* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net
A쇼핑몰 (인터넷 서점, 쇼핑몰)
고객사는 정보통신망법에 의거한 정보보호 안전진단 대상기업이며 최근의 관련법 개정에 따라 K-ISMS인증을 의무적으로 획득해야 하는 대상 기업이다.
A고객사는 K-ISMS인증을 확보하지 않은 기업이기 때문에 최초심사 대상으로 K-ISMS인증 획득을 위한 컨설팅을 의뢰하였다.
2013년 4개월간 수행, K-ISMS 인증획득
고객사의 주요 사업영역은 인터넷 서점, 멀티미디어 및 각종 콘텐츠판매 및 종합쇼핑몰을 서비스하고 있는 기업으로서 대형 물류센터를 보유하여 전국적인 도서 및 멀티미디어 주문을 처리하고 있다.
고객사의 IT는 원활한 비즈니스 지원을 위하여 200대에 달하는 정보시스템을 IDC에서 위탁운영하고 있으며 자체 개발인력을 보유하여 대부분의 정보시스템을 개발하고 있다.
IT의존도가 상당히 높은 산업군에 속하는 고객사는 CSO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호 위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직 체계를 운영하고 있다.
200여대에 가까운 정보시스템은 IDC에 위탁운영하고 있으며 고객사의 전담인력이 사내에서 모니터링할 수 있도록 구축되어 있다.
개발인력을 자체보유하고 있기 때문에 정보보호 관련 사항에 대한 내부 조직간의 공유 및 협조체계는 타사대비 잘 운영되고 있다.
수행단계별 산출물 목록표는 아래와 같다.
수행 단계 | 주요 수행 내용 | 결과 산출물 |
---|---|---|
ISMS인증범위 정의 | - IT 및 정보보호 현황분석 - 인증범위 협의 및 확정 | - 인증범위 정의서 |
ISMS 운영현황분석 | - K-ISMS인증 규격대비 Gap 분석 | - 정보보호관리체계 Gap 분석 |
취약점 진단 및 위험평가 | - 정보자산 분류 및 분석 - 정보자산의 취약점 진단 수행 - 내/외부 모의해킹 진단 - 위험평가 및 DOA 선정 | - 자산목록 및 중요도 결과서 - 보안취약점 진단보고서(정보자산별) - 모의해킹 진단결과 보고서 - 위험평가보고서 |
ISMS인증체계 구축 | - 정보보안 정책, 지침 제·개정 - 정보보호 개선계획 수립 - 정보보호 효과성 측정표 - 통제항목별 요건 문서 작성 - 정보보호 효과성 분석 | - 정보보안정책 및 지침서 - ISMS운영현황표 - 효과성분석 보고서 |
ISMS인증 준비 | - 모의심사 실시 - 모의심사결과 대비 개선 | - 모의심사 계획서 - 모의심사 결과서 |
인증심사 대응지원 | - 심사대비 교육실시 - 심사 대응지원 - 결함사항 대응지원 | - 문서심사, 현장심사 등에 대한 사전·후 지원 |
* 산출물 예시: ISMS인증심사신청서, GAP분석보고서