ISMS(Information Security Management System) 와 ISMS-P(for Public Organizations)

1994년 우리나라의 인터넷 도입기부터

2023년 현재까지 빠르게 발전하여 인터넷 강국으로 발돋움하였다.

지금 우리나라의 인터넷 발전지수는 세계 1위라고 해도 과언이 아닐정도다.

이처럼 고도화 되어가는 정보화 환경에 따른 역기능도 점점 확대되고 있는데,

내가 사용하는 플랫폼이나 속한 조직들의 주요 기밀 유출 가능성이 높아지고 있다.

ISMS 정보보호관리체계

ISMS는 2002년부터 시행된 정보보호 안전진단 제도를 폐지하고

2012년 정보통신사업자 등을 대상으로 규제를 시행하면서 2013년 의무화 된 정보보호관리다.

ISMS 인증의무 대상은 인터넷 서비스 공급기업(ISP), IDC, 연매출 또는 세입이 1500억원 이상이거나

정보통신서비스 매출액 100억 또는 일일 평균 이용자 수 100만명 이상인 사업자에 대해 의무적으로 적용되는 규제이다.
초기에는 애매한 법 규정때문에 인증의무 대상 여부가 불분명 했으며

통제항목만을 만족하면 된다는 생각에 체크리스트만으로 인증을 획득하고자 했다.

과거, 컨설팅 등 전문기관의 도움 없이 기업 내 자체 역량만으로 해결하려는

모습이 만연했고 인증에 소요되는 비용보다 과태료가 더 싸다며 차라리 과태료를 내겠다는 주장도 있었다.

하지만,

정부의 적극적인 ISMS 인증 유도와 인증 수수료 감면 등의

혜택을 부여하면서 인증을 획득하는 기업들이 늘어나기 시작했다.

즉,

ISMS 정보보호관리체계는 어떤 조직이 정보보호 관리체계를 구축하고 운영하고 있을 때,

관리체계가 법에서 정한 인증기준에 적합한지 인증기관이 객관적이고 독립적으로 적합성 여부를 판단해 주는 제도이다.

ISMS-P 정보보호관리체계-P

ISMS-P은 정보보호에 관련된 일련의 기준과 가이드라인을 제공하여

조직이 정보자산을 효과적으로 보호하고 관리할 수 있도록 돕는 역할을 한다.

ISMS-P는 국가 기반의 정보보호 표준 및 인증 시스템으로

정보보호를 체계적으로 관리하고 지속적으로 개선하기 위한 프레임워크이며

조직(기업과 기관)이 정보보호를 강화하여 정보보호 관련 법규 및 규정을 준수하기 위해 사용된다.

이를 통해 조직은 정보 유출 및 해킹과 같은 보안 위협으로부터 자신의 정보를 안전하게 보호할 수 있다.

ISMS-P는 공공기관에서 정보보호를 효과적으로 관리하기 위해 사용되는데,

이를 통해 공공기관은 중요한 정보 자산을 보호하고, 개인정보와 같은 민감한 데이터의

안전성과 기밀성을 유지할 수 있다.

 

ISMS-P는 ISO/IEC 27001 국제 표준에 기반하여 개발되었고

이러한 프레임워크는 다음과 같은 5개의 주요 요소로 구성 이루어졌다.

 

1. 정책 및 방침 : 공공기관이 정보보호에 대한 목표와 원칙을 수립하고, 조직 내에서의 역할과 책임을 명확히 한다.
2. 위험 평가 및 대응 : 정보자산에 대한 위협과 취약점을 식별하고, 그에 따른 위험 평가를 수행하여 적절한 보안 대응 조치를 계획한다.
3. 조직 구조 및 리소스 : 조직 내에서 정보보호를 담당하는 역할, 책임, 권한 등의 구조와 필요한 리소스를 설정한다.
4. 인증 및 감사 : 외부로부터의 인증 절차나 독립된 감사 등을 통해 ISMS-P의 유효성과 성능을 검증한다.
5. 지속적인 개선 : ISMS-P의 운영 상황 및 성과를 모니터링하고 평가하여 지속적인 개선 활동을 수행한다.

정리하자면,

ISMS-P는 공공기관이 안전하고 신뢰할 수 있는

서비스 제공, 개인정보 보호, 사회적 신뢰 확립 등 다양한 목표를 달성하기 위해 이용된다.