ISMS-P 인증 준비
ISMS-P 인증 준비, 현황 및 흐름분석
by 뀨세이
2024. 12. 30.
ISMS-P 인증 / ISMS 간편인증(7의3) 대상 기업에서는 1.2.2 항목이 유지되었고요.
ISMS-P 간편인증 대상(7의2) 기업에서는 1.2.2 항목이 삭제되었습니다.
(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업 |
1.2 위험 관리
1.2.1 정보자산 식별
1.2.2 현황 및 흐름 분석
1.2.3 위험 평가
1.2.4 보호대책 선정
개요
인증기준
| 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. |
주요확인사항
| 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가? |
| 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화하고 있는가? |
| 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가? |
세부 설명
- 현황 및 흐름분석은 위험분석의 사전단계로 다양한 관점에서 위험분석을 진행할 수 있는 기초자료가 된다.
- 또한 경영진이 정보보호 현황을 이해하고 위험관리를 위한 의사결정을 내리는 데 효과적으로 활용할 수 있다.
- 현황분석은 인증기준과 운영현황을 비교하는 GAP 분석표를 통하여 인증기준과 운영현황과의 차이를 확인
- 흐름분석은 정보서비스 흐름분석과 개인정보 처리단계별 흐름분석으로 구분되며, 그 결과는 흐름표 또는 흐름도로 도식화
- 정보서비스 흐름도는 조직의 업무절차, 정보보호 요구사항, 보안통제의 상호연계를 사용자 기반으로 도식화한 접근통제 개념도를 의미함.
- 개인정보 흐름도는 수집, 보유, 이용·제공, 파기되는 개인정보 처리단계별로 흐름을 한눈에 확인할 수 있도록 도식화한 개념도를 의미함.
- 관리체계 전 영역에 대한 정보서비스 현황을 식별하고, 업무 절차와 흐름을 파악하여 문서화하여야 한다.
- 관리체계 범위 내의 모든 정보서비스 현황 식별
- 정보서비스별 업무 절차 및 흐름 파악
- 업무 절차 및 흐름에 대한 문서화 : 업무현황표, 업무흐름도 등
- 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름표, 개인 정보 흐름도 등으로 문서화하여야 한다(ISMS-P 인증인 경우).
- (1단계) 개인정보 처리가 이루어지는 단위 업무를 식별
- (2단계) 각 단위 업무에 대한 개인정보 생명주기별 개인정보 흐름표 작성
- (3단계) 작성된 개인정보 흐름표를 기반으로 수집, 보유, 이용·제공, 파기되는 개인정보 처리 단계별로 흐름을 한눈에 파악할 수 있도록 총괄 개인정보 흐름도 및 업무별 개인정보 흐름도 작성
- 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 다음 관점을 참고하여 주기적으로(최소 연 1회 이상) 검토하고, 최신성이 유지되도록 관리하여야 한다.
- 기존 서비스, 업무 및 개인정보 흐름의 변화 여부(신규 서비스 오픈 또는 개편, 업무절차의 변경, 개인정보 처리 방법 변화, 조직의 변경, 외부 연계 및 제공 흐름 변경 등)
- 처리되는 중요정보, 개인정보 항목의 변화 여부
- 정보시스템 및 개인정보처리시스템의 종류, 구성, 기능 등의 변경 여부
- 신규 개인정보 처리업무 및 흐름 발생 여부
- 법규 개정, 신규 취약점의 발생 등 외부 환경의 변화 여부 등
|
증거자료
- 정보서비스 현황표
- 정보서비스 업무흐름표/업무흐름도
- 개인정보 처리 현황표(ISMS-P 인증인 경우)
- 개인정보 흐름표/흐름도(ISMS-P 인증인 경우)
|
여러개의 증거자료가 존재하지만 필자의 경우에는 '정보서비스 흐름도' 하나로 갈음했습니다. 인터넷 쇼핑몰 서비스 기준으로 CISO / 서버관리자 / 개발자 / 일반직원 의 흐름도를 정리했는데요.
1. 외부망을 통한 내부망 접근시 업무 흐름도
2. 내부망을 통한 정보시스템 접근시 업무 흐름도(주로 주요직무자로 분류되는 서버관리자/개발자)
위는 ISMS 인증시에 포함되는 정보서비스 흐름도 이고요.
정보서비스 흐름도(시스템 운영자 예시)
ISMS-P 인증을 받아야 한다면 주로 서버관리자/개발자/고객섬김팀등이 접근하는 개인정보처리시스템 관련 개인정보 처리 흐름도를 추가적으로 정리해야할것으로 보입니다.
개인정보 흐름도 예시 - 총괄(통합) 흐름도
그리고, 정보서비스 흐름도 구간별 보호대책이 추가적으로 들어가는게 좋을것 같습니다.
예를 들면 외부망에서 개발자가 내부망으로 접근시에는 접근하는 단말기는 필수적으로 OS 보안패치 최산화 / 백신 / DLP 설치등을 확인후에 SSLVPN (2차인증)을 통해 접근한다 등이 보호대책으로 들어가야 할것 같습니다.
결함사례
- 관리체계 범위 내 주요 서비스의 업무 절차·흐름 및 현황에 문서화가 이루어지지 않은 경우
- 개인정보 흐름도를 작성하였으나, 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우
- 최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우
|
참고문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)
|
ISMS-P 인증기준 안내서(2023.11.23).pdf
8.11MB
