Home » ISMS 인증기준 – 정보보호 관리과정

ISMS 인증기준 – 정보보호 관리과정

Screen Shot 2015-09-07 at 17.49.46

라이프 사이클

  • 정보보호 관리과정(process) 에 대한 내용에 대해 기준을 정해 놓은 것이다.
  • 해외 국제표준 규격(BS7799,ISO/IEC27001)에서는 PDAC 라이프사이클을 따른다. ISO 27001은 PDCA(Plan-Do-Check-Act) 모델에 따라 ISMS의 수립, 구현 및 운영, 모니터링 및 검토, 관리 개선의 4단계로 구성된다
  • ISMS수립 단계는 보안 정책을 수립하고 정보보호 관리체계 구현 범위를 설정한 후 해당 정보 자산을 식별한다. 그런 후에 위험 식별, 분석과 평가를 수행한 후 식별된 위험에 대응하기 위하여 통제 목록에서 적절한 통제 목적 및 통제사항을 선택하여 구현계획서를 작성한다. ISMS구현 및 운영 단계는 수립 단계에서 작성한 구현 계획에 따라 보안 대책을 효율적으로 구현하여 운영하고, 필요에 따라 교육 및 훈련을 진행한다. ISMS 모니터 및 검토단계는 전반적인 정보보호 관리체계의 운영상황을 정기적으로 감시하여 검토한다. ISMS 관리 및 개선 단계는 지속적인 정보보호 관리체계 개선을 위해 발견된 개선 사항에 대하여 시정 및 예방 조치를 수행한다
  • 어찌보면, 국제표준을 참고하여 isms 인증모델이 만들어 진 것이기 때문에 유사할 수 밖에 없다. 중요한 것은 순환적이 사이클을 돌면서 프로세스가 진행된다는 점이며 이에 대한 인증기준이 앞의 그림에 대한 내용과 부합된다.

1. 정보보호정책 수립 및 범위설정

1.1 정보보호정책 수립

조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호정책을 수립하고 동 정책은 국가나 관련 산업에서 정하는 정보보호 관련 법, 규제를 만족하여야 한다.

  • 회사가 설립되면 규칙을 작성해서 이에 따라 회사의 구성원이 활동의 근거가 되는 것처럼, 정보보호 활동의 근거가 되는 것이 “정보보호정책”이다. 이 때 앙꼬없는 찐빵이 되지 않게 하기 위해 최고경영진의 의지, 목적, 범위, 책임, 관리적/기술적/물리적 정보보호 활동의 근거를 포함하도록 규정한다. 사실 법률을 만들 때 최상위 법률인 헌법에 국가 건설의 핵심 이념, 목표, 범위 등을 두리뭉실하게 적는 것과 유사하다고 생각하면 되겠다.
  • 이 때 정책을 정했으면 수범자들에게 어떤 식으로 지켰을면 좋겠다고 구두로 모아놓고 말할 수도 있겠지만, 어디 그렇게 주먹구구식으로 한다는 것이 말이 되는가? 규정에서는 정보보호지침, 절차, 매뉴얼 등의 형식으로 수행주체, 방법, 절차 등을 수립하도록 한다.
  • 앞서 언급한 내용은 일반적인 것으로 총칙에 가깝고, 회사에 대해서는 서비스 종류에 따라 규제하는 법률도 다르기 때문에 각칙에 해당하는 법규를 반영하여 정책을 수립해야 한다.
ㅇ 조직이 수행하는 모든 정보보호 활동의 근거가 될 수 있도록 다음과 같은 항목이 포함된 최상위 수준의 정보보호정책을 수립하여야 한다.

– 최고경영자 등 경영진의 정보보호에 대한 의지 및 방향
– 조직의 정보보호 목적, 범위, 책임
– 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거

ㅇ 정보보호 상위 정책을 시행하기 위한 세부적인 수행주체, 방법, 절차 등은 정보보호 지침, 절차, 매뉴얼 등의 형식으로 수립하여야 한다.
ㅇ 제공하는 사업(서비스)에서 조직이 준수해야 하는 정보보호 관련 법적 요구사항을 분석하고 정보보호정책에 반영하여야 한다.

