ISMS 에 대한 자세한 내용은 아래 페이지에서 볼 수 있습니다
http://pims.kisa.or.kr/kor/intro/intro01.jsp
ISMS
ISMS(Information Security Management System)란 정보통신망의 안전성 확보를 위하여
수립하는 기술적, 물리적, 관리적 보호조치 등 종합적인 정보보호 관리체계에 대한
인증 제도입니다.
이는 제 3의 인증기관이 객관적, 독립적으로 관리체계를 평가하여, 관련 기준에 대한 적합 여부를 보증합니다.
ISMS인증과 관련하여 정책기관은 미래창조과학부, 인증기관은 한국인터넷진흥원으로 관련 업무를 주관하고
있습니다.
ISMS 인증제도 특징
- 국내 실정에 적합한 정보보호 관리 모델 제시
- 공신력 있는 정보보호 전문기관(KISA)에 의한 심사 및 인증
- 국내 최고의 분야별 전문가들에 의한 인증 심사
- 국내 정보보호관련 법제도 반영
인증제도
정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도
목적
? 정보자산의 안전, 신뢰성 향상
? 정보보호관리에 대한 인식 제고
? 국제적 신뢰도 향상
? 정보보호서비스 산업의 활성화
법적근거
? “정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조
? “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조
? 정보보호 관리체계 인증 등에 관한 고시 (미래창조과학부고시 제2013-36호)
※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있도록 하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함
인증대상
<의무대상자> (※ 관련 근거 : 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제2항)
1. 기간통신사업 허가를 받은 자로서 정보통신망 서비스 제공지역이 ‘서울특별시 및 모든 광역시’인 사업자
2. 집적정보통신시설 사업자(IDC)
- 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자
- 집적정보통신시설 일부를 임대하여 집적된 정보통신시설 사업을 하는 자는 ‘연간 매출액 또는 이용자수’ 기준 적용
3. 정보통신서비스부문 전년도 매출액 100억 이상 또는 전년도말 기준 3개월간 일일평균 이용자 수 100만 명 이상인 정보통신서비스 제공자
※ 집적정보통신시설사업자 : 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자
※ 오프라인 중심으로 온라인 물품판매를 병행할 경우, 정보통신망을 이용한 서비스에서 발생된 매출을 기준으로 대상자 선정
<자율신청기업>
- 의무대상자 외 기업이 인증 취득을 희망할 경우, 자율적인 신청을 통한 인증 심사가 가능하다.
인증제도의 특징
? 국내 실정에 적합한 정보보호관리 모델 제시
? 공신력 있는 정보보호 전문기관(KISA)에 의한 심사 및 인증
? 국내 최고의 분야별 전문가들에 의한 인증 심사
? 국내 정보보호관련 법제도 반영
정보보호 관리체계(ISMS) 인증 취득기업 혜택
구분 | 시행기관 | 혜택내용 |
가산점 | 지식경제부 | 보안관제 전문업체 "업무수행능력 평가기준"의 신뢰도 항목에서 정보보호 인증기업에 5점 만점 부여 ※ 보안관제 전문업체 지정 등에 관한 공고(지식경제부 공고 제2010-478호) |
공공부문 정보시스템 기획?구축?운영 사업자, SW개발사업자 선정 시 평가항목 | ||
KISA | 정보보호대상, 입찰, 과제선정 평가 시 가점 부여 | |
신용평가 기관 | 한국신용평가정보의 기업신용평가 시 가점 부여 | |
한국기업지배 | 상장기업 ESG(환경, 사회, 지배구조) 평가 시, | |
요금할인 | 보험사 | 정보보호관련 보험(배상책임보험 등) 가입 시 할인(AIG, LIG, 그린손해보험, 동부화재, 롯데손해보험, 메리츠화재, 삼성화재, 제일화재, 한화손해보험, 현대해상, 흥국화재) |
권고 | 교육과학 | 원격교육설비기준에 ISMS 인증 취득 권고 |
국토해양부 | 유비쿼터스도시기반시설에 대하여 ISMS 인증 취득 권고 | |
ISMS인증 | KISA | 정보보호 大賞 수상 기업의 경우 할인(대상?우수상?특별상, 100~50%) |
소규모 기업의 경우 할인(상시 근로자 수 50명 미만 또는 매출액 50억 미만, 50%) |
추진체계
인증심사 종류
인증심사의 종류는 최초심사, 재심사, 사후관리, 갱신심사로 구분한다. 기본적으로 인증유효기간은 3년이며, 인증취득 후 1년 에 1회 이상 사후심사를 받아야 한다.
