보안관 에세이

ISMS-P 인증 / ISMS 간편인증(7의3) 대상 기업에서는 1.2.2 항목이 유지되었고요.ISMS-P 간편인증 대상(7의2) 기업에서는 1.2.2 항목이 삭제되었습니다. (7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업 1.2 위험 관리1.2.1 정보자산 식별1.2.2 현황 및 흐름 분석1.2.3 위험 평가1.2.4 보호대책 선정 개요인증기준관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. 주요확인사항관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와..

1.2 위험 관리1.2.1 정보자산 식별1.2.2 현황 및 흐름 분석1.2.3 위험 평가1.2.4 보호대책 선정 개요인증기준조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 주요확인사항정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가? 세부 설명분류기준 수립 및 자산 식별정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 ..

안녕하세요. 저는 중소기업에서 2023년 ISMS 인증(최초심사)을 받고 2024년 ISMS 인증(사후1차)를 받은 경험을 바탕으로 이글을 쓰게 되었습니다. 아래에 말씀드리는 것처럼 저희 회사가 ISMS 인증 특례시행에 따라 7의2 대상기업이 되어 2025년은 ISMS 간편인증(사후2차) 을 준비하고 있습니다.  ISMS 간편인증시에는 1.1.6 자원할당 항목이 삭제되어 별도의 증적자료를 준비하지 않아도 되지만 2년간 ISMS 인증을 준비하고 정보보호활동을 진행하면서 정보보호활동 연간 추진 계획서 및 정보보호활동 결과 보고서는 연도별 정보보호 및 개인정보보호 업무 세부추진계획을 수립/시행하고 추진결과에 대한 심사분석/평가를 실시하는 것으로 인증심사 기준에 상관없이 ISMS(정보보호 관리체계)를 유지하는 ..

ISMS-P 인증을 준비하면서 꼭 알아야 할 사항이 있습니다. ISMS-P 인증 의무 기업이 (정보통신서비스  관련 매출 100억 이상) 최초 인증을 하지 않았다면 어떤 처분을 받을까요?ISMS 인증 의무 대상자는 최초 해당된 해의 다음 해 8월 31일까지 인증을 받아야 하며(정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 제19조 제4항), 만약 인증 의무 대상자가 ISMS 인증을 받지 않을 경우 3,000만 원 이하의 과태료가 부과됩니다(정보통신망법 제76조 제1항 제6의 5호). ISMS-P 인증 의무 기업의 기준맞습니다. 최초 ISMS-P 인증 의무 기업은 정보통신업 관련 매출이 100억 이상이 되면 과학기술정보통신부가 국세청에 신고된 세무 관련 신고액을 근거로 대상 기업에 공식 공문을 보..

ISMS 인증 준비, 제주도에서 담당이사님과 함께 교육을 마무리 하면서 정보보호 관리체계를 우리가 직접 구현하고 보안컨설팅을 받지 않기로 했습니다.  몇달동안 ISMS 인증관련 안내서, 온라인/오프라인 교육 등을 받은것으로도 충분하지만 ISMS심사위원으로 현업에서 근무하는 분들의 현실적인 실무활용서도 추가적으로 활용하면 좋겠다는 생각이 들어서 몇개의 도서를 구매하게 되었습니다. 2년사이에 개인정보보호법과 정보통신망법 및 시행령, 고시등이 수없이 개정되었습니다. 개정된 법에 맞게 개정판도 나오고 있으니 구매시에 참고하시면 좋을것 같습니다. 1.1. 관리체계 기반 마련1.1.1. 경영진의 참여1.1.2. 최고책임자의 지정1.1.3. 조직구성1.1.4. 범위설정1.1.5. 정책수립1.1.6. 자원할당   현황..

정보보호 조직도 구성이 완료되었다면 이젠 전체적인 ISMS 범위설정을 해야 합니다. 저도 1년가까이 준비하면서 외부의 도움없이 정부에서 발표한 자료와 강의, 서적등으로만 작성했기 때문에 제가 제시하는 작성가이드가 100% 완벽한것은 아닙니다. 하지만 오랜기간 고민하면서 만든 것이기에 ISMS 인증 담당자로서 무엇을 먼저 준비해야할지 모르는 분들에게는 조금이나마 도움이 되지 않을까 합니다. 1.1. 관리체계 기반 마련1.1.1. 경영진의 참여1.1.2. 최고책임자의 지정1.1.3. 조직구성1.1.4. 범위설정1.1.5. 정책수립1.1.6. 자원할당 중소기업 보안 담당자를 위한 ISMS 범위 정의서 작성 가이드정보보호 관리체계(ISMS)는 기업의 정보자산을 보호하고, 정보보호 관련 법적 요구사항을 준수하기 ..