– 정보보호정책에 조직이 준수하여야 하는 법령 및 관련조항을 명시하여야 함

– 정보보호정책에 법적 요구사항이 반영될 경우 법률적 지식이 있는 조직 내 관련 부서 또는 관련자의 검토를 거치는 것이 좋다.

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률
– 개인정보보호법
– 신용정보의 이용 및 보호에 관한 법률
– 위치정보보호에 관한 법률
– 전자금융거래법
– 신용정보 이용 및 보호에 대한 법률
– 전자상거래 등에서의 소비자보호에 대한 법률
– 저작권법
– 정보통신 기반보호법
– 산업기술의 유출방지 및 영업비밀보호에 관한 법률
– 부정경쟁방지 및 영업비밀보호에 관한 법률 등

1.2 범위설정

조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 관리체계 범위를 설정하고 범위 내 모든 자산을 식별하여 문서화하여야 한다.

  • 범위는 어디까지 규율이 적용되는 지를 정하는 것이므로,범위를 벗어난 것에 대해서는 어떠한 책임을 물을 수 없다는 의미이므로 중요하다. 우리가 어떤 일을 시켰는데 다른 일을 하지 않았다고 직원에게 책임을 물을 수는 없지 않은가? 그런 의미에서 중요하다. 그렇다면 정보보호 활동에서 범위는 실체적 대상이 존재해야 하는데, 대표적인 것이 핵심자산으로서 유/무형을 가리지 않는다.
  • 이 경우에도 문서화가 필요하며, 주요 서비스 및 업무 현황, 서비스 제공과 관련된 조직, 정보보호 조직, 주요 설비 목록, 정보시스템 목록 및 네트워크 구성도, 문서목록, 정보보호 관리체계 수립방법 및 절차 등이 포함하도록 요구한다.
ㅇ 정보보호 관리체계 범위에는 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유 ∙ 무형의 핵심자산이 누락없이 포함되어야 한다.
ㅇ 정보보호 관리체계의 범위 내 서비스, 업무, 조직, 정보시스템, 설비 등을 명확하게 정의하여 정보보호 관리체계 범위를 충분하게 설명하여야 한다.

ㅇ 정보보호 관리체계 범위가 특정 영역에만 해당되는 경우, 범위 영역 경계를 식별하여 문서화하고 범위가 일부일 경우 전체사업 대비 해당 범위를 명확하게 식별할 수 있도록 하여야 한다.

2. 경영진 책임 및 조직 구성

2.1 경영진 참여

정보보호 관리체계 수립 및 운영 등 조직이 수행하는 정보보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여야 한다.

  • 정보보호 관리체계는 하향식 구조가 될 수밖에 없기 때문에, 우두머리의 참여가 없이는 문서만 쓰고 먼지 쌓여 있는 창고로 직행하는 것이 다반사이다. 그렇게 하기 위해서는 실질적인 참여가 되도록 정책에 회의를 주도하여 보고를 받고 의사결정을 내릴 수 있도록 의무 규정을 넣는 작업이 필요하다.
  • 이 때 최고경영자 본인이 직접 할 수도 있지만, 위임하는 것도 가능하다.
ㅇ 정보보호 관리체계 수립 및 운영을 위한 정보보호정책의 제 ∙ 개정 승인 및 공표, 위험관리, 내부감사 등과 같은 중요한 사안에 대해 경영진이 참여하여 의사결정을 할 수 있도록 경영진의 책임과 역할을 정보보호정책에 명시하여야 한다.
ㅇ 정보보호 관리체계에서 경영진이 참여하는 중요한 활동을 정의하고 그에 따른 보고체계를 갖추어야 한다.

ㅇ 정보보호 관리체계 내 중요한 활동에 대해 경영진은 직접 또는 권한 위임을 통해 보고를 받고 의사결정에 참여하여야 한다.

2.2 정보보호 조직 및 자원 할당

최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정보보호 관리체계의 지속적인 운영이 가능하도록 정보보호 최고책임자, 실무조직 등 정보보호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행하는데 필요한 자원(예산 및 인력)을 확보하여야 한다.

