ISMS 인증기준 – 정보보호대책 (외부자보안)

3.1 보안요구사항 정의 3.1.1 외부자 계약 시 보안요구사항 조직의 정보처리 업무를 외부자에게 위탁하거나 정보자산에 대한 접근을 허용할 경우, 또는 업무를 위해 클라우드 서비스 등 외부 서비스를 이용하는 경우에는 보안요구사항을 식별하고 관련 내용을 계약서 및 협정서 등에 명시하여야 한다. 조직의 정보처리 업무를 외부자에게 위탁하는 경우 다음과 같은 보안요구사항을 정의하여 계약 시 반영하고 있는가? 정보보호 관련 법률 …

Read more

ISMS 인증기준 – 정보보호대책 (정보보호조직)

2.1 조직 체계 2.1.1 정보보호 최고책임자 지정 최고경영자는 임원급의 정보보호 최고책임자를 지정하고 정보보호 최고책임자는 정보보호정책 수립, 정보보호 조직 구성, 위험관리, 정보보호위원회 운영 등의 정보보호에 관한 업무를 총괄 관리하여야 한다. 최고경영자는 조직의 정보보호 관련 업무를 총괄 관리할 수 있는 임원급의 정보보호 최고책임자(CISO)를 지정하고 있는가? ㅇ 최고경영자는 조직 내에서 정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄 …

Read more

ISMS 인증기준 – 정보보호대책 (정보보호정책)

1.1 정책의 승인 및 공표 1.1.1 정책의 승인 정보보호정책은 이해관련자의 검토와 최고경영자의 승인을 받아야 한다. 정보보호정책 및 정책시행 문서(지침, 절차 등)의 제 ∙ 개정 시 이해관련자의 검토를 받고 있는가? ㅇ 정책은 정보보호 활동을 규정한 상위 정보보호정책과 상위 정책 시행을 위한 문서(지침, 절차, 매뉴얼 등)로 구분하여 제정할 수 있다. ㅇ 문서의 제 ・ 개정 시에는 이해 …

Read more

ISMS 인증기준 – 정보보호 관리과정

라이프 사이클 정보보호 관리과정(process) 에 대한 내용에 대해 기준을 정해 놓은 것이다. 해외 국제표준 규격(BS7799,ISO/IEC27001)에서는 PDAC 라이프사이클을 따른다. ISO 27001은 PDCA(Plan-Do-Check-Act) 모델에 따라 ISMS의 수립, 구현 및 운영, 모니터링 및 검토, 관리 개선의 4단계로 구성된다 ISMS수립 단계는 보안 정책을 수립하고 정보보호 관리체계 구현 범위를 설정한 후 해당 정보 자산을 식별한다. 그런 후에 위험 식별, 분석과 …

Read more

ISMS 인증심사원 – 인증제도 소개

1. ISMS 인증제도 소개 간략 요약 정보보호관리체계 프레임워크 주체: 대상기업, 인증기관, 규정: 미래창조과학부 고시 제2013-36호 정보보호관리 과정: 5단계, 12개 통제 정책수립 및 범위 설정 –> 경영진 책임 및 조직 구성 –> 위험관리 –> 대책구현 –> 사후관리 정보보호대책: 13개 분야, 92개 통제 정책, 조직, 외부자산보안, 정보보자산분류, 정보보호교육, 인적보안, 물적보안, 시스템 개발 보안, 암호통제, 접근통제, 운영보안, 침해사고관리, …

Read more