다음 판 | 이전 판 |
wiki_security_corp:a금융사_iso27001_bs10012_인증_컨설팅_사례 [2014/08/28 06:11] – 새로 만듦 wiki1122 | wiki_security_corp:a금융사_iso27001_bs10012_인증_컨설팅_사례 [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1 |
---|
{{keywords>ISO27001,BS10012,인증범위정의서,국제표준,BSI표준,정보자산,IT,Non-IT,금융그룹,이해관계자,실무자,인증,유지관리,인증획득,컨설팅,상위감독기관,관리체계,보안솔루션,금융기업,금융감독원,투자,캐피털,지방은행,유출사고,글로벌,그룹정책,중요도평가,정보보호,정보보안,개인정보보호,문서검토,현장실사,인터뷰,위험평가,위험조치계획,GAP분석,통제항목,취약점진단,모의해킹진단,내부심사,정책,지침,마스터플랜,부적합사항,교육,계획서,결과보고서,효과성분석,프로젝트성공요인,컨설팅산출물}} | {{keywords>ISO27001,BS10012,인증범위정의서,국제표준,BSI표준,정보자산,IT,Non-IT,금융그룹,이해관계자,실무자,인증,유지관리,인증획득,컨설팅,상위감독기관,관리체계,보안솔루션,금융기업,금융감독원,투자,캐피털,지방은행,유출사고,글로벌,그룹정책,중요도평가,정보보호,정보보안,개인정보보호,문서검토,현장실사,인터뷰,위험평가,위험조치계획,GAP분석,통제항목,취약점진단,모의해킹진단,내부심사,정책,지침,마스터플랜,부적합사항,교육,계획서,결과보고서,효과성분석,프로젝트성공요인,컨설팅산출물}} |
| |
| * 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) [[info@wikisecurity.net]] |
| |
===== A금융사 ISO27001 & BS10012 인증 컨설팅 사례 ===== | ===== A금융사 ISO27001 & BS10012 인증 컨설팅 사례 ===== |
| |
| |
==== [ 배경 및 주제 ]==== | ==== [ 배경 및 주제 ]==== |
- Global수준의 정보보안 및 개인정보보호 목표 달성이라는 금융그룹 정책에 따라 8개 계열사들이 정보보안 국제표준인 ISO27001인증과 개인정보 BSI표준인 BS10012인증 획득을 위한 컨설팅을 의뢰허였다. \\ | - Global수준의 정보보안 및 개인정보보호 목표 달성이라는 금융그룹 정책에 따라 8개 계열사들이 정보보안 국제표준인 ISO27001인증과 개인정보 BSI표준인 BS10012인증 획득을 위한 컨설팅을 의뢰하였다. \\ |
- 최초 7개 금융계열사가 순차적으로 2개의 인증 컨설팅을 동시에 추진하여 인증을 획득하였고, 하반기에는 나머지 1개사가 예산을 확보하여 두개 인증컨설팅을 바고 일정계획에 따라 인증을 획득하였다. \\ | - 최초 7개 금융계열사가 순차적으로 2개의 인증 컨설팅을 동시에 추진하여 인증을 획득하였고, 하반기에는 나머지 1개사가 예산을 확보하여 두개 인증컨설팅을 받고 인증을 획득하였다. \\ |
- 프로젝트 수행 당시 주요 금융기관에서 대규모의 개인정보 유출사고가 발생하고 개인정보보호법과 시행령이 통과되면서 비즈니스 환경적 분위기가 적시에 맞아 떨어져서 고객사들의 실무 담당자가 사업을 추진하는데 큰 무리가 없었다. \\ | - 프로젝트 수행 당시 주요 금융기관에서 대규모의 개인정보 유출사고가 발생하였고 개인정보보호법과 시행령이 통과되면서 비즈니스 환경적 분위기가 적시에 맞아 떨어져 고객사들의 실무 담당자가 사업을 추진하는데 큰 무리가 없었다. \\ |
