통제하는데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락되어 있는 경우

1.2.2 현황 및 흐름분석

• 인증기준:
  • 정보서비스 및 개인정보 처리 현황을 분석하고 문서화
  • 주기적으로 검토하여 최신성을 유지
• 결함사례:
  • 최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우

1.2.3 위험 평가

• 인증기준:
  • 연 1회 이상 위험 평가
  • 수용할 수 있는 위험은 경영진의 승인을 받아 관리
• 증적자료:
  • 위험관리 지침, 매뉴얼, 가이드, 결과 보고서
  • 위원회/실무협의회 회의록
• 결함사례:
  • 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의 되어 있으나, 위험 관리 수행 인력과 소요 예상 등 구체적인 실행계획이 누락되어 있는 경우

1.2.4 보호대책 설정

• 인증기준: 
  • 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정
  • 보호대책의 우선순위와 일정/담당자/예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.
• 세부 설명:
  • 위험수준 감소를 목표로 위험 처리전략을 수립하는 것이 일반적이며, 상황에 따라 위험회피, 위험전가, 위험수용의 전략을 고려
  • 불가피한 사유가 있는 경우에는 위험수용 전략을 선택할 수 있으나 무조건적인 위험수용은 지양하여야 하며 불가피한 사유의 적정성, 보완대책 적용가능성 등을 충분히 검토한 후 명확하고 객관적인 근거에 기반하여 위험수용 전략을 선택
  • 법률 위반에 해당하는 위험은 수용 가능한 위험에 포함되지 않도록 주의
• 결함사례:
  • 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우