1 / 27

제 6 장 정보보호관리시스템

제 6 장 정보보호관리시스템. 도 경 화 2008.10 khdo0905@nate.com. 1. BS7799 국제보안표준. 1.1 BS7799 소개 1.2 BS7799 구성요소 1.3 BS7799 특징 1.4 BS7799 인증 체계 1.5 BS7799 인증 획득현황. 정보보안 대상의 범위 정의. GAP 분석. 위험평가의 수행 (모의해킹, 스캐닝, 위험분석). 관리할 위험 영역의 도출. BS7799 통제항목의 선택 및 수행과제 선정. 보안 문서 및 절차, 정책의 작성.

bruno-stokes
Télécharger la présentation

제 6 장 정보보호관리시스템

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 제6장 정보보호관리시스템 도 경 화 2008.10 khdo0905@nate.com

  2. 1. BS7799 국제보안표준 1.1 BS7799 소개 1.2 BS7799 구성요소 1.3 BS7799 특징 1.4 BS7799 인증 체계 1.5 BS7799 인증 획득현황

  3. 정보보안 대상의 범위 정의 GAP 분석 위험평가의 수행 (모의해킹, 스캐닝, 위험분석) 관리할 위험 영역의 도출 BS7799 통제항목의 선택 및 수행과제 선정 보안 문서 및 절차, 정책의 작성 BS7799 감사 및 인증 지속적인 관리 수행 및 점검 1. BS7799 국제보안표준 1.1 BS7799 소개 • BS7799 도입배경 • 품질표준(ISO 9000) , 환경표준(ISO 14000)에 이어 대두되는 보안 국제 표준 • Security Round(ISO/IEC JTC1 SC27)에서 국제 표준화 작업 • 2000년 10월, BS7799 Part1이 ISO 17799 Part1으로 이전됨. • 2002년 7월 31일, 산업자원부에서 KS-X ISO/IEC 17799로 표준화 완료 • 2006년 2006년 BS7799 Part2도 ISO 27001 표준화 완료 • BS7799 체계 • BS7799 의 장점 • 정보보안을 10개의 영역, 127개 통제 항목으로 구분하여 제시함 • 조직의 정보보안 관리 체계(Information Security Management System) 의 수립과 실행에 대한 가이드를 제시함 • BS7799 인증 後 대외적인 신뢰도와 경쟁력을 확보할 수 있음 • BS7799 를 표준으로 채택한 국가 • 영국, 일본, 호주, 뉴질랜드, 스웨덴, 브라질, 덴마크, 태국, 아일랜드, 네덜란드, 노르웨이, 남아프리카공화국 등에서 표준으로 채택하였으며, 미국과 유럽의 대부분의 국가에서 사용되고 있다. • 2000년 12월, 일본 통산성은 BS7799 를 국가표준으로 채택하여 일본 공업 규격화 하고 정보보안 관리체계(ISMS) 인증 제도를 시행하고 있음

  4. 1. BS7799 국제보안표준 1.2 BS7799 구성요소 BS7799-Part1 (Code of practice for information security management) 보안 통제 항목 • 현재 사용되고 있는 최선의 정보보안 실무들로 구성된 종합적인 보안 통제 목록을 제공 • 10개 주요분야의 127개 통제 항목들로 구성 • 통제 항목들은 핵심 통제들로서 필수적인 요구 사항이거나 정보보안을 위한 기초적인 구성 요소이며, 조직이 정보보안 통제를 구현하는데 기반이 됨 • 실질적인 업무 또는 책임을 맡고 있는 사람들이 특별한 지역에 적합한 실질적인 세이프 가이드를 식별 할 수 있도록 통제항목을 정의 • 위험관리의 중요성을 강조하고 있으며 관련된 지침만 실행하면 되는 것으로 하고 있음. • BS7799의 범위는 음성과 그래픽 그리고 휴대폰과 팩스와 같은 매체를 포함한 모든 형태의 정보에 대해서 다루고 있음. 또한 전자상거래, 인터넷 , 아웃소싱, 텔레워킹 그리고 이동 컴퓨팅 같은 업무를 수행하는 새로운 방식을 감안하고 있음,