- ISO27001인증과 BS10012인증은 일부 공통적인 통제항목들이 있어서 두개의 인증을 동시에 추진하는 것이 고객사 입장에서는 비용이나 시간적인면에서 효율을 가져왔으며, 인증규격에 따라 운영관리체계를 확보함으로써 내부 유관조직간의 변경관리 측면에서도 효율성을 확보할 수 있다. \\ | - ISO27001인증과 BS10012인증은 일부 공통적인 통제항목들이 있으므로 두개의 인증을 동시에 추진하는 것이 고객사 입장에서는 비용이나 시간적인면에서 효율을 가져왔으며, 인증규격에 따라 운영관리체계를 확보함으로써 내부 유관조직간의 변경관리 측면에서도 효율성을 확보할 수 있었다. \\ |
- 대부분의 기업이나 기관이 인증획득 이후의 인증유지관리에는 내/외적으로 익숙치 않은 환경때문에 애를 먹는 경우가 있기 때문에 1회의 사후심사 지원을 제공함으로써 변화된 운영관리 환경에 안착할 수 있도록 하였다. \\ | - 대부분의 기업이나 기관이 인증획득 이후의 인증유지관리에는 내/외적으로 익숙치 않은 환경때문에 애를 먹는 경우가 있으므로 1회의 사후심사 지원을 제공함으로써 변화된 운영관리 환경에 안착할 수 있도록 하였다. \\ |
- 인증범위는 동일하게 IT전부문을 대상으로 인증 컨설팅을 수행하였으며, 계획데로 모든 계열사가 인증을 획득하였다. | - 인증범위는 동일하게 IT전부문을 대상으로 인증 컨설팅을 수행하였으며, 계획대로 모든 계열사가 인증을 획득하였다. |
| |
==== [ 프로젝트 기간 ]==== | ==== [ 프로젝트 기간 ]==== |
* 비즈니스 및 IT 환경 | * 비즈니스 및 IT 환경 |
- 고객사의 주요 사업영역은 투자, 생명, 캐피탈, 지방은행 등으로 비즈니스 영역이 상이하였다. \\ | - 고객사의 주요 사업영역은 투자, 생명, 캐피탈, 지방은행 등으로 비즈니스 영역이 상이하였다. \\ |
- IT환경은 크지 않은 규모이고 조직이나 처리업무에 따라 보호해야할 개인정보의 양은 크게 달랐다. \\ | - IT환경은 규모면에서 크지않고 조직이나 처리업무에 따라 보호해야할 개인정보의 양은 크게 달랐다. \\ |
| |
* 정보보호 환경 | * 정보보호 환경 |
- 대부분의 계열사들은 금융감독원의 규제를 받고 있는 금융기업이지만 그 규모가 작은 2차 또는 3차 금융기업이라서 보안조직이나 정책적인 면에서는 1차 금융기업에 비하면 상당히 열악한 환경이었다. \\ | - 대부분의 계열사들은 금융감독원의 규제를 받고 있는 금융기업이지만 그 규모가 작은 2차 또는 3차 금융기업이므로 보안조직이나 정책적인 면에서는 1차 금융기업에 비하면 상당히 열악한 환경이었다. \\ |
- 보유하고 있는 보안솔루션도 방화벽, IPS 등 네트워크 영역의 기본적인 솔루션들과 대외 서비스 | - 보유하고 있는 보안솔루션도 방화벽, IPS 등 네트워크 영역의 기본적인 솔루션들과 대외 서비스 |
- IT의존도가 상당히 높은 산업군에 속하는 고객사는 CSO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호 위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직 체계를 운영하고 있다.\\ | - IT의존도가 상당히 높은 산업군에 속하는 고객사는 CSO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호 위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직 체계를 운영하고 있다.\\ |
| |
==== [ 컨설팅 수행 특징 ]==== | ==== [ 컨설팅 수행 특징 ]==== |
- 대부분의 계열사들은 정보보안 환경이 열악하기 때문에 인증규격에서 요구하는 정보보안과 개인정보보호 정책면에서 부분적이거나 상당히 미흡한것으로 GAP분석결과가 나왔다.\\ | - 대부분의 계열사들은 정보보안 환경이 열악하기 때문에 인증규격에서 요구하는 정보보안과 개인정보보호 정책면에서 부분적이거나 상당히 미흡하였다.\\ |
