|
|
Line 1: |
Line 1: |
| [[분류:보안]][[분류:컴플라이언스]][[분류:정보보안기사]][[분류:인증/평가]] | | [[분류:보안]][[분류:컴플라이언스]][[분류:정보보안기사]][[분류:인증/평가]] |
| ; ISMS; Information Security Management System | | ; ISMS; Information Security Management System |
| 과학기술정보통신부와 한국인터넷진흥원에서 시행하는 보안성 인증제도. 일부 큰 규모의 업체들은 의무적으로 받도록 되어 있고 그 외의 기업들에선 본인들의 보안성을 증명하고 홍보하기 위한 용도로 받는다.
| |
|
| |
|
| == 필수 인증 대상 ==
| | * [[정보보호 관리체계 인증|'''정보보호 관리체계 인증''']] 문서를 보시려면 여기를 클릭하세요. |
| # 정보통신망을 제공하는 자(ISP)
| | * '''[[정보보호 및 개인정보보호관리체계 인증]]''' 문서를 보시려면 여기를 클릭하세요. |
| # 집적정보통신시설 사업자(IDC)
| |
| #* 재판매 사업자(VIDC)는 매출액 100억원 이상만
| |
| # 연간매출액 또는 세입이 1,500억원 이상인 상급종합병원
| |
| # 연간매출액 또는 세입이 1,500억원 이상인 학생수 1만명 이상 학교
| |
| # 정보통신서비스 전년도 매출액 100억원 이상인 자
| |
| # 전년도 말 기준 직전 3개월 일평균 이용자 수 100만명 이상인 자
| |
| * '''의무대상자 미인증시 3,000만원 이하의 과태료 (정보통신망법 제 76조 근거)''' | |
|
| |
|
| == 법적 근거 == | | == 3요소 == |
| * 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 47조
| |
| * 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제47조~54조
| |
| * 정보보호 관리체계 인증 등에 관한 고시
| |
|
| |
|
| == 추진 체계 ==
| | * 정보보호 조직과 인력 |
| * 과학기술정보통신부 | | * 정보보호 사업의 추진과 예산 배정 |
| ** 법, 제도 개선 및 정책 결정 | | * 정보보호 규정에 기반한 전사적인 정보보호 활동 |
| ** 인증기관 지정 및 관리
| |
| * 인증위원회
| |
| ** 인증심사결과 심의 의결
| |
| * 인증심사원
| |
| ** 인증심사 수행
| |
| * 인증 기관
| |
| ** 인증
| |
| ** 인증 심사
| |
| ** 인증제도 운영
| |
| ** 인증위원회 운영
| |
| ** 인증심사원 양성 및 관리
| |
| | |
| === 인증 심사 기관 ===
| |
| * '''한국인터넷진흥원(KISA)'''
| |
| ** 인증
| |
| ** 인증 심사
| |
| ** 인증위원회 운영 | |
| ** 인증제도 운영 지원
| |
| * '''금융보안원(FSI)<ref>금융기관에 대한 인증(F-ISMS)만 수행한다</ref>'''
| |
| ** 인증
| |
| ** 인증 심사
| |
| * '''한국정보통신진흥협회(KAIT)'''
| |
| ** 인증 심사
| |
| * '''한국정보통신기술협회(TTA)'''
| |
| ** 인증 심사
| |
| | |
| === 심사 유형 ===
| |
| * '''최초심사''' -(1년)-> '''사후심사''' -(1년)-> '''사후심사''' -(1년)-> '''갱신심사''' -> 사후, 갱신 반복
| |
| | |
| == 인증 기준 ==
| |
| {| class="wikitable"
| |
| ! style="text-align: center; font-weight:bold;" | 구 분
| |
| ! style="text-align: center; font-weight:bold;" | 통 제 분 야
| |
| ! style="text-align: center; font-weight:bold;" | 항목수
| |
| |-
| |
| | rowspan="6" style="text-align: center; font-weight:bold;" | 정보보호
| |
| 관리과정
| |
| | 1. 정보보호정책 수립 및 범위설정
| |
| | 2
| |
| |-
| |
| | 2. 경영진 책임 및 조직 구성
| |
| | 2
| |
| |-
| |
| | 3. 위험관리
| |
| | 3
| |
| |-
| |
| | 4. 정보보호대책 구현
| |
| | 2
| |
| |-
| |
| | 5. 사후관리
| |
| | 3
| |
| |-
| |
| | style="font-weight:bold;" | 소계
| |
| | style="font-weight:bold;" | 12
| |
| |-
| |
| | rowspan="14" style="text-align: center; font-weight:bold;" | 정보보호
| |
| 대책
| |
| | 1. 정보보호 정책
| |
| | 6
| |
| |-
| |
| | 2. 정보보호 조직
| |
| | 4
| |
| |-
| |
| | 3. 외부자 보안
| |
| | 3
| |
| |-
| |
| | 4. 정보자산 분류
| |
| | 3
| |
| |-
| |
| | 5. 정보보호 교육
| |
| | 4
| |
| |-
| |
| | 6. 인적 보안
| |
| | 5
| |
| |-
| |
| | 7. 물리적 보안
| |
| | 9
| |
| |-
| |
| | 8. 시스템개발 보안
| |
| | 10
| |
| |-
| |
| | 9. 암호 통제
| |
| | 2
| |
| |-
| |
| | 10. 접근 통제
| |
| | 14
| |
| |-
| |
| | 11. 운영 보안
| |
| | 22
| |
| |-
| |
| | 12. 침해사고 관리
| |
| | 7
| |
| |-
| |
| | 13. IT 재해복구
| |
| | 3
| |
| |-
| |
| | style="font-weight:bold;" | 소계
| |
| | style="font-weight:bold;" | 92
| |
| |-
| |
| | colspan="2" style="font-weight:bold;" | 총계
| |
| | style="font-weight:bold;" | 104
| |
| |}
| |