  • 조직이 작거나 업무상 너무 후순위로 밀린다면 한 사람이 맡아서 할 수 밖에 없다. 우리나라 대부분의 기업에서 흔히 볼 수 있는 광경이다. 하지만 제대로 하려면 한 사람이 감당할 수 있는 수준도 아닐 뿐더러 집중된 업무 때문에 보안의 실효성을 기대하기 어렵다. 이 경우 조직 체계를 갖추고 범위와 책임을 묻도록 하고 이에 따른 예산이나 인력을 충분히 배정하도록 해야 한다.
ㅇ 최고경영자는 정보보호 관리체계의 지속적인 운영이 가능하도록 조직의 규모, 업무 중요도 등에 따라 요구되는 정보보호 조직을 구성하여야 한다.
ㅇ 최고경영자는 정보보호 관리체계 구축 및 운영을 하는데 필요한 자원을 파악하여 예산 및 인력운영계획을 승인하여야 한다.

3. 위험 관리

3.1 위험관리 방법 및 계획 수립

관리적, 기술적, 물리적, 법적 분야 등 조직의 정보보호 전 영역에 대한 위험식별 및 평가가 가능하도록 위험관리 방법을 선정하고 위험관리의 전문성을 보장할 수 있도록 수행인원, 기간, 대상, 방법 등을 구체적으로 포함한 위험관리계획을 사전에 수립하여야 한다.

  • 핵심 자산이 정해졌으면, 이제 위험 요소가 될 만한 것을 미리 분류해서 식별하고 중요도를 평가하는 작업이 필요하다. 성격상 기술적 위험분석은 상세하게 내용을 체크해야 하기 때문에 개별 자산의 중요도, 위협, 취약점 분석을 수행하게 된다.
    ※ 참고 ※
  • 관리적, 물리적, 법적분야 : 베이스라인 접근법
  • 기술적분야 : 상세위험분석 또는 복합접근법
  • 위험을 관리하는 측면에서는 매년 언제, 누가, 무엇을, 어떻게 진행할 지 정해두어야 한다.
ㅇ 관리적, 기술적, 물리적, 법적 분야 등 조직 전 영역에 대한 위험식별 및 평가가 가능하도록 각 영역별 특성을 반영한 위험관리 방법을 선정하여야 하며 그 방법과 절차를 지침으로 규정하여야 한다.

※ 참고 ※
– 관리적, 물리적, 법적분야 : 베이스라인 접근법
– 기술적분야 : 상세위험분석 또는 복합접근법

ㅇ 핵심자산에 대한 기술적 위험분석의 경우 상세 위험분석(자산 중요도, 위협, 취약점)을 수행하는 것이 바람직하다.
ㅇ 위험관리 방법 및 절차에 따라 매년 위험관리계획을 수립하고 이행하여야 하며 계획에는 다음과 같은 내용을 포함하여야 한다.

– 위험관리 대상 : 정보보호 관리체계 인증범위 내 핵심자산 및 서비스를 누락 없이 포함
– 위험관리 수행인력 : 위험관리 방법, 조직의 업무 및 시스템에 대한 전문성을 갖춘 인력과 관련 부서 실무책임자가 참여 (위험관리 전문가, 정보보호관리자, IT 실무 책임자, 현업부서 실무 책임자 등)
– 위험관리 기간 등

3.2 위험 식별 및 평가

위험관리 방법 및 계획에 따라 정보보호 전 영역에 대한 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용 가능한 위험수준을 설정하여 관리하여야 한다.

