Kyu's Thought Diary

1.2 위험 관리1.2.1 정보자산 식별1.2.2 현황 및 흐름 분석1.2.3 위험 평가1.2.4 보호대책 선정 개요인증기준조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 주요확인사항정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가? 세부 설명분류기준 수립 및 자산 식별정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 ..

회사의 주요매출이 정보통신서비스를 통해서 나오다보니 보안업무를 담당하기전부터 정보통신망법과 개인정보보호법의 테두리안에서 지켜야할 것과 지키지 말아야 할것들에 대한 고민을 항상 해오고 있었습니다. 인터넷 진흥원(KISA)라는 정부기관를 통해 주기적으로 개인정보보호 관련 해설서 및 인터넷 사업을 영위하기 위한 자료들을 점검하였기에 ISMS 인증의무기업이라는 당면한 문제앞에서도 관련정부기관에서 만든 해설서가 있을것이라는 생각을 하게 되었고 자연스럽게 ISMS-P 사이트를 찾게 되었습니다.  참고로 제가 재직하고 있는 회사는 '인터넷 쇼핑몰 서비스(OOOO)' 라는 서비스중심으로 ISMS-P 인증을 받았습니다. ISMS-P 인증대상기업은 저희와 같은 인터넷 쇼핑몰 회사외에도 IDC, 클라우드 사업자, 가상자산 ..

안녕하세요. 저는 중소기업에서 20년 가까이 프로그램 개발과 서버 운영 업무를 하다가 회사가 ISMS 의무기업이 되면서 보안담당자라는 직무까지 맡게 되었습니다. 쉽지 않았던 ISMS 인증 과정을 돌아보며 이 글을 쓰게 되었습니다. 먼저 ISMS 심사기관이나 심사위원과는 약간의 입장 차이가 있을 수 있음을 말씀드립니다.  몇 년 전 과기부로부터 ISMS 인증의무기업에 해당한다는 공문을 받았습니다. 주요 내용은 다음과 같았습니다:  1. 회사가 ISMS 인증 의무기업 기준(매출 100억 이상)에 해당하므로, 공문 수령 후 다음 해 8월까지 인증을 완료해야 함 2. 의무기업이 아니라고 판단되면 이의제기 가능 3. ISMS 또는 ISMS-P 중 선택하여 인증 가능  회사 매출이 100억을 넘은 지 몇 년이 지났..