[이미지 출처] 한국 인터넷 진흥원

 

ISMS 인증 제도 란? 

ISMS(Information Security Management System) 정보관리체계 인증 제도로, 기업이나 조직이 정보보호를 위해 체계적이고 지속 가능한 관리체계를 구축하고 운영하는지 평가하여 인증을 부여하는 제도입니다. 이 인증은 정보보호를 체계적으로 관리하고 있다는 신뢰성을 외부에 입증할 수 있는 중요한 수단입니다.

서비스 운영을 위한 조직 및 인력, 장소, 인프라 등 정보에 대한 종합적인 관리 현황이 인증의 대상이 되며, 구체적으로 해당 사업자가 관리 체계를 수립하여 운영하고 있는지 여부 및 인적 · 물리적 보안, 암호화 적용, 정보시스템의 도입, 시스템 · 서비스의 운영 및 보안 관리, 사고 예방 및 대응, 재해복구 등 사항에 관해 요구되는 보호 대책을 갖추었는지 여부를 심사하게 됩니다.

 

1. ISMS의 다양한 인증 유형

[이미지 출처] Getty images 

 

A. ISMS 기본 인증

- ISMS 기본 인증은 기업이나 조직이 정보보호 관리체계를 구축하고 운영하는 것을 평가하여 인증하는 가장 기본적인 형태의 인증입니다. 이 인증은 정보의 기밀성, 무결성, 가용성을 보장하기 위한 체계적인 관리 시스템을 갖추었는지를 평가합니다.

 

B. ISMS-P 인증

- ISMS-P(Information Security Management System-Privacy) 인증은 ISMS 인증에 개인정보보호 관리체계를 추가한 인증입니다. ISMS-P 인증은 개인정보의 보호와 관리를 포함하여 보다 포괄적인 정보보호를 목표로 합니다. 이는 개인정보보호법 등 관련 법규를 준수하며 개인정보의 기밀성, 무결성, 가용성을 보장하는 관리체계를 평가합니다.

 

C. ISO/IEC 27001 인증

- ISO/IEC 27001 인증은 국제 표준화 기구(ISO)와 국제 전기 기술 위원회(IEC)가 공동으로 제정한 정보보호 관리체계 국제 표준입니다. 이 인증은 정보보호 관리체계가 국제 표준에 부합하는지를 평가하며, 국제적으로 인정받는 인증입니다. ISO/IEC 27001 인증은 전 세계적으로 널리 사용되며, 국제 비즈니스를 수행하는 기업에 특히 중요합니다.

 

D. 산업별 ISMS 인증

- 특정 산업 분야에 맞춘 ISMS 인증도 존재합니다. 예를 들어, 금융, 의료, 제조업 등 특정 산업의 특수한 정보보호 요구사항을 충족하기 위한 인증입니다. 이러한 산업별 ISMS 인증은 해당 산업의 규제와 법적 요구사항을 고려하여 설계됩니다.

 

E. 클라우드 보안 인증

- 클라우드 보안 인증은 클라우드 서비스 제공자가 정보보호 관리체계를 구축하고 운영하는 것을 평가하는 인증입니다. 클라우드 환경의 특수성을 고려하여 클라우드 서비스의 기밀성, 무결성, 가용성을 보장하는 관리체계를 평가합니다.

 

F. 기타 인증

- 각국 정부나 특정 기관에서 요구하는 별도의 정보보호 인증도 있을 수 있습니다.

예를 들어, 특정 국가의 정보보호 법규에 따라 요구되는 인증이나, 특정 기관에서 발급하는 정보보호 인증 등이 있습니다.

 

 

2. ISMS 인증의 목적과 필요성 



[이미지 출처] 네이버 지식백과

 

A. 인증의 목적 

- 정보자산 보호: 정보의 기밀성, 무결성, 가용성을 유지하여 정보자산을 보호합니다.

- 위험 관리: 정보보호와 관련된 다양한 위험을 체계적으로 관리합니다.

- 법적 준수: 정보보호 관련 법규와 규정을 준수합니다.

- 신뢰성 향상: 고객과 파트너사에게 정보보호에 대한 신뢰를 제공합니다.

 

B. 인증의 필요성

- 보안 사고 예방: 체계적인 정보보호 관리체계를 통해 보안 사고를 예방할 수 있습니다.

- 신뢰성 제고: 인증을 통해 고객과 파트너사에게 신뢰성을 높일 수 있습니다.

- 법적 요구사항 준수: 관련 법규와 규정을 준수하여 법적 리스크를 줄일 수 있습니다

 

 

3. ISMS 인증 진행 과정 

 


 

[이미지 출처] 네이버 지식백과 

 

A. 계획: ISMS 수립 (Establishing ISMS)

- 조직이 갖고 있는 위험을 관리하고, 정보 보안이라는 목적을 달성하기 위한 전반적인 정책을 수립 합니다.

● 프로세스를 위한 입력과 출력 규정

 프로세스별로 범위를 정의하고 고객의 요구사항을 규정

 프로세스 책임자 규정

 프로세스 네트워크의 전반적인 흐름과 구성도 전개

 프로세스 간 상호작용 규정

 의도되거나 그렇지 않은 결과의 특성 지정

 기준에 대한 측정

 모니터링 분석을 위한 방법 지정

 경제적 문제 고려(비용, 시간, 손실 등)

 자료 수집을 위한 방법 규정

 

B. 수행: ISMS 구현과 운영 (Implement and Operate the ISMS)

- 수립된 정책을 현재 업무에 적용합니다. 

 각 프로세스를 위한 자원분배

 의사소통 경로 수집

 피드백 수용

 자료 수집 및 기록 유지 

 

B. 점검: ISMS 모니터링과 검토 (Monitor and Review the ISMS)

- 적용된 정책이 실제로 얼마나 잘 적용되고 운영되는지 확인합니다.

 정확한 프로세스의 측정과 이행을 모니터링

 수집된 정보를 분석(정량적, 정상적)

 분석된 결과를 평가

 

C. 조치: ISMS 관리와 개선 (Maintain and Improve the ISMS)

- 잘못 운영되고 있는 경우에 그 원인을 분석하고 개선합니다.

 시정 및 예방 조치 실행

 시정 및 예방 조치의 유효성과 이행에 대한 검증

 

ISMS 인증은 정보보호 관리체계를 체계적으로 구축하고 운영하는 데 도움을 주며, 이를 통해 기업은 정보보호 수준을 향상시키고, 법적 요구사항 준수, 보안사고 예방, 신뢰성 제고, 경쟁력 강화, 내부 관리 개선하여 외부에 신뢰성을 입증 받을 수 있음으로 받드시 받아야 되는 인증 절차입니다.