- 관련 지침이나 매뉴얼도 상위감독기관에서 하달된 지침을 그대로 사용하거나 유사계열사의 문서를 현행화되지 않은채 운영하고 각 담당자별 개인기에 따라 표준화된 기준없이 운영되고 있었다. \\ | - 관련 지침이나 매뉴얼도 상위감독기관에서 하달된 지침을 그대로 사용하거나 유사계열사의 문서를 현행화되지 않은 채 운영하고 각 담당자별 개인 업무역량에 따라 표준화된 기준없이 운영되고 있었다. \\ |
- 특히 인증범위내의 정보자산이 정비되어 있지 않아서 정보자산 목록을 확정하는데 가장 많은 시간이 소요되었고, 중요도를 평가하는 과정에서는 소유자와 관리자에게 평가과정을 이해시키고 평가결과를 도출하는데 어려움이 있었다. \\ | - 특히 인증범위내의 정보자산이 정비되어 있지 않아 정보자산 목록을 확정하는데 가장 많은 시간이 소요되었고, 중요도를 평가하는 과정에서는 소유자와 관리자에게 평가과정을 이해시키고 평가결과를 도출하는데 어려움이 있었다. \\ |
- 상대적으로 관리체계가 많이 미흡했기 때문에 정보보안과 개인정보보호 관리체계를 설계하고 관계자들에게 이해시키는데는 크게 어려움이 없었다. \\ | - 상대적으로 관리체계가 많이 미흡했기 때문에 정보보안과 개인정보보호 관리체계를 설계하고 관계자들에게 이해시키는데는 크게 어려움이 없었다. \\ |
| |
==== [ 프로젝트 CSF ]==== | ==== [ 프로젝트 CSF ]==== |
* ISO27001과 BS10012 인증 범위의 이해관계자들에 정확하게 통제항목들을 이해시키고 공감대를 형성 | * ISO27001과 BS10012 인증 범위의 이해관계자들에게 정확하게 통제항목들을 이해시키고 공감대를 형성 |
* 인증범위내와 인증범위 외에 있는 정보자산의 정확한 파악 (특히, 문서와 같이 Non-IT 영역의 정보자산) | * 인증범위내·외에 있는 정보자산의 정확한 파악 (특히, 문서와 같이 Non-IT 영역의 정보자산) |
* 인증획득이후 인증의 유지관리를 위한 이해관계자들간의 R&R이해와 공감대 형성 | * 인증획득이후 인증의 유지관리를 위한 이해관계자들간의 R&R이해와 공감대 형성 |
* 계열사별 환경과 여건에 적합한 정책, 지침 제.개정 | * 계열사별 환경과 여건에 적합한 정책, 지침 제·개정 |
| |
==== [ 주요 Activity와 산출물 ]==== | ==== [ 주요 Activity와 산출물 ]==== |
| 인증범위 정의 | - IT 및 정보보호 현황분석 \\ - 인증범위 협의 및 확정 | - ISO27001 인증범위 정의서 \\ - BS10012 인증범위 정의서| | | 인증범위 정의 | - IT 및 정보보호 현황분석 \\ - 인증범위 협의 및 확정 | - ISO27001 인증범위 정의서 \\ - BS10012 인증범위 정의서| |
| 정보자산 평가 및 \\ 취약점 분석 | - 정보자산 분류 및 중요도 평가 \\ - 정보자산의 취약점 진단 수행 \\ - 내/외부 모의해킹 진단 | - 자산목록 및 중요도 결과서\\ - 서버 취약점 진단결과 보고서 \\ - 네트워크 및 보안시스템 취약점 진단결과 보고서 \\ - PC 및 DBMS 취약점 진단 결과 보고서 \\ - 모의해킹 진단결과 보고서 | | | 정보자산 평가 및 \\ 취약점 분석 | - 정보자산 분류 및 중요도 평가 \\ - 정보자산의 취약점 진단 수행 \\ - 내/외부 모의해킹 진단 | - 자산목록 및 중요도 결과서\\ - 서버 취약점 진단결과 보고서 \\ - 네트워크 및 보안시스템 취약점 진단결과 보고서 \\ - PC 및 DBMS 취약점 진단 결과 보고서 \\ - 모의해킹 진단결과 보고서 | |
