정보보호 관리체계 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
| 최신판 | 당신의 편집 | ||
| 1번째 줄: | 1번째 줄: | ||
; ISMS; Information Security Management System | ; ISMS; Information Security Management System | ||
과학기술정보통신부와 한국인터넷진흥원에서 시행하는 보안성 인증제도. 일부 큰 규모의 업체들은 의무적으로 받도록 되어 있고 그 외의 기업들에선 본인들의 보안성을 증명하고 홍보하기 위한 용도로 받는다. | |||
* | == 필수 인증 대상 == | ||
* ''' | # 정보통신망을 제공하는 자(ISP) | ||
# 집적정보통신시설 사업자(IDC) | |||
#* 재판매 사업자(VIDC)는 매출액 100억원 이상만 | |||
# 연간매출액 또는 세입이 1,500억원 이상인 상급종합병원 | |||
# 연간매출액 또는 세입이 1,500억원 이상인 학생수 1만명 이상 학교 | |||
# 정보통신서비스 전년도 매출액 100억원 이상인 자 | |||
# 전년도 말 기준 직전 3개월 일평균 이용자 수 100만명 이상인 자 | |||
* '''의무대상자 미인증시 3,000만원 이하의 과태료 (정보통신망법 제 76조 근거)''' | |||
== | == 법적 근거 == | ||
* 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 47조 | |||
* 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제47조~54조 | |||
* 정보보호 관리체계 인증 등에 관한 고시 | |||
* | == 추진 체계 == | ||
* | * 과학기술정보통신부 | ||
* | ** 법, 제도 개선 및 정책 결정 | ||
** 인증기관 지정 및 관리 | |||
* 인증위원회 | |||
** 인증심사결과 심의 의결 | |||
* 인증심사원 | |||
** 인증심사 수행 | |||
* 인증 기관 | |||
** 인증 | |||
** 인증 심사 | |||
** 인증제도 운영 | |||
** 인증위원회 운영 | |||
** 인증심사원 양성 및 관리 | |||
== | === 인증 심사 기관 === | ||
* '''한국인터넷진흥원(KISA)''' | |||
** 인증 | |||
** 인증 심사 | |||
** 인증위원회 운영 | |||
** 인증제도 운영 지원 | |||
* '''금융보안원(FSI)<ref>금융기관에 대한 인증(F-ISMS)만 수행한다</ref>''' | |||
** 인증 | |||
** 인증 심사 | |||
* '''한국정보통신진흥협회(KAIT)''' | |||
** 인증 심사 | |||
* '''한국정보통신기술협회(TTA)''' | |||
** 인증 심사 | |||
* | === 심사 유형 === | ||
* '''최초심사''' -(1년)-> '''사후심사''' -(1년)-> '''사후심사''' -(1년)-> '''갱신심사''' -> 사후, 갱신 반복 | |||
== 인증 기준 == | |||
{| class="wikitable" | |||
! style="text-align: center; font-weight:bold;" | 구 분 | |||
! style="text-align: center; font-weight:bold;" | 통 제 분 야 | |||
! style="text-align: center; font-weight:bold;" | 항목수 | |||
|- | |||
| rowspan="6" style="text-align: center; font-weight:bold;" | 정보보호 | |||
관리과정 | |||
| 1. 정보보호정책 수립 및 범위설정 | |||
| 2 | |||
|- | |||
| 2. 경영진 책임 및 조직 구성 | |||
| 2 | |||
|- | |||
| 3. 위험관리 | |||
| 3 | |||
|- | |||
| 4. 정보보호대책 구현 | |||
| 2 | |||
|- | |||
| 5. 사후관리 | |||
| 3 | |||
|- | |||
| style="font-weight:bold;" | 소계 | |||
| style="font-weight:bold;" | 12 | |||
|- | |||
| rowspan="14" style="text-align: center; font-weight:bold;" | 정보보호 | |||
대책 | |||
| 1. 정보보호 정책 | |||
| 6 | |||
|- | |||
| 2. 정보보호 조직 | |||
| 4 | |||
|- | |||
| 3. 외부자 보안 | |||
| 3 | |||
|- | |||
| 4. 정보자산 분류 | |||
| 3 | |||
|- | |||
| 5. 정보보호 교육 | |||
| 4 | |||
|- | |||
| 6. 인적 보안 | |||
| 5 | |||
|- | |||
| 7. 물리적 보안 | |||
| 9 | |||
|- | |||
| 8. 시스템개발 보안 | |||
| 10 | |||
|- | |||
| 9. 암호 통제 | |||
| 2 | |||
|- | |||
| 10. 접근 통제 | |||
| 14 | |||
|- | |||
| 11. 운영 보안 | |||
| 22 | |||
|- | |||
| 12. 침해사고 관리 | |||
| 7 | |||
|- | |||
| 13. IT 재해복구 | |||
| 3 | |||
|- | |||
| style="font-weight:bold;" | 소계 | |||
| style="font-weight:bold;" | 92 | |||
|- | |||
| colspan="2" style="font-weight:bold;" | 총계 | |||
| style="font-weight:bold;" | 104 | |||
|} | |||
[[분류:보안]] | |||
[[분류:컴플라이언스]] | |||
[[분류:정보보안기사]] | |||