? 최초심사 : 정보보호관리체계 인증 취득을 위한 심사
? 사후관리 : 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상)
? 갱신심사 : 유효기간(3년)만료일 이전에 유효기간의 연장을 목적으로 하는 심사
※ 인증을 받은 정보보호 관리체계 범위 내에서 중대한 변경이 발생한 경우 최초심사를 다시 받음
인증심사 수수료
인증 수수료는 「엔지니어링산업 진흥법」 제31조제2항에 따른 엔지니어링 사업의 대가 기준 및 한국소프트웨어산업협회가 제공하는 「SW사업 대가 산정가이드」의 정보보안 컨설팅비 기준을 준용
심사일 수는 종업원 수 및 서버 수에 따라 산정
인증 수수료 = 직접인건비 + 직접경비 + 제경비 + 기술료 | |
[ 장비 구성 정보 ] L4 Switch - Alteon 2424 ( Version : 24.0.0.5 ) Real Server 1 - Windows Server 2008 Standard Edition 64bit Real Server 2 - CentOS 6.5 64bit ( 2.6.32-431.el6.x86_64 ) Real Server 3 - CentOS 6.5 64bit ( 2.6.32-431.el6.x86_64 )
L4 SLB 방식중에 웹서버를 L4 스위치에 직접 연결하지 않아도 로드밸런싱하여 서비스 할 수 있는 방법이 있기에 테스트를 진행 하였습니다.
해당 구성의 경우, L4 Switch의 물리적 Port가 부족할때 사용하면 용이할 것으로 보이며 실제로 OutBount Traffic 자체가 L4를 거치지 않기에 장비 퍼포먼스가 좀 더 나은 결과를 보인다고 합니다.
아래 보시는 구성도와 같이 외부 Request는 L4 Switch를 통해 Loadbalancing이 되며, 나갈때는 다시 L4를 거치지 않는 방식 입니다.
해당 구성을 위해서는 각 웹서버(Real Server)에 Loopback 인터페이스에 L4 Virtual IP를 세팅해 주어야 하는 특이사항이 있습니다.
[ L4 Config ] - 실제 테스트를 Public IP Address로 진행 하였으나, 보안상 1.1.1.x IP주소로 기입 하였습니다.
- 실제 DSR 방식의 운영을 위해서는, 하단에 보이는 Config에서 "/c/slb/adv" 부분의 submac 항목과 "/c/slb/virt 1/service http"부분의 nonat ena 로 설정을해야 L4에 직접 연결되지 않은 웹서버로 로드밸런싱 동작을 하게 됩니다.
|
'기술자료 > 기술운영자료' 카테고리의 다른 글
| 자발적 SW관리를 위한 불법소프트웨어 점검 프로그램 (0) | 2016.03.21 |
|---|---|
| KISA 휘슬신규버전 업데이트 내용 (0) | 2016.03.21 |
| IBM x-serise 서버군 CentOS 설치간 UEFI 관련 이슈사항 입니다. (0) | 2016.03.21 |
| HP DL580 G7 - Xeon E7 프로세서가 설치된 서버에서 OS에 오류기록 이슈입니다 (0) | 2016.03.21 |
| Alteon L4 DSR(Direct Server Return) 로드밸런싱 방식 구성 테스트 (0) | 2016.03.21 |