| 관리체계 현황분석 \\ 및 위험평가 | - ISO27001 인증 통제항목별 취약점 진단 \\ - BS10012 인증 통제항목별 취약점 진단 \\ - 관련 문서검토, 인터뷰, 현장실사 \\ - 위험평가 및 조치 계획 수립 | - ISO27001 관리체계 Gap 분석 \\ - BS10012 관리체계 GAP분석 \\ - 위험평가보고서 \\ - 위험조치계획서 | | | 관리체계 현황분석 \\ 및 위험평가 | - ISO27001 인증 통제항목별 취약점 진단 \\ - BS10012 인증 통제항목별 취약점 진단 \\ - 관련 문서검토, 인터뷰, 현장실사 \\ - 위험평가 및 조치 계획 수립 | - ISO27001 관리체계 Gap 분석 \\ - BS10012 관리체계 Gap분석 \\ - 위험평가보고서 \\ - 위험조치계획서 | |
| 인증관리체계 구축 | - 정보보안 정책, 지침 제.개정 \\ - 정보보호 개선계획 수립 \\ - 정보보호 효과성 측정표 \\ - 통제항목별 요건 문서 작성 \\ - 정보보호 효과성 분석 | - 정보보안정책 및 지침서 \\ - 정보보안 마스터플랜 보고서 \\ - 관리체계 적용성(SOA)보고서 \\ - 효과성 측정지표 보고서 | | | 인증관리체계 구축 | - 정보보안 정책, 지침 제·개정 \\ - 정보보호 개선계획 수립 \\ - 정보보호 효과성 측정표 \\ - 통제항목별 요건 문서 작성 \\ - 정보보호 효과성 분석 | - 정보보안정책 및 지침서 \\ - 정보보안 마스터플랜 보고서 \\ - 관리체계 적용성(SOA)보고서 \\ - 효과성 측정지표 보고서 | |
| 인증체계 이행지원 | - 통제항목별 이행증적 확보 지원 \\ - 내부심사 실시 및 개선| - 지침, 절차 이행증적 지원 \\ - 내부심사 계획서 및 결과서 | | | 인증체계 이행지원 | - 통제항목별 이행증적 확보 지원 \\ - 내부심사 실시 및 개선| - 지침, 절차 이행증적 지원 \\ - 내부심사 계획서 및 결과서 | |
| 인증관련지원 | - 심사대비 교육실시 \\ - 본심사 및 문서심사 대응지원 \\ - 부적합사항 대응지원 | - 심사 대비 교육계획서 및 교육자료 \\ - 부적합사항 조치계획서 | | | 인증관련지원 | - 심사대비 교육실시 \\ - 본심사 및 문서심사 대응지원 \\ - 부적합사항 대응지원 | - 심사 대비 교육계획서 및 교육자료 \\ - 부적합사항 조치계획서 | |
\\ | \\ |
* 산출물 예시: 통제항목별 GAP분석, 위험분석보고서, 위험 조치계획서, 적용성 보고서, 관리체계 관리운영계획서, 도메인별 증적자료 목록 \\ | * 산출물 예시: 통제항목별 Gap분석, 위험분석보고서, 위험 조치계획서, 적용성 보고서, 관리체계 관리운영계획서, 도메인별 증적자료 목록 \\ |
{{:wiki_security_corp:case-iso-bs-5.jpg?200|}} {{:wiki_security_corp:case-iso-bs-2.jpg?200|}} {{:wiki_security_corp:case-iso-bs-3.jpg?200|}} {{:wiki_security_corp:case-iso-bs-5.jpg?200|}} {{:wiki_security_corp:case-iso-bs-6.jpg?200|}} | {{:wiki_security_corp:case-iso-bs-5.jpg?200&nolink|}} {{:wiki_security_corp:case-iso-bs-2.jpg?200&nolink|}} {{:wiki_security_corp:case-iso-bs-3.jpg?200&nolink|}} {{:wiki_security_corp:case-iso-bs-5.jpg?200&nolink|}} {{:wiki_security_corp:case-iso-bs-6.jpg?200&nolink|}} |
| |