본문 바로가기

ISMS

[보안동향] 변화하는 정보보호 인증심사, DX 전문가가 알려드립니다! 과거에는 기업의 정보보호 관리체계와 그것에 대한 인증을 평가하는 체계가 이원화돼 있었습니다. 그래서 유사한 보안 관리 및 통제임에도 불구하고 기업에서는 별도의 인증심사를 실시할 수밖에 없었죠. 이로 인해 관련한 법령과 소관부서가 각각 분리돼 재정, 인력의 부담이 발생했습니다. 이와 관련해 정부 부서에서는 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(시행 2018. 11. 7)를 발표하고, 통합을 추진했습니다. 이번 글에서는 정보보호 관리체계 인증제도의 목적을 포함해 제도를 소개하고, 인증제도의 통합 과정과 통합 후 달라진 부분을 다루겠습니다. 그리고 마지막 부분에서 최근 산업 및 컴플라이언스 동향에 따른 인증심사의 흐름에 관해서 이야기해보겠습니다. 먼저 우리가 ISMS-P라고 부르는 『정보보호.. 더보기
[보안동향] 디지털 뉴딜 ‘K-사이버 방역’ 어디까지 왔을까? 90여 년 전 대공황 극복을 위해 미국이 추진했던 뉴딜(New Deal) 정책(1933년~1936년)을 차용해 우리 정부는 한국판 뉴딜 정책을 작년 4월에 발표했습니다. 5월에는 추진 방향을, 7월에는 구체적인 추진 계획을 잇따라 내놓았습니다. 코로나19사태로 인해 ‘대 대공항(Greater Depression)’이라는 최악의 경우에 대비해, 최대한 빠른 극복과 대전환을 위해 ‘디지털 뉴딜’ 과 ‘그린 뉴딜’과 이를 뒷받침하는 ‘안전망 강화’의 3개 정책 방향으로 구체화됐습니다. ※ 대 대공항(Greater Depression): “대공황 수준이 아니다. 대 대공황(Greater Depression)도 가능하다!" 경영학자 루비니 뉴욕대 교수의 예측 지금부터 우리 정부가 추진하는 디지털 뉴딜 정책에 대해.. 더보기
국내 개인정보 관리체계의 관점에서 본 EU GDPR EU의 개인정보보호법이라고 알려진 GDPR의 시행이 5개월 앞으로 다가왔습니다. GDPR은 ‘General Data Protection Regulation’의 약자로, 기존에 지침(Data Protection Directive) 수준으로 공포되었던 EU의 개인정보보호 관련 규정을 법규(Regulation) 수준으로 한층 더 강화했다는 점에서 EU 내 거주자에 대한 개인정보 권익을 더욱 강력하게 보호하겠다는 의지를 표명한 것으로 볼 수 있습니다. 또한, 법규 위반 시 제재 수준을 해당 기업 전 세계 매출액의 4%와 2천만 유로(2017년 12월 기준 약 257억원) 중 높은 금액을 과징금으로 부과할 수 있는 등, 현재 발표된 전 세계의 개인정보 관련 법령 중 최고 강력한 수준의 금전적 제재를 부과할 수 있.. 더보기
'보안은 제품이 아니라 절차다!'라는 말의 의미 지금까지 보안 연재기획을 통해 정보보안 관리체계 수립에서부터 운영 및 인공지능과의 결합 등 향후 보안의 발전 방향에 대해서 이야기를 나눴었는데요. 이번 시간에는 다시 한번 정보보안의 기본 개념으로 돌아가서 이야기를 나눠보고자 합니다. 옛날부터 보안업계에서는 “Security is a process, not a product”라는 관용구가 널리 사용되고 있습니다. 이 말의 뜻을 해석해 보면, “보안은 제품이 아니라 절차이다” 정도가 될텐데요. 무척 직관적인 이 문장의 참뜻에 대해서 한번 더 고민하고 음미해보는 시간을 가졌으면 합니다. 우선 이 문구는 정보보안 분야에서 많은 글들과 책을 출판하고 있는 브루스 슈나이어(Bruce Schneier)라는 사람의 글에서 나왔습니다. “The Process of Se.. 더보기
