Kyu's Thought Diary

ISMS 인증을 준비하면서 제일 힘들었던 영역중 하나가 위험평가 영역이었습니다. 다행스럽게도 내년부터는 간편인증으로 갈아타기 때문에 위험평가 영역은 패스해도 되지만 최초심사와 사후1차 심사과정에서도 제일 어려웠던 영역이 위험평가 부분이었습니다.  참고로 활용할 수 있는 문서가 없어서 좀 오래된 문서이기는 하지만 KISA 에서 제공하는 '위험관리 가이드' 기초로 지식을 넓혀가게 되었습니다.    ISMS-P 인증 대상 기업에서는 1.2.3 항목이 유지되었고요.ISMS-P 간편인증 대상(7의2,7의3) 기업에서는 1.2.3 항목이 삭제되었습니다. (7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 ..

ISMS-P 인증 / ISMS 간편인증(7의3) 대상 기업에서는 1.2.2 항목이 유지되었고요.ISMS-P 간편인증 대상(7의2) 기업에서는 1.2.2 항목이 삭제되었습니다. (7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업 1.2 위험 관리1.2.1 정보자산 식별1.2.2 현황 및 흐름 분석1.2.3 위험 평가1.2.4 보호대책 선정 개요인증기준관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. 주요확인사항관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와..

CEO가 승인한 CISO 인사발령을 했다면 그다음은 정보보호 조직도를 만드는 것입니다.  1.1. 관리체계 기반 마련1.1.1. 경영진의 참여1.1.2. 최고책임자의 지정1.1.3. 조직구성1.1.4. 범위설정1.1.5. 정책수립1.1.6. 자원할당 조직구성 본 저작물은 "공공누리" 제4유형:출처표시+상업적 이용금지+변경금지 조건에 따라 이용 할 수 있습니다. CISO 길라잡이(기본편) 에 보면 3. 정보보호 업무와 정보보호 거버넌스에 대한 내용이 있습니다. 이부분을 참고하면 좋을것 같습니다.  핵심은 최고경영층 및 비정보보호조직과의 소통인것 같습니다.  아래의 그림은 필자가 근무하는 회사의 정보보호 조직도입니다. 중소기업이다보니 인력자원이 제한적입니다. 기존에 하던 일반업무를 하면서 정보보호 조직도에 ..

ISMS 인증기준의 첫 번째는 바로 관리체계 기반 마련입니다.  1.1. 관리체계 기반 마련1.1.1. 경영진의 참여1.1.2. 최고책임자의 지정1.1.3. 조직구성1.1.4. 범위설정1.1.5. 정책수립1.1.6. 자원할당 주요 검토 사항 질문1) 최고 경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가? 중소기업 담당자를 위한 '정보보호 관리체계(ISMS)'  구축운영 교육 이후 사무실로 돌아와서 처음 실행한 것이 무엇일까요? 네 맞습니다. 제목과 같이 CISO / CPO 인사발령부터 시작했습니다.  과학기술정보통신부(https://www.msit.go.kr/search/ko/searchKo.do?qt=CISO) 통해 CISO갈라잡이 자료를 찾..