현재 위치: WiKi Security Spirit » Business Certifications » A금융사 ISO27001 & BS10012 인증 컨설팅 사례

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

다음 판		이전 판
다음 판양쪽 다음 판
wiki_security_corp:a금융사_iso27001_bs10012_인증_컨설팅_사례 [2014/08/28 06:11] – 새로 만듦 wiki1122wiki_security_corp:a금융사_iso27001_bs10012_인증_컨설팅_사례 [2015/04/13 02:10] wiki1122
줄 1: 줄 1:
 {{keywords>ISO27001,BS10012,인증범위정의서,국제표준,BSI표준,정보자산,IT,Non-IT,금융그룹,이해관계자,실무자,인증,유지관리,인증획득,컨설팅,상위감독기관,관리체계,보안솔루션,금융기업,금융감독원,투자,캐피털,지방은행,유출사고,글로벌,그룹정책,중요도평가,정보보호,정보보안,개인정보보호,문서검토,현장실사,인터뷰,위험평가,위험조치계획,GAP분석,통제항목,취약점진단,모의해킹진단,내부심사,정책,지침,마스터플랜,부적합사항,교육,계획서,결과보고서,효과성분석,프로젝트성공요인,컨설팅산출물}} {{keywords>ISO27001,BS10012,인증범위정의서,국제표준,BSI표준,정보자산,IT,Non-IT,금융그룹,이해관계자,실무자,인증,유지관리,인증획득,컨설팅,상위감독기관,관리체계,보안솔루션,금융기업,금융감독원,투자,캐피털,지방은행,유출사고,글로벌,그룹정책,중요도평가,정보보호,정보보안,개인정보보호,문서검토,현장실사,인터뷰,위험평가,위험조치계획,GAP분석,통제항목,취약점진단,모의해킹진단,내부심사,정책,지침,마스터플랜,부적합사항,교육,계획서,결과보고서,효과성분석,프로젝트성공요인,컨설팅산출물}}
 +
 +* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) [[info@wikisecurity.net]] 
 +
 ===== A금융사 ISO27001 & BS10012 인증 컨설팅 사례 ===== ===== A금융사 ISO27001 & BS10012 인증 컨설팅 사례 =====
  
줄 6: 줄 9:
  
 ==== [ 배경 및 주제 ]==== ==== [ 배경 및 주제 ]====
-- Global수준의 정보보안 및 개인정보보호 목표 달성이라는 금융그룹 정책에 따라 8개 계열사들이 정보보안 국제표준인 ISO27001인증과 개인정보 BSI표준인 BS10012인증 획득을 위한 컨설팅을 의뢰였다. \\ +- Global수준의 정보보안 및 개인정보보호 목표 달성이라는 금융그룹 정책에 따라 8개 계열사들이 정보보안 국제표준인 ISO27001인증과 개인정보 BSI표준인 BS10012인증 획득을 위한 컨설팅을 의뢰였다. \\ 
-- 최초 7개 금융계열사가 순차적으로 2개의 인증 컨설팅을 동시에 추진하여 인증을 획득하였고, 하반기에는 나머지 1개사가 예산을 확보하여 두개 인증컨설팅을 고 일정계획에 따라 인증을 획득하였다. \\ +- 최초 7개 금융계열사가 순차적으로 2개의 인증 컨설팅을 동시에 추진하여 인증을 획득하였고, 하반기에는 나머지 1개사가 예산을 확보하여 두개 인증컨설팅을 고 인증을 획득하였다. \\ 
-- 프로젝트 수행 당시 주요 금융기관에서 대규모의 개인정보 유출사고가 발생하고 개인정보보호법과 시행령이 통과되면서 비즈니스 환경적 분위기가 적시에 맞아 떨어져서 고객사들의 실무 담당자가 사업을 추진하는데 큰 무리가 없었다. \\ +- 프로젝트 수행 당시 주요 금융기관에서 대규모의 개인정보 유출사고가 발생하고 개인정보보호법과 시행령이 통과되면서 비즈니스 환경적 분위기가 적시에 맞아 떨어져 고객사들의 실무 담당자가 사업을 추진하는데 큰 무리가 없었다. \\ 
-- ISO27001인증과 BS10012인증은 일부 공통적인 통제항목들이 있어서 두개의 인증을 동시에 추진하는 것이 고객사 입장에서는 비용이나 시간적인면에서 효율을 가져왔으며, 인증규격에 따라 운영관리체계를 확보함으로써 내부 유관조직간의 변경관리 측면에서도 효율성을 확보할 수 있다. \\ +- ISO27001인증과 BS10012인증은 일부 공통적인 통제항목들이 있으므로 두개의 인증을 동시에 추진하는 것이 고객사 입장에서는 비용이나 시간적인면에서 효율을 가져왔으며, 인증규격에 따라 운영관리체계를 확보함으로써 내부 유관조직간의 변경관리 측면에서도 효율성을 확보할 수 있다. \\ 
-- 대부분의 기업이나 기관이 인증획득 이후의 인증유지관리에는 내/외적으로 익숙치 않은 환경때문에 애를 먹는 경우가 있기 때문에 1회의 사후심사 지원을 제공함으로써 변화된 운영관리 환경에 안착할 수 있도록 하였다. \\ +- 대부분의 기업이나 기관이 인증획득 이후의 인증유지관리에는 내/외적으로 익숙치 않은 환경때문에 애를 먹는 경우가 있으므로 1회의 사후심사 지원을 제공함으로써 변화된 운영관리 환경에 안착할 수 있도록 하였다. \\ 
-- 인증범위는 동일하게 IT전부문을 대상으로 인증 컨설팅을 수행하였으며, 계획로 모든 계열사가 인증을 획득하였다.+- 인증범위는 동일하게 IT전부문을 대상으로 인증 컨설팅을 수행하였으며, 계획로 모든 계열사가 인증을 획득하였다.
  