  5. 보안방침 : 정보보안에대한 경영방침과 지원사항을 제공하기 위함 • 보안조직 : 조직 내에서 보안을 효과적으로 관리하기 위해서는 보안에 대한 책임을 배정 • 자산분류 및 관리 : 조직의 자산에 대한 적절한 보호책 유지 • 직원의 보안 : 사람에 의한 실수, 절도, 부정수단이나 설비의 잘못사용으로 인한 위험 감소 • 의사소통 및 운영관리 : 정보처리 설비의 정확하고 안전한 운영을 보장하기 위함 • 접근통제 : 정보에 대한 접근통제를 하기 위함 • 시스템개발 및 유지 : 정보시스템내에 보안이 수립되었음을 보장하기 위함 • 사업지속성 관리 : 사업활동에 방해요소를 완화시키며 주요실패 및 재해의 영향으로부터 사업활동을 보호하기 위함 • 부합성 : 범죄 및 민사상의 법률, 법규, 규정 또는 계약 의무사항 및 보안 요구사항의 불일치를 회피하기 위함

  6. 1. BS7799 국제보안표준 1.2 BS7799 구성요소 - 계속 BS7799-Part2 (Specification for information security management) 관 리 표 준 • 정보보안 관리체계(ISMS)에 대한 규격으로 정보보안 관리체계 문서화 수립실행에 대한 요구사항과 개별조직의 필요성에 따라 실행 될 수 있는 정보보안관리 요건을 규정 • “조직은 문서화된 ISMS를 구축하고 유지해야 한다.” : 보호대상의 자산과 위험관리에 대한 조직의 접근과 통제목표 및 방안, 그리고 요구되는 보장수준을 언급해야 한다는 것을 의미함. • PDCA (Plan, Do, Check, Act) 모델로 구성되어 있음 • 어떻게 BS7799를 적용하고 ISMS를 구축하는지 알려줌 • 정보보안 관리체계 프레임워크를 수립하는 6단계 프로세스 정의 • BS7799 인증을 위한 규격임 • ISO 17799-Part2는 BS7799-Part2에서 이전 예정임.

  7. 1. BS7799 국제보안표준 1.3 BS7799 특징 다른 보안관리 표준 지침들이 IT를 대상으로 보안 기술의 상세 부분까지 규정하고 있는데 비해, BS7799는 관리시스템에 대한 보편적, 포괄적인 가이드, 기준을 나타내고 있으며, 또 하나는 전자매체로 한정하지 않고 종이 매체 등 여러 가지 정보자산을 보안의 대상으로 하고 있는 것이다. 각 조직에 대해서 획일적인 요구사항을 부과하는 것이 아니라, 각각의 조직이 위험 분석을 수행하고 보안관리를 실시하도록 요구하는 것이다.

  8. 1. BS7799 국제보안표준 1.4 BS7799 인증 체계 영국의 상무성을 대리하여 영국표준협회(BSI/DISC)에서 BS7799를 관리하고 있다. 인증서를 발급받기 위해서는 해당 ISMS는 독립된 제삼자인 BS7799 평가자(assessor)에 의한 감사를 받아야 한다. 평가자의 자격에 대해서는 엄격한 규칙이 적용된다. 평가자가 소속된 평가기관은 영국인증서비스(UK Accreditation Service; UKAS)의 인가를 받아야 한다. 평가자는 해당 ISMS가 적절히 운영되고 있는지 주기적으로 확인한다. UKAS BSI/DISC (스킴관리자) 인증기관인가 인증기관 BS7799 유지 평가 및 인증서 발급 준수 ISMS BS7799