  • 매년 수행해야 한다는 것이고, 평가가 이루어져야 한다는 점이 주목할만 하다. 보통 체크리스트를 만들어 O,X 위주로 하는 경우가 대부분일 것이다. 최종 책임자 CISO 등의 위험에 대한 평가가 반드시 반영되어야 한다. 즉, 정보보호대책이 실효성이 있는지? 개인정보보호 등의 법률을 적절히 지키고 있는지? 등을 반영하여 위험을 평가해야 할 것이다.
  • 기술적 위험의 경우는 특별히, 취약점 점검을 통해 상세 항목을 체크하여 위험을 식별하도록 한다.
  • 위험 평가 단계에서는 정량적으로 수치화 시키기 위해 위험도를 산정해야 하며, 산정기준은 미리 마련하도록 한다.
  • 산정된 위험도가 일정 수준을 초과하는 지를 판단하기 위해 경영진이 참여하여, DoA(Degree of Assurance)를 정하여 보안의 최저 한계선을 정할 필요가 있다.
  • 정해진 최저 한계선은 최종적으로는 경영진에 보고되어 위험 수준을 경각시킬 필요가 있으며, 이에 대한 보고 체계를 마련하도록 한다.
ㅇ 매년 정보보호 관리체계 범위 전체를 대상으로 위험식별과 평가를 수행하여야 하며 기 적용된 정보보호대책의 실효성 검토도 함께 이루어져야 한다.
ㅇ 정보보호 및 개인정보 관련 법적 요구사항 준수여부에 대한 위험을 식별하여야 한다.

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률
– 전자금융거래법
– 개인정보보호법
– 부정경쟁방지 및 영업비밀보호에 관한 법률 등”
ㅇ 관리적, 운영적, 물리적 위험은 정보보호 관리체계 통제항목이 적용되고 있는지 점검하여 통제적용이 이루어지지 않거나 미흡한 경우 위험으로 식별하여야 한다.
ㅇ 기술적 위험은 정보보호 관리체계 범위 내의 정보시스템(서버, 네트워크 장비, 응용 프로그램 등), 정보보호시스템 등에 대한 취약점 점검(점검툴 사용, 체크리스트 사용, 침투시험 등)을 수행하여 발견된 취약점을 위험으로 식별하여야 한다.
ㅇ 식별된 위험이 실제 조직에 미치는 영향(잠재적 손실)을 고려하여 위험도를 산정하여야 하며 이를 위하여 위험도 산정기준을 마련하여야 한다.
ㅇ 식별된 위험과 각 위험도를 검토하여 수용 가능한 목표 위험수준(DoA : Degree of Assurance)을 정한 뒤 이를 초과하는 위험을 식별하여야 한다. 이 수준은 논리적이거나 수리적인 방법을 통해 계산될 필요는 없으나 반드시 정보보호 최고책임자 등 경영진의 의사결정에 의해 설정되어야 한다.
ㅇ 식별된 위험에 대한 평가 보고서를 정보보호 최고책임자를 포함한 경영진이 손쉽게 이해할 수 있도록 작성하여 보고하여야 한다.

3.3 정보보호대책 선정 및 이행계획 수립

위험을 수용 가능한 수준으로 감소시키기 위해 정보보호대책을 선정하고 그 보호대책의 구현 우선순위, 일정, 담당부서 및 담당자 지정, 예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.

  • 위험의 처리 전략은 4가지가 있다. 위험감소는 적극적으로 위험을 없애기 위해 보안 장비를 도입하는 등의 액션을 취하는 것이고, 위험회피는 그 사업을 반대로 포기하는 것이고, 위험전가는 보험등을 통해 위험을 분산시키고, 위험수용은 아무런 액션 없이 사업을 지속시키는 전략이다.
  • 보통은 위험감소가 되는데, 이 때 식별 및 평가 결과에 근거해 정보보호 대책을 선정하게 되며, 위험처리의 시급성, 예산할당, 구현에 요구되는 기간에 따라 이행 우선순위를 정하고 계획을 수립한다.
  • 때에 따라서 위험수용을 택할 수도 있을텐데, 이 경우 인증 심사팀, 경영진 등 객관적으로 인정을 거치는 단계를 거쳐야 한다.
ㅇ 위험 식별 및 평가 결과에 근거하여 정보보호 대책을 선정하고 정보보호 관리체계 인증 기준에서 제시하는 정보보호 대책 통제항목(92개)과의 연계성도 함께 고려하여야 한다.

ㅇ 위험수준 감소를 목표로 위험처리 전략을 수립하는 게 일반적이며 위험회피, 위험전가, 위험수용 등으로 고려할 수 있다.

