141015_정보보호법_ISMS구축절차와 산출물

ISMS구축절차 상세

1. 프로젝트 준비

업무환경 조성, 프로젝트팀구성 등 수행계획 수립

※ 모든 프로젝트는 처음엔 착수보고를 착수보고를 하게된다.

착수보고에는 프로젝트의 주체/조직 등의 내용이 담긴다.

착수보고에는 '사업수행계획서'라는 틀로 작성된다.

사업수행계획서에는 추진계획/수행방안/유지보수/품질관리 등의 내용이 담긴다.

가장 중요한 추진계획의 핵심

- 일정

- 인력

어떤 등급의 인력이 몇 명이고 어떤 일을 할 것인가

프로젝트 팀의 구성(법적으로 정의되어있다. 실제로 이걸로 단가를 따진다.)

고급/특급Level 1명 (보통 1000~1200 물론 직접계약할때 이야기고 회사에 속해서 일하면 토막나)

중급Level 1명

초급Level 2~3명

- 범위

SW라는게 구현하기 직전까진 잘 모르기때문에 범위가 계속 변동이 되기에 힘들다

2. 컨설팅 범위 정의

인프라(서버, 네트워크, 응용시스템 등) 범위 분석 및 정의

컨설팅 범위 확정, 업무 범위 및 Depth 정의

3. 현황분석(GAP분석/수준분석)

4. 위험관리

1) 자산 식별 및 분석

2) 위험 분석

3) 취약성 분석

4) 위험평가

5) 보호대책 선정 및 이행계획 수립

5. 보호대책 구현 

선정된 보호대책에 대해 모두 구현하고 적용

보호대책 명세서 작성(기술적 취약점 점검 결과와 매핑)

내부 공유 및 교육

6. 사후관리

법적 요구사항 준수검토

정보보호 관리체계 운영현황

ISMS 구축 산출물

1. 프로젝트 준비 => '사업수행계획서'

2. 컨설팅 범위 정의 => '범위 정의서'

3. 현황분석(GAP분석) => 'GAP 분석보고서'

4. 위험관리

1) 자산 식별 및 분석 => '자산목록' / ' 자산분석보고서'

2) 위험 분석 

3) 취약성 분석

4) 위험평가

5) 보호대책 선정 및 이행계획 수립 => '정보보호대책 이행계획서'

5. 보호대책 구현 => 정보보호 정책 및 지침 / ★정보보호 대책명세서(한 눈에 파악가능) / 교육 및 훈련 보고서

6. 사후관리 => 법적요구사항 분석서 / 정보보호 관리체계 운영 현황표 / 내부감사보고서

7. 착수 및 종료 보고 => '착수 및 종료회의 보고서' / '컨설팅결과 최종보고서'

ISMS에는 정답은 없고 지속적으로 활동하는 것.