  9. 1. BS7799 국제보안표준 1.5 BS7799 인증 획득현황 • 2005년 12월 기준, 전세계 2017개 업체가 BS7799 인증을 획득함. (국내 38개 업체) 전세계 BS7799 인증 현황 BS7799 국내 인증 획득업체 1. 우리은행 (구, 한빛은행) 2. 한화S&C 3. 현대정보기술 4. 프리즘커뮤니케이션 5. 데이콤 6. 에이쓰리시큐리티컨설팅 7. 삼성전자 8.(주)안랩코코넛 9. LG카드 10. 삼성생명 11. 삼성화재 12. 국민은행 13. 대구은행 14. 부산은행 15. BC카드 16. 신한은행 17. CJ홈쇼핑 18. 한국씨티은행 19. 교보생명 20. 동원증권 21. KTF 22. 인젠 23. SK C&C 24. LG화학 기술연구원 25. 삼성전자 LCD총괄 26. 포스코 27. 오토에버시스템즈 28. 증권예탁원 29. SK텔레콤 30. 삼성전자 미국 오스틴 반도체 사업장 (확장) 31. 삼성전자 중국 쑤저우 반도체 사업장 / 연구소 (확장) 32. 기업은행 33. 서울특별시 34. 포스코 기술연구소 35. 삼일회계법인 36. 한국개인신용 주식회사 37. 한국원자력연구소 38. 대한생명보험(주) • 해외 BS7799 인증 획득 업체 : Sony, ABB, Citi Bank, British Telecom, KPMG 등

  10. 2. BS7799 인증 추진절차 3.1 개요 3.2 사전 심사 (Pre-Assessment) 3.3 문서 심사 (Desktop Review) 3.4 현장 심사 (본심사) 3.5 인증 심사결과 보완 3.6 인증 수여식 진행방안

  11. 2. 인증 컨설팅 추진절차 2.1 개요 • BS7799 인증 획득을 위하여 문서심사, 현장심사를 적극 지원하며, 심사 시 지적된 보완 요구사항에 신속한 대응으로 인증 획득 목표를 달성함 • 인증 심사 前 사전심사(Pre-Assessment)를 실시하여 인증 준비사항을 점검함 인증 심사 Process Requirements 사전 심사 문서심사 지원 문서 심사 현장 심사 현장심사 지원 결과 검토 No 문제점 인증심사 지원 Yes 보완사항 보완조치요청 고객사 보완조치 결과 확인 조치결과 심사결과보고서 작성 인증위원회 개최 인증서 인증서 발급

  12. 2. 인증 컨설팅 추진절차 2.2 사전 심사 (Pre-Assessment) • BS7799 인증심사는 문서심사와 현장심사로 구성됨 • 인증심사 前 사전심사(Pre-Assessment)를 통해 인증 준비사항 점검 및 미비점 보완을 실시함 (사전심사는 BS7799 인증의 필수(Mandatory) 요구사항은 아님) 사전 심사 BS7799 인증심사 신청 사전 심사 문서 심사 현장 심사 결과 검토 No 문제점 Yes 보완조치요청 보완조치 결과 확인 인증서 발급 인증 수여식

  13. 2. 인증 컨설팅 추진절차 2.3 문서 심사 (Desktop Review) • 정보보안 정책, 정보보안 관리체계 운영 Evidence 등에 대한 문서심사(Desktop Review)를 실시함 문서 심사 (Desktop Review) 사전 심사 문서 심사 현장 심사 결과 검토 No 문제점 Yes 보완조치요청 보완조치 결과 확인 인증서 발급 인증 수여식 [BS7799 문서심사 장면]

  14. 2. 인증 컨설팅 추진절차 2.3 문서 심사 (Desktop Review) - 계속 • 정보보안 관리체계의 개선 및 운영을 통해 BS7799 인증 심사 요구문서 확인 BS7799 인증 심사 문서 ※ 인증 심사 시 상기 기술한 정보보안 관리체계 운영 Evidence의 추가/삭제가 가능함.