CEO가 승인한 CISO 인사발령을 했다면 그다음은 정보보호 조직도를 만드는 것입니다.  1.1. 관리체계 기반 마련1.1.1. 경영진의 참여1.1.2. 최고책임자의 지정1.1.3. 조직구성1.1.4. 범위설정1.1.5. 정책수립1.1.6. 자원할당 조직구성 본 저작물은 "공공누리" 제4유형:출처표시+상업적 이용금지+변경금지 조건에 따라 이용 할 수 있습니다. CISO 길라잡이(기본편) 에 보면 3. 정보보호 업무와 정보보호 거버넌스에 대한 내용이 있습니다. 이부분을 참고하면 좋을것 같습니다.  핵심은 최고경영층 및 비정보보호조직과의 소통인것 같습니다.  아래의 그림은 필자가 근무하는 회사의 정보보호 조직도입니다. 중소기업이다보니 인력자원이 제한적입니다. 기존에 하던 일반업무를 하면서 정보보호 조직도에 ..

ISMS 인증기준의 첫 번째는 바로 관리체계 기반 마련입니다.  1.1. 관리체계 기반 마련1.1.1. 경영진의 참여1.1.2. 최고책임자의 지정1.1.3. 조직구성1.1.4. 범위설정1.1.5. 정책수립1.1.6. 자원할당 주요 검토 사항 질문1) 최고 경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가? 중소기업 담당자를 위한 '정보보호 관리체계(ISMS)'  구축운영 교육 이후 사무실로 돌아와서 처음 실행한 것이 무엇일까요? 네 맞습니다. 제목과 같이 CISO / CPO 인사발령부터 시작했습니다.  과학기술정보통신부(https://www.msit.go.kr/search/ko/searchKo.do?qt=CISO) 통해 CISO갈라잡이 자료를 찾..

ISMS 보안 컨설팅의 유익한 점ISMS(정보보호 관리체계) 인증 준비를 진행하면서 보안 컨설팅을 받는 것은 여러모로 유익할 수 있습니다. 1. 법적 요구사항 준수 : ISMS 인증은 특정 산업에서는 법적 요구사항일 수 있으므로, 이를 통해 법적 리스크를 줄일 수 있습니다.2. 전문가의 조언: 보안 전문가의 컨설팅을 통해 현재 시스템의 취약점을 파악하고, 개선 방안을 제시받을 수 있습니다.3. 신뢰도 향상: ISMS 인증을 통해 고객 및 파트너에게 신뢰를 줄 수 있으며, 기업의 이미지 향상에 기여할 수 있습니다.4. 위험 관리: 체계적인 위험 분석을 통해 잠재적인 위협을 사전에 식별하고 대응 전략을 마련할 수 있습니다.5. 지속적인 개선: ISMS는 단발성이 아닌 지속적인 관리 체계이므로, 이를 통해 보..

ISMS 인증제도 및 기준 안내서를 확인했다면 그것을 바탕으로 각 인증기준별 세부적인 항목을 공부해야 하는데요. 안내서만으로는 이해가 되지 않는 영역이 있기 때문에 ISMS-P 인증 관련 교육콘텐츠를 활용하는 것이 좋습니다. 막막했던 ISMS-P의 A부터 Z까지 간략하게나마 소개하는 영상을 통해 좀 더 ISMS-P 인증 준비에 한 발자국 다가가게 되었습니다.  온라인 학습 온라인학습" href="https://isms-p.kisa.or.kr/lms/login.jsp" target="_blank" rel="noopener">KISA ISMS-P 홈페이지>온라인학습 으로 들어가면 별도의 회원가입 없이 휴대폰인증과 I-PIN 본인인증을 통해 온라인 학습을 진행할 수 있습니다. 그런데 온라인 학습의 단점은 매번..