 ==== [ 프로젝트 기간 ]==== ==== [ 프로젝트 기간 ]====
줄 20: 줄 23:
   * 비즈니스 및 IT 환경    * 비즈니스 및 IT 환경 
 - 고객사의 주요 사업영역은 투자, 생명, 캐피탈, 지방은행 등으로 비즈니스 영역이 상이하였다. \\ - 고객사의 주요 사업영역은 투자, 생명, 캐피탈, 지방은행 등으로 비즈니스 영역이 상이하였다. \\
-- IT환경은 크지 않은 규모이고 조직이나 처리업무에 따라  보호해야할 개인정보의 양은 크게 달랐다. \\+- IT환경은 규모면에서 크지않고 조직이나 처리업무에 따라  보호해야할 개인정보의 양은 크게 달랐다. \\
  
   * 정보보호 환경   * 정보보호 환경
-- 대부분의 계열사들은 금융감독원의 규제를 받고 있는 금융기업이지만 그 규모가 작은 2차 또는 3차 금융기업이라서 보안조직이나 정책적인 면에서는 1차 금융기업에 비하면 상당히 열악한 환경이었다. \\+- 대부분의 계열사들은 금융감독원의 규제를 받고 있는 금융기업이지만 그 규모가 작은 2차 또는 3차 금융기업이므로 보안조직이나 정책적인 면에서는 1차 금융기업에 비하면 상당히 열악한 환경이었다. \\
 - 보유하고 있는 보안솔루션도 방화벽, IPS 등 네트워크 영역의 기본적인 솔루션들과 대외 서비스 - 보유하고 있는 보안솔루션도 방화벽, IPS 등 네트워크 영역의 기본적인 솔루션들과 대외 서비스
 - IT의존도가 상당히 높은 산업군에 속하는 고객사는 CSO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호 위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직 체계를 운영하고 있다.\\  - IT의존도가 상당히 높은 산업군에 속하는 고객사는 CSO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호 위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직 체계를 운영하고 있다.\\ 
  
