* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net

A건설사 ISO/IEC 27001 인증컨설팅 사례

[ 고객사 ]

A 건설사 (업태 : 건설업, 제조업)

[ 프로젝트 배경 및 주제 ]

고객사는 국내외 토목, 건축, 플랜트, 주택사업을 주요 사업영역으로 하고 있는 전형적인 Mortar 산업군의 기업이다.
- 최근의 전세계적인 불경기에도 불구하고 해외 플랜트 수출로 불경기를 타개해 가고 있는 건실한 기업으로서
- 국내 경쟁력을 강화하고 증가하는 국외 거래에 신뢰도 증진을 위하여 ISO/IEC 27001 인증을 획득하고자 컨설팅을 의뢰하였다.

[ 프로젝트 기간 ]

2013년 3개월간 수행, ISO/IEC 27001 인증획득

[ IT 및 정보보안 환경 ]

비즈니스 및 IT환경
- 고객사의 주요 사업영역은 토목, 건축, 플랜트, 주택사업이며,
- 해외 약 20여국에 플랜트 수출로 최근의 불경기를 타개하고 있는 건실한 기업으로서 IT의존도는 높지 않은 편이다.
- 국내 사업지원을 위하여 전국망 수준의 네트워크 인프라를 갖추고 있으며, 국외 20여개 나라의 플랜트 수출 현장에 기본적인 네트워크 인프라를 갖추고 있다.
- 다만, 선진 건설기업에 대비하여 정보를 다양한 분야에서 활용할 수 있는 응용프로그램은 미흡하여
- ITSM으로 Global 수준의 통합적인 IT체계를 구축하고, 시스템 개발 및 도입과 인적자원 확충 등을 지속적으로 추진하고 있다.

정보보호 환경
- Mortar 기업의 전형적인 조직 R&R 형태로 총무팀에서는 출입보안과 물리적 보안, 일반생활 보안을 담당하고 있으며,
- 감사팀에서는 전사적 차원의 감사역할을 담당, 인사팀에서는 인적보안을 담당하고,
- IT기획 및 운영팀에서는 IT운영과 개발을 주요업무로 하면서 정보보호에 대한 업무를 겸임하고 있다.
- 대부분의 정보시스템은 정보보호 업무와 함께 IDC에 아웃소싱하고 보안정책 관리 등과 같은 핵심업무만을 담당자가 수행하며,
- 내부 보안은 기본적인 솔루션을 갖추고 운영하고 있었다.
- ISO/IEC 27001:2005 표준규격에 대비하여 부족하지만 인증규격에 부합되는 정보보호 활동들이 생각보다 많이 확인되었는데,
- 내부정보유출 대응을 위한 각종 자구책들이 ISO/IEC 27001:2005 표준규격에서 요구하는 각종 활동과 일치하는 부분이 많았다.

[ 프로젝트 CSF ]

  • 내부 연관 업무 등을 고려하여 적정 수준의 인증범위를 선정하는 것
  • 전형적인 Mortar기업의 공통적 현상인 이해 관계자들과 ISO27001 인증획득의 필요성에 대한 공감대 형성
  • 부분적으로 존재하는 정보보호 지침과 기존 정보보호 관련 활동들을 ISO27001 인증규격에 맞추는 작업
  • 획득한 인증에 대한 운영관리와 2013 버전 업그레이드에 대한 방안 제시
  • 인증원 선정과 더불어 지속적인 인증심사 동향과 심사원 구성에 대한 협조체계 유지관리

[ 주요 Activity와 산출물 ]

수행 단계 주요 수행 내용 결과 산출물
인증범위 선정 - 인증범위 정의(업무, 부서, 정보자산, 물리적위치 관점)
- 세부 수행계획서 작성
- 수행계획서
- 인증범위 정의서
Biz.&IT환경
및 Gap분석
- 비즈니스 환경 및 국내외 경쟁관계 파악
- IT 시스템 및 조직, ISP 파악
- ISO/IEC 27001 표준규격 대비 현황 Gap분석
- 정보보호 현황 Gap분석서
정보자산 및
취약점 분석
- 정보자산 분류기준에 따른 현황 파악 및 정리
- 정보자산 중요도 기준 정비 및 중요도 파악(C,I,A 관점)
- 인증범위내 정보자산에 대한 취약점 진단 및 모의해킹 진단
- 정보자산 및 중요도 평가서
- 취약점 분석 결과서
- 모의해킹 진단결과서
위험평가 및
조치계획 수립
- 인증범위내 정보자산에 대한 위험평가 및 DOA 선정
- 취약점 분석 결과와 현황분석 결과로 발견된 문제점에 대한 조치계획 수립
- 위험분석보고서
- 위험조치계획서
정보보호
대책수립
- 정보보호 규정, 지침 제·개정
- 업무연속성 계획수립
- 정보보호 효과성 측정 기준 수립
- 적용성(SOA) 수립
- 정보보호 규정 및 지침
- 정보보호 성과측정서
- 적용성(SOA)보고서
- 업무연속성계획서
모의인증심사 - 인증모의감사 계획수립 - 인증모의감사 실시
- 모의감사결과 결함사항 개선
- 모의감사계획서
- 모의감사 결과서
인증 본 심사 - 인증범위 관계자 교육
- 1차심사(문서심사), 2차심사(본심사) 및 심사결과 대응 지원
- 결함조치계획서 작성 - 향후 ISMS인증 운영(안) 수립
- 인증범위 관계자 교육
- 1차 심사(문서심사), 2차심사(본심사) 및 심사결과 대응 지원
- 결함조치계획서 작성
- 향후 ISMS인증 운영(안) 수립
  • 산출물 예시 : 위험분석보고서,적용성보고서(SOA)