ㅇ 수용 가능한 위험 수준을 초과하지 않은 위험 중 기업 및 외부 환경에 따라 위험 수준이 상승할 가능성이 높거나 조직이 중요하다고 판단하는 부분에 대해서는 필요시 보호대책 수립을 고려할 수 있다.

ㅇ 특별한 사유(예 : 대책 적용 대상 자산 無)로 인해 위험수용 전략을 선택하는 경우 경영진, 정보보호 관리체계 인증 심사 팀 등 조직 내 ∙ 외부에서 객관적으로 인정하는 경우에 가능하다.
ㅇ 위험수준의 감소를 위하여 선정한 정보보호대책은 위험처리의 시급성, 예산 할당, 구현에 요구되는 기간에 따라 이행 우선순위를 정하고 계획을 수립하여야 한다.

ㅇ 정보보호 대책의 효과적인 이행을 위하여 이행계획을 정보보호 최고책임자 등 경영진의 승인을 얻고 이행여부를 확인하기 위한 절차 및 방법도 함께 고려하여야 한다.

4. 정보보호대책 구현

4.1 정보보호대책의 효과적인 구현

정보보호대책 이행계획에 따라 보호대책을 구현하고 경영진은 이행결과의 정확성 및 효과성 여부를 확인하여야 한다.

  • 정보보호 대책명세서 를 작성하여, 인증기분 통제항목별(104개)로 정보보호대책 구현 및 운영 현황을 쉽게 파악할 수 있어야 한다.
  • 이 경우 관리과정(12개), 운영현황, 관련문서(정책, 지침서), 기록(증적자료), 미선정 시 사유 등이 포함되어야 한다.
ㅇ 식별된 위험에 대한 위험수준이 감소되었음을 보장하기 위하여 정보보호 최고책임자 등 경영진은 정보보호대책이 이행계획에 따라 빠짐없이 효과적으로 이행되었는 지 여부를 검토 및 확인하여야 한다.
ㅇ ‘정보보호 대책명세서’는 정보보호 관리체계 인증기준에서 제시하는 통제항목별 운영현황을 확인할 수 있도록 다음과 같은 내용을 포함하여야 한다.

– 통제항목 선정여부(Yes/No) 확인 : 관리과정 12개 통제항목은 필수사항
– 운영 현황
– 관련문서 (정책, 지침 등)
– 기록 (증적자료)
– 통제항목 미선정 시 사유

ㅇ 미선정 통제항목이 있을 경우, 미선정 사유를 명확하게 명시하고 정보보호 최고책임자 등 경영진의 승인을 득하여 부주의 또는 의도적으로 통제항목 선정이 배제되지 않도록 하여야 한다.

4.2 내부 공유 및 교육

구현된 정보보호대책을 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여야 한다.

  • 교육은 수범자에게 내재화 시키기 위한 효과적인 수단이다. 형식적일 수도 있지만 반드시 내용을 숙지 시키게 하기 위해 정책의 신규 제정, 개정 및 정보시스템 신규 도입, 개선 등의 사항에 대하여 교육을 시킨다.
ㅇ 정보보호 관리체계를 내재화하기 위하여 다음과 같은 사항으로 정보보호 활동업무에 영향이 발생하는 경우, 관련부서 및 담당자를 파악하여 정보보호대책의 내용을 공유하고 교육을 수행하여야 한다.

– 정책(지침 및 절차 포함) 신규 제정 및 개정
– 정보시스템 신규 도입 및 개선 등

5. 사후 관리

5.1 법적요구사항 준수 검토

조직이 준수해야 할 정보보호 관련 법적요구사항을 지속적으로 파악하여 최신성을 유지하고 준수여부를 지속적으로 검토하여야 한다.