  15. 2. 인증 컨설팅 추진절차 2.4 현장 심사 (본심사) • 인증 문서심사 時 지적된 미비점 보완 후, 정보보안 관리체계 운영에 대한 현장 실사를 실시함- 인증 심사원의 고객사 현장 방문, Evidence 확인 및 담당자 인터뷰 실시- 소요기간 : 3일간 현장 심사 (본 심사) 사전 심사 문서 심사 현장 심사 결과 검토 No 문제점 Yes 보완조치요청 보완조치 결과 확인 인증서 발급 인증 수여식 [BS7799 문서심사 장면]

  16. 3. 인증 컨설팅 추진절차 3.5 인증 심사결과 보완 • 문서심사와 현장심사 時 인증 심사원은 BS7799 Part2:2002 요구사항 준수 여부를 점검하여 부적합(Non-Conformity) 보고서를 작성하여 고객사 측에 제출함 • 고객사와 컨설팅하우스는 시기 적절하고 빠른 대응으로 인증 획득 기간을 단축함 사전 심사 • 부적합 사항에 대한 고객사와 심사원간의 합의/서명 문서 심사 현장 심사 • 인증심사 결과 부적합 상세 내용 기술 (심사원) 결과 검토 No 문제점 • 부적합 사항에 대하여 고객사 측의 개선 조치사항 기술 • 인증기관에 제출 (13주 이내) Yes 보완조치요청 보완조치 결과 확인 인증서 발급 인증 수여식 [ 부적합 보고서 (Non-Conformity Note) 사례 ]

  17. 3. 인증 컨설팅 추진절차 3.6 인증 수여식 진행방안 • BS7799 인증심사 통과 시 인증 관련 내ㆍ외빈 참석 하에 인증 수여식을 진행함- 인증 획득을 위하여 현장심사 時 지적된 미비점의 보완이 선행되어야 함 인증 수여식 진행 [노르웨이 대사(아륄드 브로스타드)의 BS7799 인증 수여 장면] • 참석 대상 - 외교관급 내외빈- 고객사 임원, 프로젝트 TFT- 인증기관 임원 • 장소 - 추후 협의 • 소요시간- 60분 • 지원사항- Global Leading Company로서의 고객사 위상에 부합하는 외교관급 외빈을 초청 진행함.- 고객사와의 협의 하에 사전 행사 시나리오 작성, 장소 섭외, 의전 준비 등의 예행연습으로 인증 수여식 준비에 만전을 기함.- 인증 수여식의 제반 준비는 외교 의전 수준에 부합하게 준비함. 사전 심사 문서 심사 현장 심사 결과 검토 No 문제점 Yes [KISA 김창곤 원장의 정보보안 관리체계 인증 수여 장면] 보완조치요청 보완조치 결과 확인 인증서 발급 인증 수여식

  18. 3. 인증 컨설팅 추진절차 3.6 인증 수여식 진행방안 - 계속 • BS7799 인증 수여식의 원활한 진행을 위하여 외교 의전 수준에 부합한 행사 시나리오를 사전 준비하여 행사 준비에 만전을 기함 인증수여식 진행 시나리오 사례 * 고객사 인증 수여식 상세 일정은 사전 협의하에 변경 가능함

  19. 삼성화재, BS7799 인증 수여식 개최전자신문, 2003년 06월 삼성화재가 11일 본사 경영 회의실에서 이수창 삼성화재 사장(왼쪽에서 네번째)과 아릴드 브로스타드 노르웨이 대사(왼쪽에서 다섯번째) 등 50여명의 관계자들이 참석한 가운데 ‘국제보안표준 BS7799 인증 수여식’ 행사를 가졌다. 삼성화재의 이번 ‘BS7799’ 보안인증서는 IT 전부문을 대상으로 획득한 것이다. IT 전부문 획득은 국내 금융기관 중 처음이다. 3. 인증 컨설팅 추진절차 3.6 인증 수여식 진행방안 - 계속 • BS7799 인증 수여식의 사내ㆍ외 홍보를 위하여 국내 주요 일간지 및 사내 신문/방송을 활용함.- 국내 언론 홍보 : 한국경제신문, 매일경제신문, 전자신문, 디지털타임스, 파이낸셜 뉴스 등- 사내 홍보 : 사내 정기 간행지, 사내 방송 등- 인증 획득을 IR 자료로 활용 가능함. 언론 홍보 사례 삼성화재, 국제 보안인증, 2003년 05월 28일 (수) 삼성화재는 국내 보험업계 최초로 고객정보 보안과 관련된 안전성을 인정하는 '국제 보안인증'을 받았다. 삼성화재(www.samsungfire.com 사장 이수창)는 노르웨이 국제 표준인증 기관(DNV)으로부터 역시 BS7799 인증을 받았다 고 28일 밝혔다. 'BS7799'는 1955년 영국에서 제정된 세계 유일의 국제보안 표준규격으로, DNV 등의 기관에서 이를 대행해주고 있다. 이 인증은 95년 제정된 영국 정부의 정보보안 관리체계로서 정보보안 분야의 유일한 국제 표준 인증방식으로 공인 받고 있다. 삼성화재는 이번 인증 획득을 위해 각각 지난해 12월과 올초부터 10개 분야 127개 심사항목에 맞춰 보안 전담조직 부문을 신 설해 보안요소를 체계적으로 관리해왔다. 삼성화재 국제 보안인증 획득2003년 05월 28일 (수) 삼성화재가 국내 보험업계에서는 처음으로 국제 보안인증을 받았다. 삼성화재는 28일 세계적 국제표준 인증기관인 영국표준협회(BSI)로부터 국 제 정보보안 표준 규격인 'BS7799' 인증을 획득했다고 밝혔다. 현재 전 세계 27개국 245개 기업이 인증을 받았으며 국내에서는 삼성전자 를 비롯한 11개 업체가 인증을 획득했다. 삼성화재는 노르웨이의 국제 표준 인증기관인 DNV로부터 BS7799 인증을 받았다.