 ==== [ 컨설팅 수행 특징 ]==== ==== [ 컨설팅 수행 특징 ]====
-- 대부분의 계열사들은 정보보안 환경이 열악하기 때문에 인증규격에서 요구하는 정보보안과 개인정보보호 정책면에서 부분적이거나 상당히 미흡한것으로 GAP분석결과가 나왔다.\\ +- 대부분의 계열사들은 정보보안 환경이 열악하기 때문에 인증규격에서 요구하는 정보보안과 개인정보보호 정책면에서 부분적이거나 상당히 미흡하였다.\\ 
-- 관련 지침이나 매뉴얼도 상위감독기관에서 하달된 지침을 그대로 사용하거나 유사계열사의 문서를 현행화되지 않은채 운영하고 각 담당자별 개인에 따라 표준화된 기준없이 운영되고 있었다. \\ +- 관련 지침이나 매뉴얼도 상위감독기관에서 하달된 지침을 그대로 사용하거나 유사계열사의 문서를 현행화되지 않은 채 운영하고 각 담당자별 개인 업무역량에 따라 표준화된 기준없이 운영되고 있었다. \\ 
-- 특히 인증범위내의 정보자산이 정비되어 있지 않아서 정보자산 목록을 확정하는데 가장 많은 시간이 소요되었고, 중요도를 평가하는 과정에서는 소유자와 관리자에게 평가과정을 이해시키고 평가결과를 도출하는데 어려움이 있었다. \\+- 특히 인증범위내의 정보자산이 정비되어 있지 않아 정보자산 목록을 확정하는데 가장 많은 시간이 소요되었고, 중요도를 평가하는 과정에서는 소유자와 관리자에게 평가과정을 이해시키고 평가결과를 도출하는데 어려움이 있었다. \\
 - 상대적으로 관리체계가 많이 미흡했기 때문에 정보보안과 개인정보보호 관리체계를 설계하고 관계자들에게 이해시키는데는 크게 어려움이 없었다. \\ - 상대적으로 관리체계가 많이 미흡했기 때문에 정보보안과 개인정보보호 관리체계를 설계하고 관계자들에게 이해시키는데는 크게 어려움이 없었다. \\
  
 ==== [ 프로젝트 CSF ]==== ==== [ 프로젝트 CSF ]====
-  * ISO27001과 BS10012 인증 범위의 이해관계자들에 정확하게 통제항목들을 이해시키고 공감대를 형성 +  * ISO27001과 BS10012 인증 범위의 이해관계자들에게 정확하게 통제항목들을 이해시키고 공감대를 형성 
-  * 인증범위내와 인증범위 외에 있는 정보자산의 정확한 파악 (특히, 문서와 같이 Non-IT 영역의 정보자산)+  * 인증범위내·외에 있는 정보자산의 정확한 파악 (특히, 문서와 같이 Non-IT 영역의 정보자산)
   * 인증획득이후 인증의 유지관리를 위한 이해관계자들간의 R&R이해와 공감대 형성   * 인증획득이후 인증의 유지관리를 위한 이해관계자들간의 R&R이해와 공감대 형성
-  * 계열사별 환경과 여건에 적합한 정책, 지침 제.개정+  * 계열사별 환경과 여건에 적합한 정책, 지침 제·개정
  
