ISMS - 정보 보호 관리 체계 인증

ISMS

InfoSec Triangle (정보보호의 3요소)

Confidentiality(기밀성) : 인가되지 않은 방식으로 정보를 획득할 수 없도록 하는 것

Integrity(무결성) : 데이터나 리소스를 인증되지 않은 변경으로부터 보호하는 것(승인된 주체 및 방법에 의해서만 변경 가능)

Availability(가용성) : 인가를 받은 사용자가 정보나 서비스를 요구할 경우 정보 시스템에 대한 사용 가능 여부에 대한 요구사항 (승인된 주체에 의해 접근될 때 방해받지 말아야 할 성질)

 

정보보호의 주요 개념

- 자산 (Asset): 조직 내의 가치를 갖고 있는 모든 것, 조직이 보호해야 할 대상으로서 정보, 하드웨어, 소프트웨어, 시설 등을 말하며 관련 인력, 기업 이미지 등의 무형자산 포함 (예: 물리적 자산, 정보자산, 소프트웨어 등)

- 취약점 (Vulnerability): 위협이 가해질 수 있는 자산 또는 자산 집합의 약점, 자산의 잠재적 속성으로서 위협의 이용 대상으로 정의하나, 때로는 정보보호대책의 미비로 정의 (예: 패치 미적용, 백신 업데이트 미흡, 인터넷 접속 등)

- 위협 (Threat): 조직, 조직의 자산, 네트워크, 시스템에 피해를 주는 잠재적 원인, 자산에 손실을 초래할 수 있는, 원치 않는 사건의 잠재적 원인(source)이나 행위자(agent)로 정의 (예: 자연적 위협, 바이러스, 웜, 해커 등)

- 위험 (Risk): 자산의 취약한 부분에 위협요소가 발생하여 자산의 손실, 손상을 유발한 잠재성, 원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성을 말함.

- 보호대책 (Safeguard): 위험을 줄이기 위한 대책, 위협에 대응하여 자산을 보호하기 위한 관리적, 물리적, 기술적 대책으로 정의

- 잔여 위험 (Residual Risk): 대책을 구현한 후 남아 있는 위험

 

정보보호 대책 3요소

- 관리적 조치 : 관리계획, 정책, 교육, 보안구역 설정

- 물리적 조치 : 출입통제, CCTV, 물리적 잠금장치

- 기술적 조치 : ID/Password, 암호화, 보안 프로그램

 

주요 정보 처리 시 유의 사항

악성 프로그램 등 방지 : 악성 프로그램 등을 방지, 치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치, 운영- 보안 프로그램은 항상 최신의 상태로 유지 : 자동 업데이트, 일 1회 이상 업데이트- 악성 프로그램 관련 경보 발령, 보안 업데이트 공지 시 즉시 업데이트- 발견된 악성 프로그램 등에 대해 삭제 등 대응 조치

 

물리적 안전조치

- 개인정보 보관을 위한 물리적 보관 장소 (전산실, 자료 보관실 등)는 출입 통제 절차를 수립, 운영- 개인정보가 포함된 서류, 보조 저장매체 등을 잠금장치가 있는 안전한 장소에 보관- 개인정보가 포함된 보조 저장매체의 반출, 반입 통제를 위한 보안 대책을 마련

 

업무용 PC 측면 - 개인정보 취급자 : 개인정보를 처리하는 임직원, 파견 근로자, 시간제 근로자 등

- 파일 암호화 저장 : 고유 식별 정보, 바이오 정보, 비밀번호(일방향)- 로그인 비밀번호 설정- 백신 설치, 운영- PC 방화벽 설정- 개인정보 파기 : 불필요한 보유기간 지난 개인정보 주기적 점검 후 전부 또는 일부 파기

 

모바일 기기 측면 

- 신뢰할 수 있는 무선망 이용 : 관리자 비밀번호, WPA2 암호화 채널 등이 설정된 무선망 이용, 개인정보 송신 시 파일 암호화 조치 등- 분실 도난으로 인한 유출 방지 보안 설정- 백신 설치, 운영- 파일 암호화 저장 : 고유 식별 정보, 바이오 정보, 비밀번호(일방향)- 개인정보 파기 : 불필요한 보유기간 지난 개인정보 주기적 점검 후 전부 또는 일부 파기

 

패스워드 정책

NIST(미국 국립표준기술연구소)을 기준으로 2가지 조합은 8자리, 문자 1가지 조합은 10자리 정해집니다.
- 외부에서 개인정보처리 시스템에 접속하여는 경우 안전한 접속수단 또는 안전한 인증수단(ID/PW, OTP) 적용
(가상사설망 VPN - Virtual Private Network 또는 전용선)
- 일정 시간 이상 업무처리를 하지 않을 경우 자동으로 접속 차단
- 악성프로그램 방지(백신)는 지침 작성 시 고시 내용뿐 아니라 주기적인 점검 항목도 포함시키면 좋습니다.

 

DLP (Data Loss Prevention)

: 데이터 유출 방지, 기업 내에서 이용하는 기술 정보, 프로젝트 계획, 사업 내용, 영업 비밀, 고객 정보 등을 보호하고 외부 유출을 방지하기 위해서 사용, 사외 망으로 통하는 네트워크 끝단에서 내부정보 유출을 통제하는 기술은 네트워크 DLP(Network DLP)로 불린다. 메신저, 웹하드, 웹메일, 클라우드 서비스를 통한 기밀정보, 개인정보 유출을 차단하는 보안기술

 

ISMS 인증

: 정보보호관리체계(Information Security Management System)란 뜻으로, 인터넷 진흥원 및 인증기관에 의해 기업 또는 조직이 정보보호 정책을 기준에 부합하도록 수립하고 위험에 대응하는 여러 보안 대책들을 통합하게 하는 것을 목적으로 한다. 관련 국외 인증으로는 ISO(국제표준화기구)의 ISO 27001이 있으며, ISMS-P는 ISMS에 '개인정보보호' 인증(PIMS)이 통합된 인증을 뜻한다.

 

ISMS의 법적 근거

: 정보통신망법 제47조 (과학기술정보통신부), **개인정보 보호법 제32조의 2 (개인정보보호위원회) 두 기관의 공동고시에 근거한다. 참고) 컨설팅에서는 어떤 법이 부합할지 확인하고, 지침 정책에 반영하는 것이 중요

 

* 우리나라 법적용의 우선순위
1. 상위법 우선 법칙
2. 특별(개별) 법 우선 법칙
3. 신법 우선 법칙

**개인정보보호법은 EU 일반 개인정보 보호법(GDPR, General Data Protection Regulation)을 따라간다.

 

ISMS 의무대상 기준

- SP(Internet Service Provider): 전국적으로 정보통신망 서비스를 제공하는 사업자

- IDC(Internet Data Center): 정보통신서비스 제공을 위해 정보통신시설을 운영하는 사업자

- 일정 규모 이상의 금융 및 의료기관 또는 자발적 희망 조직

 

ISMS의 BCP/DRP

개념의 포괄범위 BCP > DRP

- BCP(Business Continuity Planning): 사업 연속성 계획

- DRP (disaster recovery plan): 재해복구 계획

 

도와주신 분

https://cloudinfosec.tistory.com/

처음 만나는 클라우드 보안

감사합니다.