보안관리체계2011. 3. 8. 09:06
ISMS == PDCA's Cycle
조직의 정보자산을 보호하기 위해서는 수많은 정보보호활동을 정의하고 운영, 관리하여야 합니다. 이를 위해 계획(Plan), 이행(Do), 점검(Check), 보완(Act)의 지속적인 사이클 순환을 통해 정보보안 활동을 이행할 수 있습니다. 정보시스템관리 중에 일어날 수 있는 한 예를 들어 보겠습니다.

너야근과장과 오늘도대리의 정보보호 조직이 있으며, 오늘도대리는 메일정보시스템 운영 중 용량과 성능문제로 인해 신규 시스템을 도입하고자 합니다. 이에 따라 오늘도대리는 정보시스템의 용량과 성능뿐 아니라 운영체제는 무엇으로 할 것이며, 관련 취약점에 대한 패치는 어떻게 할 것인지 등 고려하여 계획을 수립할 것입니다.(Plan)
이후 계획에 준하여 오늘도대리는 시스템의 운영체제를 설치와 관련 응용프로그램들을 설치도중 일부항목을 누락하고 구축 완료를 너야근과장에게 보고하게 됩니다.(Do)
하지만 너야근과장의 꼼꼼한 눈썰미에 누락된 항목들을 발견하게 됩니다.(Check) 그리고 너야근과장 왈 

“오늘도대리, 오늘도 야간작업해서 누락된 항목 설치 완료하세요.”

결국 오늘도대리는 야근을 통해 누락된 항목들을 설치하고 너야근과장에게 보고, 과장의 재확인 후에 신규 시스템 도입을 완료하게 됩니다.(Act)

여기서 중요한 것은 너야근과장의 눈설미도 오늘도대리의 꼼꼼하지 못함도 아닙니다. PDCA 활동을 통해 취약점으로 인한 위협요소를 사전에 제거했다는 것입니다.

이런 활동은 우리 인간의 삶과 유사하다고 볼 수 있습니다. 부모님의 계획(Plan)하에  태어나 유아기, 청년시절을 거쳐 사회로 나아가 다양한 활동(Do)들을 하게 됩니다. 이후 불혹의 나이쯤 도달하였을 때 달려온 길을 한번쯤 뒤돌아보며(Check) 남은 삶을 재정립(Act)하는 것처럼 말이죠. (저희도 늦지 않았으니 남은 삶을 알차게 살아 봅시다. )



< 계획, 이행, 확인, 개선의 지속적인 순환>


앞서 살펴본 바와 같이 하나의 생명주기를 갖는 ISMS는 실질적인 이행에 앞서 계획과 계획수정을 통해 이행단계에서 발생할 수 있는 정보자산의 위협 요소를 미연에 방지하고 이행과 이행 후 이행여부를 확인 및 개선함으로써 위협요소를 효과적으로 제거, 경감할 수 있습니다.

이런 ISMS와 관련된 국내·외 관련 제도를 살펴보도록 하겠으며 아래의 문서를 참고하여 작성하였습니다.

  • 전자정부 정보보호관리체계(G-ISMS) 인증 안내서
  • 정보보호관리체계(ISMS) 인증제도 소개


Posted by 김주일
보안경영관리체계의 국제표준인 ISO/IEC 27001 부록A의 39개 통제영역과 133개의 통제 항목에 대한 세부 보안통제 실행 지침서




Posted by 김주일
보안관리체계2011. 2. 8. 23:23





 ISO/IEC 27000
(Overview & Vocabulary)



 ISMS 수립 및 인증에 관한 원칙과 용어를 규정하는 표준




 ISO/IEC 27001
(ISMS requirements standard)



 ISMS 수립, 구현, 운영, 모니터링, 검토, 유지 및 개선하기 위한 요구사항을 규정




 ISO/IEC 27002
(code of practice for ISMS)



 ISMS 수립, 구현 및 유지하기 위해 공통적으로 적용할 수 있는 실무적인 지침 및 일반적인 원칙




 ISO/IEC 27003
ISMS Implementation Guide)



 보안범위 및 자산정의, 정책시행, 모니터링과 검토, 지속적인 개선등 ISMS 구현을 위한 프로젝트 수행시 참고할 만한 구체적인 구현 권고사항을 규정한 규격으로, 문서구조를 프로젝트관리 프로세스에 맞춰 작성




 ISO/IEC 27004
(ISM Measurement)



 ISM에 구현된 정보보안통제의 유효성을 측정하기 위한 프로그램과 프로세스를 규정한 규격으로 무엇을, 어떻게, 언제 측정할 것인지를 제시하여 정보보안의 수준을 파악하고 지속적으로 개선시키기 위한문서




 ISO/IEC 27005
(ISM Risk Management)



 위험관리과정을 환경설정, 위험평가, 위험처리, 위험수용, 위험소통, 위험모니터링 및 검토등 6개의프로세스로 구분하고, 각 프로세스별 활동을 input, action, implementation guidance, output으로 구분하여 기술한 문서




 ISO/IEC 27006
(certification or registration process)



 ISMS 인증기관을 인정하기 위한 요구사항을 명시한 표준으로서 인증기관 및 심사인의 자격요건등을 기술




 ISO/IEC 27011
(ISM guideline for telecommunications
organizations)



 통신분야에 특화된 ISM 적용실무 지침으로서 ISO/IEC 27002와 함께적용
(ITU X.1051로알려짐)




 ISO/IEC 27033
(IT network security)



 네트워크시스템의 보안관리와 운영에 대한 실무지침으로 ISO/IEC 27002의 네트워크보안통제를 구현관점에서 기술한 문서




 ISO 27799
(Health Organizations)



 의료정보분야에 특화된 ISMS 적용실무지침으로서 ISO/IEC 27002와 함께적용

출 처 : G-ISMS 안내서

Posted by 김주일
보안관리체계2009. 4. 28. 15:13
08년 ISMS 발표자료 모음.
Posted by 김주일