정보보호 관련 인증 및 평가 제도 현재 국내에서 운영되고 있는 보안관련 인증•평가 제도 중 의무적으로 받아야 하는 대표적인 제도가 ISMS(Information Security Management System)인증제도입니다. 하지만, 이 외에도 국내에서 운영 중인 보안 관련 인증•평가 제도가 여러 개가 있고, 각 제도 별로 유사한 부분이 많아 혼란스러운 점이 있습니다. 이번 시간에는 현재 운영 중인 대표적인 보안 관련 인증•평가 제도를 알아보도록 하겠습니다. 보안관련 인증제도 현황 5~6년 전까지만 해도 보안과 관련된 인증제도를 준비한다면 'ISO 27001을 준비할까? 아니면 ISMS를 준비할까?' 정도의 고민을 했는데요. 두 제도 모두 정보보호 관점에서 관리체계에 대한 수준을 평가하고 인증해 주는 제도입니다. ISO 27001이 국제.. 더보기
ISMS 인증 주요 결함항목 및 대응방안 지난 시간까지 ISMS 인증에 대한 소개 및 보안솔루션 구성방안에 대해서 설명을 드렸습니다. 그렇다면 ISMS 인증심사 과정에서 자주 나오는 주요 결함항목에는 어떤 것이 있을까요? 이번 시간에는 인증심사 시 발견되는 주요 결함항목들에 대해 알아보고, 이에 대한 보완조치를 위해 어떤 대응방안들이 있는지 알아보고자 합니다. 먼저 ISMS 인증 심사기준에 대해서 알아보도록 하겠습니다. ISMS의 인증심사 기준은 정보보호 5단계 관리과정 요구사항 12개 통제항목, 정보보호대책 13개 분야 92개 통제 항목 총 104개 통제사항으로 구성되어 있습니다. 그 중에서도 주요 결함항목은 매년 인증심사에서 도출된 결함을 정리•분석하여 도출되며, 차년도 인증심사에 활용 및 인증기준 개정 시 반영되는 중요한 항목들입니다. 따.. 더보기
ISMS 인증을 위한 보안솔루션 구성방안 ISMS 인증을 받으려면 어떤 보안솔루션을 구축해야 할까요? 2015년 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 개정으로 ISMS 인증 대상이 매출 또는 세입이 1,500억 원 이상인 기업과 기관으로 확대되었습니다. 웬만한 규모의 기업과 기관들은 모두 보안을 소홀히 할 수 없도록 법이 점차 강화되고 있는데요. 여러분이 속한 곳도 지금은 ISMS 인증 대상이 아닐지라도 추후에는 ISMS 인증 대상이 될 가능성이 많습니다. ISMS 인증을 위해서가 아니더라도 보안을 위해서 지켜야 할 사항은 무엇인지, 어떤 보안시스템을 구축해야 하는지 미리 알아둔다면 향후에 보다 쉽고 안전하게 여러분의 기업과 기관을 지킬 수 있을 것입니다. 이번 포스팅에서는 ISMS에서 요구하는 각 항목에 대해 어떤 보안솔루션을 .. 더보기
ISMS 의무인증 대상 확대! 어떻게 대응해야 할까? 2015년 12월, 개인정보보호와 관련된 정보통신망법이 개정되었습니다. 정보통신망법은 개인정보 유출 등 관련 사고가 있을 때마다 개인정보보호 강화 측면에서 지속적으로 개정되어 왔는데요. 특히 이번 개정안에는 일반기업이나 공공기관 등에 큰 영향을 미칠 수 있는 항목이 포함되어 있습니다. 바로 정보보호관리체계(Information Security Management System, 이하 ISMS) 인증 의무대상이 매출 또는 세입이 1,500억 원 이상인 업체로 확대되어 많은 기업이 의무적으로 ISMS 인증을 받아야 하는 상황이 되었습니다. 2014년 중소기업청 발표 기준 매출액 1,500억 원 이상 중견기업의 수가 3,826개라고 하는데요. 이중 상당수 기업이 ISMS 인증 의무대상에 해당할 것으로 보입니다... 더보기