ISMS-P
ISMS-P(Information Security Management System for Public Organizations)는 한국정보보호진흥원(KISA)이 국내 공공기관을 위해 개발한 정보보호 관리체계입니다. ISMS-P는 ISO/IEC 27001 표준을 기반으로 하며, 국내 공공기관의 특수한 환경과 요구에 맞게 맞춤화된 제도입니다. ISMS-P는 국내 공공기관의 정보자산을 보호하고 보안 수준을 향상시키기 위한 전략을 제시하고 있습니다.
주요 특징과 내용은 다음과 같습니다.
적용 대상: ISMS-P는 주로 국내 공공기관을 대상으로 하고 있습니다. 공공기관은 사회적 책임을 가지고 있으며, 공공정보의 안전성과 신뢰성을 확보하기 위해 ISMS-P를 도입하여 정보보호 역량을 강화할 수 있습니다.
기반 표준: ISMS-P는 ISO/IEC 27001 표준을 기반으로 하고 있습니다. 따라서 정보보호 관리체계를 구축하고 운영하기 위한 일반적인 원칙과 요구사항을 포함하고 있습니다.
적용 범위: ISMS-P는 국내 공공기관의 특수한 요구와 환경을 고려하여 개발되었습니다. 따라서 공공기관의 특성에 맞게 적용 범위와 절차를 정의하고 있습니다.
컨트롤 세트: ISMS-P에는 정보보호를 위해 필요한 다양한 컨트롤들이 포함되어 있습니다. 이러한 컨트롤들은 정보자산의 보안을 유지하기 위한 기준을 제시하고 있습니다.
절차 및 가이드라인: ISMS-P는 정보보호 관리체계를 구축하고 운영하기 위한 절차 및 가이드라인을 제공합니다. 이를 통해 공공기관은 체계적이고 효율적으로 정보보호 활동을 수행할 수 있습니다.
인증 및 인증 기관: ISMS-P는 국내 공공기관의 정보보호 역량을 강화하기 위한 제도로, 인증 기관이 정보보호 관리체계의 적절성과 효과성을 평가하여 인증을 부여합니다.
ISMS-P는 국내 공공기관의 정보보호 역량을 강화하고, 공공정보의 안전성과 신뢰성을 확보하기 위한 중요한 제도로 평가되고 있습니다.
[ISMS-P 주요 항목별 내용]
| 항목 | 내용 |
|---|---|
| 범위 및 대상정의 |
|
| 조직의 구조 |
|
| 정책, 절차 및 지침 |
|
| 인적 보안 |
|
| 물리적 보안 |
|
| 기술적 보안 |
|
| 사용자 보안 |
|
| 정보 보호 이벤트 관리 |
|
| 연속성 관리 |
|
[ISMS/ISMS-P 차이점]
적용 대상
ISMS: ISMS는 모든 종류의 조직에 적용 가능한 국제 표준입니다. 기업, 정부 기관, 비영리 단체 등 다양한 조직에서 ISMS를 도입하여 정보보호 관리체계를 구축하고 운영할 수 있습니다.
ISMS-P: ISMS-P는 한국의 공공기관을 대상으로 하는 정보보호 관리체계로, 한국정보보호진흥원(KISA)이 제공하는 표준입니다. 따라서 ISMS-P는 주로 국내 공공기관의 특수한 요구와 환경을 고려하여 개발되었습니다.
프레임워크 및 요구사항
ISMS: ISMS는 ISO/IEC 27001 표준을 기반으로 하며, 해당 표준의 요구사항을 따릅니다. ISO/IEC 27001은 정보보호 관리체계를 구축하고 운영하기 위한 일반적인 가이드라인을 제공합니다.
ISMS-P: ISMS-P는 ISMS와 유사하지만, 국내 공공기관의 특수한 요구와 환경을 고려하여 맞춤화된 요구사항을 가지고 있습니다. 따라서 ISMS-P는 ISO/IEC 27001과 비교하여 일부 요구사항이 추가되거나 변경될 수 있습니다.
인증
ISMS: ISMS는 국제적으로 인정받는 인증 기관에 의해 평가 및 검증될 수 있습니다. 인증을 통해 조직은 정보보호 관리체계의 효과성을 입증하고 외부 신뢰를 얻을 수 있습니다.
ISMS-P: ISMS-P는 국내 공공기관을 대상으로 하는 표준이므로, 국내 인증 기관에 의해 평가 및 검증될 수 있습니다. ISMS-P 인증을 통해 공공기관은 정보보호 역량을 강화하고 신뢰성을 확보할 수 있습니다.
