ISMS-P 인증 컨설팅
정보보호 및 개인정보보호 인증 컨설팅 ISMS-P는 대상 기관이 각종 내외부 위협으로부터 주요 정보자산을 보호하기 위한 정보보호 및 개인정보보호 관리체계의 적합성에 대해 인증을 부여하는 제도입니다.
기존에 개별적으로 운영되던 ‘과학기술정보통신부’ 소관의 정보보호관리체계(ISMS)와 ‘방송통신위원회’, ‘행정안전부’ 소관의 개인정보관리체계(PIMS)를 통합한 인증이며, 정보자산과 개인정보를 함께 관리할 수 있습니다.
조직에 적합한 정보보호 체계를 수립하기 위해 정책 및 조직 수립, 위험 관리, 대책 구현, 사후 관리 등의 정보보호 관리 과정을 통해 구현된 여러 정보보호 대책들의 유기적인 통합 체계에 대하여 한국인터넷진흥원(KISA)이 객관적이고 독립적으로 평가하여 기준에 대한 적합성을 인증 받는 국가 공인 제도이며, 정보 자산을 운영함에 있어서 정보보호관리체계 수립을 통한 관리가 필요합니다.
기존에 개별적으로 운영되던 ‘과학기술정보통신부’ 소관의 정보보호관리체계(ISMS)와 ‘방송통신위원회’, ‘행정안전부’ 소관의 개인정보관리체계(PIMS)를 통합한 인증이며, 정보자산과 개인정보를 함께 관리할 수 있습니다.
조직에 적합한 정보보호 체계를 수립하기 위해 정책 및 조직 수립, 위험 관리, 대책 구현, 사후 관리 등의 정보보호 관리 과정을 통해 구현된 여러 정보보호 대책들의 유기적인 통합 체계에 대하여 한국인터넷진흥원(KISA)이 객관적이고 독립적으로 평가하여 기준에 대한 적합성을 인증 받는 국가 공인 제도이며, 정보 자산을 운영함에 있어서 정보보호관리체계 수립을 통한 관리가 필요합니다.
정보보호 관리체계 인증
「정보통신망법」 제47조 ①항에 의거하여 과학기술정보통신부장관은 정보
통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를
포함한 정보보호 관리체계를 수립ㆍ운영하고 있는 자에 대하여 기준에 적합한지에
관하여 인증을 할 수 있다.
정보보호 관리체계 인증 대상
- 정보통신망 서비스를 제공하는 사업자
- 집적 정보통신 시설 사업자
- 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상인 사업자
특징
- 조직의 역량과 업무 환경에 적합한 정보보호 체계 구축
- 조직이 빠른 시간 안에 정보보호 관리체계에 적응할 수 있도록 ‘ISMS 구축 TFT’를 구성하여 지식 이전 수행
- 인증 심사 기준에 부합하는 산출물 제작과 함께 정보보호 관리체계 요구사항을 충족
정보시스템 취약점 조치 및 대응
침해사고 대응력 강화
정보보호 및 개인정보 체계 구축
법적 준거성 확보
ISMS-P 인증 획득
정보보호 관리 수준 향상
목적
조직의 자산에 대한 안정성 및 신뢰성을 향상시키기 위한 절차와 과정을 정보보호 관리체계의 수립 및 문서화, 지속적으로 관리
정보보호 목표인 정보의 기밀성, 무결성, 가용성을 실현하기 위한 일련의 과정 및 활동을 지원
정보보호관리체계의 수립을 통해 관리적, 물리적, 기술적으로 체계적인 대응 방안을 제공
컨설팅 방법
정보보호관리체계 수립 방법론인 BOSSᶜᵐ에 기반으로
각각의 업무에 맞는 모듈을 조합하여 착수, 취약점 진단, 위험 분석, 대책 수립, 종료 단계 순으로 진행합니다.
각각의 업무에 맞는 모듈을 조합하여 착수, 취약점 진단, 위험 분석, 대책 수립, 종료 단계 순으로 진행합니다.
현황 및 자산 파악
현황 및 자산 파악
보안의 현황을 분석하기 위하여 정보자산을 면밀하게
파악하고 보안등급/중요도 산정과 보유한 정보 자산을
분별하여 취약점 진단 범위 및 대상을 산정합니다.
관리/물리적 점검
관리/물리적 점검
정보보호 5단계 관리과정 12개 통제사항 및 정보보호대책
13개 분야 92개 통제사항, 총 104개 통제 사항으로 구성
되어 있으며 객관적인 정보보호 관리체계의 기준이므로
이를 통해 정보 보호 수준 및 관리체계를 진단합니다.
기술적 취약점 진단
및 모의 해킹
및 모의 해킹
기술적 취약점 진단
및 모의 해킹
및 모의 해킹
산정된 정보보호시스템에 대하여 기술적 취약점 진단
및 모의해킹을 수행하여 기관의 주요 정보시스템의
취약점을 도출 하고 대응방안을 제시합니다.
위험평가 및 보호 대책
위험평가 및 보호 대책
자산에 대한 상세 내역을 작성하여 목록화하고 해당
자산의 기밀성, 무결성, 가용성 정도를 평가하여 이로
부터 자산을 중요도를 산정하고 취약점을 분석한 결과를
토대로 허용 위험 수준, 위험 수용, 대책 선정을 지정하고,
지정된 위험분석 결과를 토대로 보호대책을 작성합니다.
기대효과
정성적 효과
- 기업의 종합적인 정보보호 체계 수립을 통한 기업 신뢰도와 마켓 경쟁력 향상
- 최근 보안 사고의 경향인 지능형 공격 방식에 효율적 대응
- 정보보안 관리체계의 개선을 통한 정보보안 수준의 향상
정량적 효과
- 「정보통신망법」 준수
- 보안 사고 발생시 법적 책임 완화
- 정보보호에 민감한 고객 및 파트너사의 신뢰감 확보로 매출 상승 효과