인터네트워킹이란?

ISMS 에 대한 자세한 내용은 아래 페이지에서 볼 수 있습니다

http://pims.kisa.or.kr/kor/intro/intro01.jsp

 

 

ISMS

 

ISMS(Information Security Management System)란 정보통신망의 안전성 확보를 위하여 

수립하는 기술적, 물리적, 관리적 보호조치 등 종합적인 정보보호 관리체계에 대한

인증 제도입니다.

이는 제 3의 인증기관이 객관적, 독립적으로 관리체계를 평가하여, 관련 기준에 대한 적합 여부를 보증합니다.

ISMS인증과 관련하여 정책기관은 미래창조과학부, 인증기관은 한국인터넷진흥원으로 관련 업무를 주관하고

있습니다.

ISMS 인증제도 특징

- 국내 실정에 적합한 정보보호 관리 모델 제시

- 공신력 있는 정보보호 전문기관(KISA)에 의한 심사 및 인증

- 국내 최고의 분야별 전문가들에 의한 인증 심사

- 국내 정보보호관련 법제도 반영

 

 

 

 

인증제도

 

정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도

목적

? 정보자산의 안전, 신뢰성 향상

? 정보보호관리에 대한 인식 제고

? 국제적 신뢰도 향상

? 정보보호서비스 산업의 활성화

법적근거

? “정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조

? “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조

? 정보보호 관리체계 인증 등에 관한 고시 (미래창조과학부고시 제2013-36호)

※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있도록 하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함

인증대상

<의무대상자> (※ 관련 근거 : 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제2항) 
1. 기간통신사업 허가를 받은 자로서 정보통신망 서비스 제공지역이 ‘서울특별시 및 모든 광역시’인 사업자 
2. 집적정보통신시설 사업자(IDC) 
- 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자 
- 집적정보통신시설 일부를 임대하여 집적된 정보통신시설 사업을 하는 자는 ‘연간 매출액 또는 이용자수’ 기준 적용 
3. 정보통신서비스부문 전년도 매출액 100억 이상 또는 전년도말 기준 3개월간 일일평균 이용자 수 100만 명 이상인 정보통신서비스 제공자 
※ 집적정보통신시설사업자 : 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자 
※ 오프라인 중심으로 온라인 물품판매를 병행할 경우, 정보통신망을 이용한 서비스에서 발생된 매출을 기준으로 대상자 선정 

<자율신청기업> 
- 의무대상자 외 기업이 인증 취득을 희망할 경우, 자율적인 신청을 통한 인증 심사가 가능하다.

인증제도의 특징

? 국내 실정에 적합한 정보보호관리 모델 제시

? 공신력 있는 정보보호 전문기관(KISA)에 의한 심사 및 인증

? 국내 최고의 분야별 전문가들에 의한 인증 심사

? 국내 정보보호관련 법제도 반영

정보보호 관리체계(ISMS) 인증 취득기업 혜택

구분	시행기관	혜택내용
가산점 부 여	지식경제부	보안관제 전문업체 "업무수행능력 평가기준"의 신뢰도 항목에서 정보보호 인증기업에 5점 만점 부여 ※ 보안관제 전문업체 지정 등에 관한 공고(지식경제부 공고 제2010-478호) (2011년 신설 혜택)
		공공부문 정보시스템 기획?구축?운영 사업자, SW개발사업자 선정 시 평가항목 (기밀보안) 만점 부여 (2010년 신설 혜택)
	KISA	정보보호대상, 입찰, 과제선정 평가 시 가점 부여
	신용평가 기관	한국신용평가정보의 기업신용평가 시 가점 부여
	한국기업지배 구조원	상장기업 ESG(환경, 사회, 지배구조) 평가 시, 소비자항목에 가산점 부여 (2010년 신설 혜택)
요금할인	보험사	정보보호관련 보험(배상책임보험 등) 가입 시 할인(AIG, LIG, 그린손해보험, 동부화재, 롯데손해보험, 메리츠화재, 삼성화재, 제일화재, 한화손해보험, 현대해상, 흥국화재)
권고	교육과학 기술부	원격교육설비기준에 ISMS 인증 취득 권고
	국토해양부	유비쿼터스도시기반시설에 대하여 ISMS 인증 취득 권고
ISMS인증 수수료 할인	KISA	정보보호 大賞 수상 기업의 경우 할인(대상?우수상?특별상, 100~50%)
		소규모 기업의 경우 할인(상시 근로자 수 50명 미만 또는 매출액 50억 미만, 50%)

추진체계

인증심사 종류

인증심사의 종류는 최초심사, 재심사, 사후관리, 갱신심사로 구분한다. 기본적으로 인증유효기간은 3년이며, 인증취득 후 1년 에 1회 이상 사후심사를 받아야 한다.