 ==== [ 주요 Activity와 산출물 ]==== ==== [ 주요 Activity와 산출물 ]====
줄 44: 줄 47:
 |  인증범위 정의  | - IT 및 정보보호 현황분석 \\ - 인증범위 협의 및 확정 | - ISO27001 인증범위 정의서 \\ - BS10012 인증범위 정의서| |  인증범위 정의  | - IT 및 정보보호 현황분석 \\ - 인증범위 협의 및 확정 | - ISO27001 인증범위 정의서 \\ - BS10012 인증범위 정의서|
 |  정보자산 평가 및 \\ 취약점 분석  | - 정보자산 분류 및 중요도 평가 \\ - 정보자산의 취약점 진단 수행 \\ - 내/외부 모의해킹 진단 | - 자산목록 및 중요도 결과서\\ - 서버 취약점 진단결과 보고서 \\ - 네트워크 및 보안시스템 취약점 진단결과 보고서 \\ - PC 및 DBMS 취약점 진단 결과 보고서 \\ - 모의해킹 진단결과 보고서 | |  정보자산 평가 및 \\ 취약점 분석  | - 정보자산 분류 및 중요도 평가 \\ - 정보자산의 취약점 진단 수행 \\ - 내/외부 모의해킹 진단 | - 자산목록 및 중요도 결과서\\ - 서버 취약점 진단결과 보고서 \\ - 네트워크 및 보안시스템 취약점 진단결과 보고서 \\ - PC 및 DBMS 취약점 진단 결과 보고서 \\ - 모의해킹 진단결과 보고서 |
-|  관리체계 현황분석  \\ 및 위험평가 | - ISO27001 인증 통제항목별 취약점 진단 \\ - BS10012 인증 통제항목별 취약점 진단 \\ - 관련 문서검토, 인터뷰, 현장실사 \\ - 위험평가 및 조치 계획 수립 | - ISO27001 관리체계 Gap 분석 \\ - BS10012 관리체계 GAP분석 \\ - 위험평가보고서 \\ - 위험조치계획서 | +|  관리체계 현황분석  \\ 및 위험평가 | - ISO27001 인증 통제항목별 취약점 진단 \\ - BS10012 인증 통제항목별 취약점 진단 \\ - 관련 문서검토, 인터뷰, 현장실사 \\ - 위험평가 및 조치 계획 수립 | - ISO27001 관리체계 Gap 분석 \\ - BS10012 관리체계 Gap분석 \\ - 위험평가보고서 \\ - 위험조치계획서 | 
-|  인증관리체계 구축  | - 정보보안 정책, 지침 제.개정 \\  - 정보보호 개선계획 수립 \\ - 정보보호 효과성 측정표 \\ - 통제항목별 요건 문서 작성 \\ - 정보보호 효과성 분석 | - 정보보안정책 및 지침서 \\ - 정보보안 마스터플랜 보고서 \\ - 관리체계 적용성(SOA)보고서 \\ - 효과성 측정지표 보고서 |+|  인증관리체계 구축  | - 정보보안 정책, 지침 제·개정 \\  - 정보보호 개선계획 수립 \\ - 정보보호 효과성 측정표 \\ - 통제항목별 요건 문서 작성 \\ - 정보보호 효과성 분석 | - 정보보안정책 및 지침서 \\ - 정보보안 마스터플랜 보고서 \\ - 관리체계 적용성(SOA)보고서 \\ - 효과성 측정지표 보고서 |
 |  인증체계 이행지원  | - 통제항목별 이행증적 확보 지원 \\ - 내부심사 실시 및 개선| - 지침, 절차 이행증적 지원 \\ - 내부심사 계획서 및 결과서  | |  인증체계 이행지원  | - 통제항목별 이행증적 확보 지원 \\ - 내부심사 실시 및 개선| - 지침, 절차 이행증적 지원 \\ - 내부심사 계획서 및 결과서  |
 |  인증관련지원  | - 심사대비 교육실시 \\ - 본심사 및 문서심사 대응지원 \\ - 부적합사항 대응지원 | - 심사 대비 교육계획서 및 교육자료 \\ - 부적합사항 조치계획서 | |  인증관련지원  | - 심사대비 교육실시 \\ - 본심사 및 문서심사 대응지원 \\ - 부적합사항 대응지원 | - 심사 대비 교육계획서 및 교육자료 \\ - 부적합사항 조치계획서 |
 \\ \\
-* 산출물 예시: 통제항목별 GAP분석, 위험분석보고서, 위험 조치계획서, 적용성 보고서, 관리체계 관리운영계획서, 도메인별 증적자료 목록  \\+* 산출물 예시: 통제항목별 Gap분석, 위험분석보고서, 위험 조치계획서, 적용성 보고서, 관리체계 관리운영계획서, 도메인별 증적자료 목록  \\
 {{:wiki_security_corp:case-iso-bs-5.jpg?200|}} {{:wiki_security_corp:case-iso-bs-2.jpg?200|}} {{:wiki_security_corp:case-iso-bs-3.jpg?200|}} {{:wiki_security_corp:case-iso-bs-5.jpg?200|}} {{:wiki_security_corp:case-iso-bs-6.jpg?200|}} {{:wiki_security_corp:case-iso-bs-5.jpg?200|}} {{:wiki_security_corp:case-iso-bs-2.jpg?200|}} {{:wiki_security_corp:case-iso-bs-3.jpg?200|}} {{:wiki_security_corp:case-iso-bs-5.jpg?200|}} {{:wiki_security_corp:case-iso-bs-6.jpg?200|}}
- 
  

추적: