차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
다음 판 | 이전 판다음 판양쪽 다음 판 | ||
wiki_security_corp:a금융사_iso27001_bs10012_인증_컨설팅_사례 [2014/08/28 06:11] – 새로 만듦 wiki1122 | wiki_security_corp:a금융사_iso27001_bs10012_인증_컨설팅_사례 [2015/04/13 02:10] – wiki1122 | ||
---|---|---|---|
줄 1: | 줄 1: | ||
{{keywords> | {{keywords> | ||
+ | |||
+ | * 사업 등 관련 문의: T) 02-322-4688, | ||
+ | |||
===== A금융사 ISO27001 & BS10012 인증 컨설팅 사례 ===== | ===== A금융사 ISO27001 & BS10012 인증 컨설팅 사례 ===== | ||
줄 6: | 줄 9: | ||
==== [ 배경 및 주제 ]==== | ==== [ 배경 및 주제 ]==== | ||
- | - Global수준의 정보보안 및 개인정보보호 목표 달성이라는 금융그룹 정책에 따라 8개 계열사들이 정보보안 국제표준인 ISO27001인증과 개인정보 BSI표준인 BS10012인증 획득을 위한 컨설팅을 의뢰허였다. \\ | + | - Global수준의 정보보안 및 개인정보보호 목표 달성이라는 금융그룹 정책에 따라 8개 계열사들이 정보보안 국제표준인 ISO27001인증과 개인정보 BSI표준인 BS10012인증 획득을 위한 컨설팅을 의뢰하였다. \\ |
- | - 최초 7개 금융계열사가 순차적으로 2개의 인증 컨설팅을 동시에 추진하여 인증을 획득하였고, | + | - 최초 7개 금융계열사가 순차적으로 2개의 인증 컨설팅을 동시에 추진하여 인증을 획득하였고, |
- | - 프로젝트 수행 당시 주요 금융기관에서 대규모의 개인정보 유출사고가 발생하고 개인정보보호법과 시행령이 통과되면서 비즈니스 환경적 분위기가 적시에 맞아 떨어져서 고객사들의 실무 담당자가 사업을 추진하는데 큰 무리가 없었다. \\ | + | - 프로젝트 수행 당시 주요 금융기관에서 대규모의 개인정보 유출사고가 발생하였고 개인정보보호법과 시행령이 통과되면서 비즈니스 환경적 분위기가 적시에 맞아 떨어져 고객사들의 실무 담당자가 사업을 추진하는데 큰 무리가 없었다. \\ |
- | - ISO27001인증과 BS10012인증은 일부 공통적인 통제항목들이 있어서 | + | - ISO27001인증과 BS10012인증은 일부 공통적인 통제항목들이 있으므로 |
- | - 대부분의 기업이나 기관이 인증획득 이후의 인증유지관리에는 내/ | + | - 대부분의 기업이나 기관이 인증획득 이후의 인증유지관리에는 내/ |
- | - 인증범위는 동일하게 IT전부문을 대상으로 인증 컨설팅을 수행하였으며, | + | - 인증범위는 동일하게 IT전부문을 대상으로 인증 컨설팅을 수행하였으며, |
==== [ 프로젝트 기간 ]==== | ==== [ 프로젝트 기간 ]==== | ||
줄 20: | 줄 23: | ||
* 비즈니스 및 IT 환경 | * 비즈니스 및 IT 환경 | ||
- 고객사의 주요 사업영역은 투자, 생명, 캐피탈, 지방은행 등으로 비즈니스 영역이 상이하였다. \\ | - 고객사의 주요 사업영역은 투자, 생명, 캐피탈, 지방은행 등으로 비즈니스 영역이 상이하였다. \\ | ||
- | - IT환경은 크지 않은 규모이고 조직이나 처리업무에 따라 | + | - IT환경은 |
* 정보보호 환경 | * 정보보호 환경 | ||
- | - 대부분의 계열사들은 금융감독원의 규제를 받고 있는 금융기업이지만 그 규모가 작은 2차 또는 3차 금융기업이라서 | + | - 대부분의 계열사들은 금융감독원의 규제를 받고 있는 금융기업이지만 그 규모가 작은 2차 또는 3차 금융기업이므로 |
- 보유하고 있는 보안솔루션도 방화벽, IPS 등 네트워크 영역의 기본적인 솔루션들과 대외 서비스 | - 보유하고 있는 보안솔루션도 방화벽, IPS 등 네트워크 영역의 기본적인 솔루션들과 대외 서비스 | ||
- IT의존도가 상당히 높은 산업군에 속하는 고객사는 CSO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호 위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직 체계를 운영하고 있다.\\ | - IT의존도가 상당히 높은 산업군에 속하는 고객사는 CSO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호 위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직 체계를 운영하고 있다.\\ | ||
==== [ 컨설팅 수행 특징 ]==== | ==== [ 컨설팅 수행 특징 ]==== | ||
- | - 대부분의 계열사들은 정보보안 환경이 열악하기 때문에 인증규격에서 요구하는 정보보안과 개인정보보호 정책면에서 부분적이거나 상당히 미흡한것으로 GAP분석결과가 나왔다.\\ | + | - 대부분의 계열사들은 정보보안 환경이 열악하기 때문에 인증규격에서 요구하는 정보보안과 개인정보보호 정책면에서 부분적이거나 상당히 미흡하였다.\\ |
- | - 관련 지침이나 매뉴얼도 상위감독기관에서 하달된 지침을 그대로 사용하거나 유사계열사의 문서를 현행화되지 않은채 운영하고 각 담당자별 개인기에 따라 표준화된 기준없이 운영되고 있었다. \\ | + | - 관련 지침이나 매뉴얼도 상위감독기관에서 하달된 지침을 그대로 사용하거나 유사계열사의 문서를 현행화되지 않은 채 운영하고 각 담당자별 개인 |
- | - 특히 인증범위내의 정보자산이 정비되어 있지 않아서 정보자산 목록을 확정하는데 가장 많은 시간이 소요되었고, | + | - 특히 인증범위내의 정보자산이 정비되어 있지 않아 정보자산 목록을 확정하는데 가장 많은 시간이 소요되었고, |
- 상대적으로 관리체계가 많이 미흡했기 때문에 정보보안과 개인정보보호 관리체계를 설계하고 관계자들에게 이해시키는데는 크게 어려움이 없었다. \\ | - 상대적으로 관리체계가 많이 미흡했기 때문에 정보보안과 개인정보보호 관리체계를 설계하고 관계자들에게 이해시키는데는 크게 어려움이 없었다. \\ | ||
==== [ 프로젝트 CSF ]==== | ==== [ 프로젝트 CSF ]==== | ||
- | * ISO27001과 BS10012 인증 범위의 이해관계자들에 정확하게 통제항목들을 이해시키고 공감대를 형성 | + | * ISO27001과 BS10012 인증 범위의 이해관계자들에게 정확하게 통제항목들을 이해시키고 공감대를 형성 |
- | * 인증범위내와 인증범위 | + | * 인증범위내·외에 있는 정보자산의 정확한 파악 (특히, 문서와 같이 Non-IT 영역의 정보자산) |
* 인증획득이후 인증의 유지관리를 위한 이해관계자들간의 R& | * 인증획득이후 인증의 유지관리를 위한 이해관계자들간의 R& | ||
- | * 계열사별 환경과 여건에 적합한 정책, 지침 제.개정 | + | * 계열사별 환경과 여건에 적합한 정책, 지침 제·개정 |
==== [ 주요 Activity와 산출물 ]==== | ==== [ 주요 Activity와 산출물 ]==== | ||
줄 44: | 줄 47: | ||
| 인증범위 정의 | | 인증범위 정의 | ||
| 정보자산 평가 및 \\ 취약점 분석 | | 정보자산 평가 및 \\ 취약점 분석 | ||
- | | 관리체계 현황분석 | + | | 관리체계 현황분석 |
- | | 인증관리체계 구축 | + | | 인증관리체계 구축 |
| 인증체계 이행지원 | | 인증체계 이행지원 | ||
| 인증관련지원 | | 인증관련지원 | ||
\\ | \\ | ||
- | * 산출물 예시: 통제항목별 | + | * 산출물 예시: 통제항목별 |
{{: | {{: | ||
- | |||