  • 최신 법규 사항은 계속 바뀌게 되므로, 연 1회 이상 업데이트 하여 반영시키도록 해야 한다.
ㅇ 정보보호 관리체계 구축 및 운영에 있어서 조직이 준수해야 하는 법령의 관련 조항, 세부 내용을 파악하고 준수여부를 주기적으로 검토할 수 있는 절차를 수립하여야 한다.
(관리과정 1.1 정보보호정책의 수립, 3.2 위험 식별 및 평가 참고)

※ 참고 ※
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률
– 전자금융거래법
– 개인정보보호법
– 부정경쟁방지 및 영업비밀보호에 관한 법률 등

ㅇ 관련 법규의 제 ∙ 개정 현황을 최소 연 1회 이상 검토하여 조직에 미치는 영향을 분석하고 조직의 정책 및 절차에 바로 반영하여 법규 미준수로 인한 과태료 부과 등과 같은 상황이 발생하지 않도록 대응하여야 한다. ”
ㅇ 조직이 준수해야 할 법규가 존재하는 경우 법적 요구사항을 명시한 문서(지침 등), 해당 법규 준거성을 점검하기 위한 체크리스트는 최신 법규 사항을 반영하고 있어야 한다.

5.2 정보보호 관리체계 운영현황 관리

정보보호 관리체계 범위 내에서 주기적 또는 상시적으로 수행해야 하는 활동을 문서화하고 그 운영현황을 지속적으로 관리하여야 한다.

  • 조직 내 정책, 지침, 절차 등에 규정화 되어 있는 정보보호 관리체계 운영활동을 식별하고 운영현황을 확인할 수 있도록 수행주기, 수행주체를 정의한 문서(운영현황표)를 관리하고 최신성을 유지
ㅇ 조직 내 정책, 지침, 절차 등에 규정화 되어 있는 정보보호 관리체계 운영활동을 식별하고 그 운영현황을 확인할 수 있도록 수행 주기, 수행 주체(담당부서, 담당자)를 정의한 문서(운영현황표)를 관리하고 최신성을 유지하여야 한다.

5.3 내부 감사

조직은 정보보호 관리체계가 정해진 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는 지를 점검하기 위하여 연 1회 이상 내부감사를 수행하여야 한다. 이를 위해 감사 기준, 범위, 주기, 방법 등을 구체적으로 정하고 내부감사를 통해 발견된 문제점은 보완조치를 완료하여 경영진 및 관련 책임자에게 보고하여야 한다. 또한 감사의 독립성 및 전문성을 확보할 수 있도록 감사인력에 대한 자격요건을 정의하여야 한다.

  • 지침을 규정하는데, 내부감사기준, 범위, 수행주기, 감사인력 자격요건 등이 포함되도록 한다.
  • 보고 규정도 있어야 하는데, 일정 및 범위, 감사 내용, 지적사항 및 보완조치 내용 등이 포함되도록 한다.
ㅇ 법적 요구사항 및 조직 내 수립된 정보보호정책에 따라 정보보호 관리체계 활동이 효과적으로 수행되는 지 여부를 검토하기 위하여 다음과 같은 항목이 정의된 내부감사 지침을 수립하여야 한다.

– 내부감사 기준
– 내부감사 범위
– 내부감사 수행 주기 (예 : 연 1회 이상)
– 감사인력 자격요건 : 감사의 객관성을 확보하기 위해 제3자가 감사를 수행하는 것이 원칙임. 다만, 불가피한 경우 제3자 인력을 포함하여 정보보호조직이 감사를 수행할 수 있음
ㅇ 내부감사 지침에 따라 연 1회 이상 감사가 수행될 수 있도록 연간 계획을 수립한 후 정보보호 최고책임자 등 경영진에게 보고하여 승인을 득한 후 계획에 따라 내부감사를 수행하여야 한다.
ㅇ 내부감사 중 지적사항이 발견된 경우 일정 기간 동안 피감사 부서 혹은 담당자가 대책을 마련하여 보완하게끔 한 후 보완조치여부를 확인하여야 한다.

ㅇ 감사결과 보고서에 다음과 같은 내용을 작성하여 정보보호 최고책임자 등 경영진 등에게 보고하여야 한다.

– 일정 및 범위
– 감사 내용 (감사 방법, 검토 문서, 면담자 등)
– 지적사항 및 보완조치 내용 (보완조치 완료 여부, 대책 등 포함) 등