141022_정보보호법_ISMS구축절차와 산출물_내용추가

ISMS구축절차 상세

0. 입찰공고시에 제안요청서( RFP )(사업내용 / 수행기간 / 예산 / 결과물 ; 공공기관에서는 과업지시서라는 용어로도 쓴다.)를 같으 올림.

- 입찰하고자하는 업체는 제안서를 제출한다.

- 입찰이 완료되면 계약서를 작성한다.

- 계약서를 작성하고나면 착수보고를 하게 된다.

사업수행계획서라는 틀로 작성된다.

1. 개요

사업명 / 추진근거(모든공공기관은 법적인 근거필요) / 목적 / 추진기간 / 투입인력( M/M )

2. 추진조직 및 역할

대상기관 인증 TFT( 구축받는 업체의 ISMS담당자 ) - 수행사 PM - 위험분석컨설턴트 / 취약점진단컨설턴트 / 웹진단컨설턴트

대상 기관 인증 TFT

수행사 P

3. ISMS 인증 컨설팅 수행내역

4, 단계별 상세추진계획

간트차트를 이용해서 많이 표현한다.

5. 단계별 내역 및 산출물

6. 요청사항( ISMS 구축을 원하느 업체게 구축하는 업체게 하는 요청 )

회사 조직도 및 업무 분장

정보시스템 구성도

☆ 네트워크 구성도

장비목록

서버, PC목록

보안장비 목록

설비 목록

어플리케이션 목록

보안 교육자료

비상대책

백업 및 복구 지점/절차

각종 기록물들

1. 프로젝트 준비

업무환경 조성, 프로젝트팀구성 등 수행계획 수립

※ 모든 프로젝트는 처음엔 착수보고를 착수보고를 하게된다.

착수보고에는 프로젝트의 주체/조직 등의 내용이 담긴다.

착수보고에는 '사업수행계획서'라는 틀로 작성된다.

사업수행계획서에는 추진계획/수행방안/유지보수/품질관리 등의 내용이 담긴다.

가장 중요한 추진계획의 핵심

- 일정

- 인력

어떤 등급의 인력이 몇 명이고 어떤 일을 할 것인가

프로젝트 팀의 구성(법적으로 정의되어있다. 실제로 이걸로 단가를 따진다.)

고급/특급Level 1명 (보통 1000~1200 물론 직접계약할때 이야기고 회사에 속해서 일하면 토막나)

중급Level 1명

초급Level 2~3명

- 범위

SW라는게 구현하기 직전까진 잘 모르기때문에 범위가 계속 변동이 되기에 힘들다

2. 인증(컨설팅) 범위 정의

인프라(서버, 네트워크, 응용시스템 등) 범위 분석 및 정의

컨설팅 범위 확정, 업무 범위 및 Depth 정의

3. 현황분석(GAP분석/수준분석)

인터뷰와 실사 대상자 선정과 수행 일정

분석방법론

통제항목 이행도를 점수로 환산( Yes / Partial / No / No Aplicable) ; 컨설턴트의 주관에 따르기 때문에 다를수는있지만 그래도 안하는것보단 낫다.

방법론을 좀 더 세밀하게 구분하면 좀 더 객관적인 평가가 될 수 있다. 좀더 '정량적'으로 표현해지기 때문이다.

4. 위험관리

ISMS의 주된 내용

위험(Risk) = Asset(자산) + Threat(위협) + Vulnerability(취약성)

위험의 크기 = 발생가능성 * 손실

1) 위험관리 전략 및 계획 수립

2) 위험 분석 : 위험의 3요소 분석(자산 + 위협 + 취약성)

위험분석 방법론

i) 정성적 분석

ii) 정량적 분석

당연히 정량적 분석이 좋다. 하지만 모든걸 화폐단위로 정량적 계산하기는 나름대로의 기준이 있더라도 쉽지가 않다.

그래서 대부분 정성적 분석을 한다. 거기서 그치지 않고 정성적 분석에서 수치를 부여해서 

*) 접근 방식에 따라

i) 기준선 접근법

특정 기준을 잡아서 위험의 정도를 판단. 가장 간단한 방법.

ii) 전문가 판단법

iii) 상세위험 접근법

서버나 네트워크 DB 같은 명확한 위험을 판단 가능할때 사용하는 방법

iv) 복합적 접근법

3) 위험 평가

4) 정보보호 대책수립 : 위험의 크기를 계산

5) 정보보호 계획 수립

5. 보호대책 구현 

선정된 보호대책에 대해 모두 구현하고 적용

보호대책 명세서 작성(기술적 취약점 점검 결과와 매핑)

내부 공유 및 교육

6. 사후관리

법적 요구사항 준수검토

정보보호 관리체계 운영현황

ISMS 구축 산출물

1. 프로젝트 준비 => '사업수행계획서'

2. 컨설팅 범위 정의 => '인증 범위 정의서'

3. 현황분석(GAP분석) => 'GAP 분석보고서'( 정보보호수준분석서)

4. 위험관리

1) 자산 식별 및 분석 => '자산목록' / ' 자산분석보고서'

2) 위험 분석 

3) 취약성 분석

4) 위험평가

5) 보호대책 선정 및 이행계획 수립 => '정보보호대책 이행계획서'

5. 보호대책 구현 => 정보보호 정책 및 지침 / ★정보보호 대책명세서(한 눈에 파악가능) / 교육 및 훈련 보고서

6. 사후관리 => 법적요구사항 분석서 / 정보보호 관리체계 운영 현황표 / 내부감사보고서

7. 착수 및 종료 보고 => '착수 및 종료회의 보고서' / '컨설팅결과 최종보고서'

ISMS에는 정답은 없고 지속적으로 활동하는 것.