  20. 4. 국내 정보보호관리시스템 인증 제도 4.1 인증제도 • 정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 • 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 • 제3자의 인증기관(한국정보보호진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도

  21. 목적 • 정보자산의 안전, 신뢰성 향상 • 정보보호관리에 대한 인식 제고 (내부자소행 85%) • 조직의 정보보호역량 강화를 통한 국가 주요정보통신기반시설의보호 및 국제적신뢰도 향상 • 정보보호서비스 산업의 활성화 • 법적 근거 • <의무사항은 아니며 대상사업자가 자율적으로 신청>- “정보통신망이용촉진및정보보호등에관한법률” 제47조 - “정보통신망이용촉진및정보보호등에관한법률시행령”23조의2 - “정보통신망이용촉진및정보보호등에관한법률시행규칙”6조 • ※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있도록 하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함

  22. 4. 국내 정보보호관리시스템 인증 제도 4.2 인증제도 특징 • 국내 실정에 적합한 정보보호관리 모델 제시- 공신력 있는 정보보호 전문기관(KISA)에 의한 심사 및 인증- 국내 최고의 분야별 전문가들에 의한 인증 심사- 국내 정보보호관련 법제도 반영- 기술심사 강화를 위한 모의진단 수행(요청시)- 안전진단 대상자가 ISMS 인증 취득 시 면제(당해년도) • 추진체계

  23. 인증심사의 종류 • 인증심사, 갱신심사, 재심사, 사후관리심사로 구분한다. 기본적으로 인증유효기간은 3년이며, 인증취득 후 1년 에 1회 이상 사후관리심사를 받아야 함 • 인증심사 :최초로 인증을 받는 경우의 심사 • 갱신심사 : 인증 유효기간(3년) 만료 이전에 유효기간의 연장을 목적으로 실시하는 심사 • 재심사 : 인증을 받은 ISMS 범위 내에 중대한 변화가 발생하는 경우 실시하는 심사(이때, 인증유효기간은 재심사 후 3년 임) • 사후관리심사 : 인증 받은 기관이 ISMS를 지속적으로 유지하고 있는 지를 점검하는 심사

  24. 4.3 인증심사 수수료 • 소프트웨어 기술과 등급별 노임단가 적용 - 인증심사수수료는 종업원수, 서버수를 고려한 심사일 수에 따라 산정됨 • 인증심사 수수료 = 신청비 + 직접인건비 + 직접경비심사일 수 = 종업원 수에 따른 심사일 수 + 정보보호시설 규모에 따른 심사일수직접인건비 = 기술자등급별단가(노임단가) × 심사일 수

  25. 4. 국내 정보보호관리시스템 인증 제도 4.2 인증제도 특징 • 인증받은 기관(예) – 49개

More Related