보안

ISMS-P

METACODING 2023. 10. 9. 00:09
728x90
반응형

https://zrr.kr/Jsxz

 

ISMS(Information Security Management System) 와 ISMS-P(for Public Organizations)

1994년 우리나라의 인터넷 도입기부터 2023년 현재까지 빠르게 발전하여 인터넷 강국으로 발돋움하였다. 지금 우리나라의 인터넷 발전지수는 세계 1위라고 해도 과언이 아닐정도다. 이처럼 고도

metacoding.tistory.com

ISMS-P"정보보호경영체계 평가"로써 정보보호의 국제 표준을

준수하는 조직의 정보보호 능력을 평가하기 위한 프레임워크를 나타낸다.

ISMS-P는 다음과 같은 내용을 포함할 수 있다.

  • 정보보호 정책 및 절차 : 정보보호를 위해 수립한 정책과 절차를 검토하고 이것들이 국제 표준을 준수하는지 확인
  • 정보자산 관리 : 정보자산을 식별하고 분류하며, 이를 보호하기 위한 조치를 평가
  • 액세스 제어 : 정보에 대한 접근을 제어하기 위한 절차와 메커니즘을 검토
  • 통신 및 운영 보안 : 네트워크 및 시스템 보안을 평가하고, 정보의 무결성과 기밀성을 유지하는 방법을 검증
  • 이벤트 관리 및 감사 : 이벤트 로깅 및 모니터링 절차를 검토하고, 시스템의 보안 사건을 감사
  • 업데이트 및 개선 : ISMS-P를 지속적으로 개선하기 위한 프로세스를 검토하고, 조직의 정보보호 능력을 향상시키기 위한 조치를 검증

 

ISMS-P는 조직이 정보보호를

체계적으로 관리하고 연속적으로 개선하기 위한 틀을 제공한다.

이를 통해 조직은 정보유출 및 보안 위협으로부터 더 효과적으로 자산을 보호할 수 있다.

 

ISMS-P의 목적?

ISMS-P의 목적은 정보보호 관리 체계(Information Security Management System)를 구축하고 유지하기 위한 프레임워크를 제공하는 것입니다. 이를 통해 조직은 정보 자산을 보호하고, 정보보호 위험을 관리하며, 정보보호 대책을 계획하고 시행함으로써 정보보호를 지속적으로 개선할 수 있습니다. 또한 ISMS-P는 국제 표준인 ISO/IEC 27001:2013을 준수하여 구축됩니다.

ISMS-P를 구현하는 방법은 다음과 같다.

  • 정보자산 식별: 조직 내 모든 정보자산을 식별하고 분류합니다.
  • 위험 평가: 정보자산에 대한 위험을 평가하고 관리합니다.
  • 보안 대책 수립: 위험 평가 결과를 바탕으로 보안 대책을 수립합니다.
  • 보안 대책 시행: 수립된 보안 대책을 시행하고 결과를 모니터링합니다.
  • ISMS-P 개선: 보안 대책 시행 결과를 바탕으로 ISMS-P를 지속적으로 개선합니다.

ISMS-P는 정보보호 관리 체계로써

조직 내 정보자산의 안전성을 보장하기 위한 프로세스이다.

이를 통해 조직은 정보자산에 대한 위험을 최소화하고 보안 사고 발생 시 적절한 대응을 할 수 있다.

ISMS-P 인증을 받기 위한 절차는?

기업은 인증기관에서 신청서를 제출 후

인증기관에서는 신청서를 검토하며, 필요한 경우 추가 정보를 요청하고

검토 결과에 따라 기업은 사전 점검을 받을 수 있다.

이때,

사전 점검을 통과한 기업은 본격적인 검사를 받게 되는데,

검사 결과에 따라 인증 여부가 결정된다.

인증을 받은 기업은 주기적으로 감사를 받아 유효성을 유지해야 한다.

이러한 과정을 거쳐 ISMS-P 인증을 받을 수 있다.

ISMS-P 인증을 받으면 다음과 같은 혜택을 받을 수 있다.

  1. 정보보호 역량 강화 : ISMS-P 인증은 정보보호 역량 강화를 위한 체계적인 절차를 수립하고 이를 실제 업무에 적용하는 것을 요구한다. 이를 통해 기업은 정보보호 역량을 강화
  2. 고객 신뢰도 향상 : ISMS-P 인증은 고객들에게 기업의 정보보호 능력에 대한 신뢰를 높여준다. 이는 기업의 이미지와 신뢰도 향상에 큰 도움이 된다.
  3. 법적 규정 준수 : ISMS-P 인증은 정보보호 관련 법규와 규정을 준수하는 것을 요구한다. 이를 통해 기업은 법적인 문제를 예방 가능
  4. 비용 절감 : ISMS-P 인증을 받으면 정보보호 관련 위험에 대한 대응 및 예방을 위한 비용 절감 효과. 또한, 정보보호 사고 발생 시 발생하는 비용도 최소화 가능.
  5. 경쟁 우위 확보 : ISMS-P 인증은 정보보호 역량이 뛰어난 기업임을 인증. 이는 기업이 경쟁에서 우위를 점함.

기존 舊ISMS인증을 유지하고 있는 업체가

ISMS-P인증을 취득할 수 있는 방법 2가지 존재하는데,

舊ISMS인증범위와 동일한 ISMS-P인증을 취득하고자 할 경우,

舊ISMS인증을 포기하고 새롭게 ISMS-P인증을 취득해야 할 것이다.

舊ISMS 인증범위와 다른 범위에 대해 ISMS-P인증을 취득하고자 할 경우에는

새로운 범위에 대해 ISMS-P인증을 최초로 받아야 할 것이다.

즉,

ISMS인증, ISMS-P인증의 범위가 다를 경우,

각각 인증에 대해 인증기준을 만족해야 하는데,

ISMS는 80개 인증기준을 만족하고 ISMS-P는 102개의 인증기준을 모두 만족해야 한다.

범위가 다를 경우, 각각 진행해야 하기때문에 ISMS 인증기준에 추가로 20개만 만족한다고 하여 인정되지는 않고

개인정보 처리단계별 요구사항을 만족하지 않아도 ISMS인증은 취득할 수 있는게 ISMS-P와의 차이점이 될수 있겠다.

 

728x90
반응형