? 최초심사 : 정보보호관리체계 인증 취득을 위한 심사

? 사후관리 : 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상)

? 갱신심사 : 유효기간(3년)만료일 이전에 유효기간의 연장을 목적으로 하는 심사

※ 인증을 받은 정보보호 관리체계 범위 내에서 중대한 변경이 발생한 경우 최초심사를 다시 받음

인증심사 수수료

인증 수수료는 「엔지니어링산업 진흥법」 제31조제2항에 따른 엔지니어링 사업의 대가 기준 및 한국소프트웨어산업협회가 제공하는 「SW사업 대가 산정가이드」의 정보보안 컨설팅비 기준을 준용

심사일 수는 종업원 수 및 서버 수에 따라 산정

인증 수수료 = 직접인건비 + 직접경비 + 제경비 + 기술료

1. 인터네트워킹의 개념    인터네트워킹은 그 말이 함유하는 뜻대로 하나 이상의 망을 상호 연결하는 것을 말한다. 이는 단순히 물리적으로 망을 연결한다는 의미 이외에도 망을 논리적으로 연결한다는 것을 의미한다. 물리적연결만을 인터네트워킹으로 표현할 수도 있으나, 이는 진정한 의미의 인터네트워킹으로 볼 수 없다. 왜냐하면, 이는 각각의 망이 갖는 특성 및 장점들을 무시한 채, 일방적으로 망을 확장한 것에 지나지 않기 때문이다.  진정한 의미의 인터네트워킹은 사용자로 하여금 인터네트워킹의 존재를인식하지 않고 마치 하나의 망을 사용하는 것처럼 느끼게 해주는 것으로서 이를 위해서는 물리적인 연결 위에 논리적으로 망을 연결해주는 기법들이 필요하게된다. 이러한 논리적인 기법들은 각각이 적용되는 방법과 환경에 의해 구분되며, 대부분의 경우 서로간의 호환을 위해 표준화가 되어 있다.   2. OSI 참조 모델    인터네트워킹 뿐 아니라 일반적인 통신 환경에서, 서로 통신을원하는 양당사자는 신뢰성 있고, 원활한 통신을 수행하기 위해 서로의 합의에 의해 설정한 통신규약, 즉 프로토콜(Protocol)을 가지게 된다. 초기에, IBM, 디지털 등 컴퓨터 제작사들은 자사의 컴퓨터 시스템을위한 각자의 통신 프로토콜들을 제정하고 이를 자사의 시스템에 적용하였다.  그러나 어느 한 조직체내에 두개의 서로 다른 컴퓨터 시스템이있는 경우, 이들은 서로 다른 프로토콜을 사용함에 의해 통신이 이루어 지지 않았고, 이를 위해서는 상호간의 프로토콜을 변환하는 특별한 장비 혹은 프로그램, 즉게이트웨이가 필요하게 되었다. 그러나 현존하는 모든 프로토콜에 대하여 이러한 게이트웨이를 개발하는 것은거의 불가능한 일이고, 기술적으로도 힘든 부분에 속한다.   이를 위한 유일한 해결방안은 모든 컴퓨터 제작사 및 통신장비 업체들이 호환 가능한 통신 프로토콜을 사용하는것이었고, 이의 결과로서 1984년에 ISO(International Organization for Standardization)에서 동종의 혹은이기종의 컴퓨터 시스템이 다양한 네트워크에 상호 연결된 환경인 개방형 컴퓨터 통신 환경 (OSI : OpenSystem Interconnection)에 적용할 수 있는 표준 프로토콜인 OSI 참조모델(Reference Model)을 발표하였다. OSI 참조모델은 하나의 일을 수행하기 위해 관련 기능들을 그룹화한 계층화(Layer)의 개념으로 구성되어 있다.     3. 인터네트워킹 장비    인터네트워킹을 위한 장비는 리피터(Repeater), 브리지(Bridge), 라우터(Router) 및 게이트웨이(Gateway) 등으로 간단히 구분할 수 있다.   리피터는 OSI 참조모델의 물리계층에서 망을 물리적으로 연결하고신호재생의 역할을 수행하는 것으로서 인터네트워킹 보다는 단순히 망을 확장한 개념에 가깝다. 따라서 망의크기, 대역폭의 이용 및 연결될 시스템의 수에 있어 기존 망의 제한점을 극복할 수 없다.   브리지는 데이터링크 계층에서 망를 연결하며 리피터가 가지고 있는 단점들을 극복할 수 있다. 그러나 네트워크계층의 관점에서 보면, 브리지로 연결된 망은 하나의망처럼 인식되므로 이에 따른 불필요한 브로드캐스트 프레임의 전송 등 망의 비효율적 사용이 발생하며, 네트워크주소의 논리적 할당이 어렵다.   라우터는 네트워크계층에서 망을 연결하므로 브리지의 단점들을 해결할 수 있으나, 좀더 많은 기능을 수행함에 의해 브리지에 비해 패킷의 처리 속도가 느린 단점이 있다. 게이트웨이는OSI 표준모델의 4~7계층에서 망을 연결한다           4. 주요 표준화 조직    다양한 환경에서 통신을 달성하기 위해서는 통신 프로토콜의 표준화가 매우 중요하며, 통신 분야에는 많은 국제 표준화 그룹이 존재한다. 표준화 그룹이많기 때문에 표준화안이 서로 상이할 것 같지만, 한 사람이 여러 표준화 그룹에 소속되어 있는 경우도많고, 각 표준화 그룹의 하는 역할이 조금씩 상이하며, 경쟁이아니라 서로 보완적인 역할을 수행하기 때문에 하나의 프로토콜에 대해 서로 다른 표준화 안을 발표하는 경우는 거의 없다.   잘 알려진 표준화 그룹으로는, 통신분야뿐 아니라 여러 분야에걸쳐 표준화 안을 만드는 ISO와 ISO의 미국 내 그룹이며 FDDI의 표준화 안을 만든 ANSI, LAN관련 표준화 안으로 유명한 IEEE, ISO와 같은 큰 규모의 조직이면서 각국의 통신 사업자들이 참여하고 있는 ITU-T (CCITT의 새 이름)등이 있으며, 이외에도 EIA, IAB등 많은 표준화 단체가 존재한다. 국내에서도 개방형 컴퓨터통신연구회(OSIA) 및 한국통신기술협회(TTA)등에서 표준화 작업을 수행하고 있다.