적용 범위
ISMS: ISMS는 모든 종류의 조직에 적용 가능하며, 산업 분야나 규모에 관계없이 적용될 수 있습니다.
ISMS-P: ISMS-P는 국내 공공기관을 대상으로 하기 때문에, 주로 국내 공공기관의 특수한 환경과 요구를 고려하여 적용됩니다.
이러한 차이점을 고려하여 각각의 표준이 조직의 요구와 환경에 적합한지를 고려하여 적절한 선택을 할 수 있습니다.
ISO27001
ISO/IEC 27001은 국제 표준 기준 중 하나로, 정보보호 관리체계(Information Security Management System, ISMS)를 구축하고 운영하기 위한 가이드라인을 제공하는 표준입니다. 이 표준은 조직이 정보자산을 보호하고 관리하기 위한 체계적인 접근 방식을 제공하여 정보보호를 강화하는 데 중점을 두고 있습니다. 아래는 ISO/IEC 27001에 대한 자세한 설명입니다:
목적
ISO/IEC 27001의 주요 목적은 조직이 정보보호에 대한 위험을 관리하고, 정보자산을 보호하기 위한 적절한 조치를 취할 수 있는 정보보호 관리체계(ISMS)를 구축하는 것입니다.
이를 통해 조직은 정보자산을 안전하게 보호하고, 관련 법적 및 규제 요구사항을 준수하여 비즈니스 연속성을 유지하고 신뢰성을 확보할 수 있습니다.
적용 대상
ISO/IEC 27001은 모든 유형의 조직에 적용 가능합니다. 크기나 산업 분야에 상관없이 정보보호 관리체계를 구축하고자 하는 모든 조직이 이를 적용할 수 있습니다.
정부 기관, 기업, 비영리 단체 등 다양한 조직에서 ISO/IEC 27001을 채택하여 정보보호를 강화하고 있습니다.
프레임워크
ISO/IEC 27001은 PDCA(Plan-Do-Check-Act) 사이클을 기반으로 하고 있습니다. 이는 계획(Plan), 실행(Do), 검토(Check), 개선(Act)의 네 단계로 구성된 지속적인 개선 프로세스를 의미합니다.
조직은 위험 평가를 수행하고 보안 대책을 계획하며, 이를 실행하고, 주기적으로 검토하여 개선점을 식별하고 개선 조치를 취합니다.
요구사항
ISO/IEC 27001은 다양한 요구사항을 포함하고 있습니다. 주요 요구사항은 다음과 같습니다:
조직의 범위와 적용 대상 결정
위험 평가 및 대응 계획 수립
조직 내 정보보호 정책 수립
정보보호 책임 및 역할 지정
정보보호 대책 구현 및 운영
정보보호 인증 및 교육
정보보호 사고 대응 및 조치
인증
조직은 ISO/IEC 27001을 준수하기 위해 인증 기관에 의해 평가 및 검증될 수 있습니다. 이를 통해 조직은 외부에서의 신뢰를 얻을 수 있으며, 정보보호 관리체계의 효과성을 입증할 수 있습니다.
ISO/IEC 27001은 정보보호에 대한 국제적인 인정을 받고 있으며, 조직의 정보자산을 보호하고 관리하기 위한 효과적인 프레임워크를 제공합니다. 이를 통해 조직은 정보보호를 효과적으로 관리하고 비즈니스 목표를 달성할 수 있습니다.
[ISMS-P/ISO27001 차이점]
| 항목 | ISMS-P | ISO/IEC 27001 |
|---|---|---|
| 표준 | 국내 표준 | 국제 표준 |
| 적용 대상 | 국내 조직 | 국제 조직 |
| 적용 범위 | 정부기관 및 일부 기업 | 모든 산업 분야 및 규모의 조직 |
| 컨트롤 세트 | 99개 | 114개 |
| 인증 | 국내 인증 | 국제 인증 |
| 규정 | 국내법 및 규정 준수 | 국제 표준 및 법적 요구사항 준수 |
| 절차 | 국내 조직 적용에 특화된 절차 | 국제 표준에 따른 절차 |
| 보완 기준 | ISMS-P 제품 및 서비스 활용 | 개별 조직의 요구에 따라 선택 |
'IT' 카테고리의 다른 글
| CBDC(Central Bank Digital Currency) (0) | 2024.03.20 |
|---|---|
| [보안] Web Application 보안 표준 가이드라인(OWASP) (0) | 2024.03.20 |
| SDDC(Software Defined Data Center) (0) | 2024.03.20 |
| [네트워크] 케이블(UTP/SFP) (0) | 2024.03.20 |
| [네트워크] 패킷 분석 (0) | 2024.03.20 |
