* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net
A앱/콘텐츠 플랫폼(게임과 앱, 모바일커머스, 이북 및 영상 콘텐츠 마켓운영)
고객사는 2016년 모회사로부터 분사하면서 ISMS인증을 유지해야 하는 정보통신망법에 따른 ISMS인증 의무대상기업이다.
ISMS 인증을 획득한 모회사와는 별도로 인증을 획득해야 했기 때문에 회사 규모에 맞는 관리체계 구축부터 운영에 이르는 컨설팅을 의뢰하였다.
2016년 1년간 최초심사 컨설팅, ISMS 인증획득
2017년 8개월간 사후심사(1차) 컨설팅
2018년 6개월간 사후심사(2차) 컨설팅
국내 통신3사에서 각각 운영하던 앱마켓을 고객사에서 통합, 국내 유일의 앱마켓으로서 고객사의 주요 사업영역은 모바일게임, 모바일앱, 모바일커머스, 이북 및 영상콘텐츠 판매이다.
현재 세계시장을 양분하고 있는 애플 앱스토어와 구글 플레이스토어에 맞서 국내외 시장점유율을 높여가고 있다.
고객사의 IT환경은 원활한 비즈니스 지원을 위하여 약 2000대에 달하는 정보시스템을 대부분을 IDC에서 위탁운영하고 있으며 자체 개발인력와 외주인력을 상주시켜 대부분의 정보시스템 및 서비스를 개발하고 있다.
모든 서비스를 포함한 대부분의 업무처리 환경을 IT에 의존하고 있는 등 IT의존도가 상당히 높은 고객사는 CISO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직체계를 운영하고 있다. 비즈니스 특성상 전자상거래가 발생하기 때문에 전자금융거래법을 준수해야 하며, 정보통신망법을 기본으로 그 외에 개인정보보호법, 신용정보법 등의 법률 컨플라이언스를 준수해야 하는 특성이 있다. 대부분의 정보시스템은 IDC에 위탁운영하고 있으며 고객사의 전담인력이 사내에서 모니터링할 수 있도록 구축되어 있다. 상담업무를 제외한 개발/운영 외주인력들은 고객사 인근에 위치한 별도의 업무공간에서 각 실무 담당자들의 업무를 지원하고 있기 때문에 정보보호 관련 사항에 대한 조직간의 공유 및 협조체계는 원활히 잘 운영되고 있다.
수행단계별 산출물 목록표는 아래와 같다.
수행 단계 | 주요 수행 내용 | 결과 산출물 |
---|---|---|
ISMS인증범위 정의 | - IT 및 정보보호 현황분석 - 인증범위 협의 및 확정 | - 인증범위 정의서 |
ISMS 운영현황분석 | - 정보보호관리체계 현황분석 및 ISMS인증 규격대비 Gap분석 | - 정보보호관리체계 운영명세서 |
취약점 진단 및 위험평가 | - 정보자산 분류 및 분석 - 정보자산의 취약점 진단 수행 - 내/외부 모의해킹 진단 - 위험평가 및 DOA 선정 | - 자산관리대장 - 보안취약점 진단보고서(정보자산별) - 모의해킹 진단결과 보고서 - 위험평가보고서 |
ISMS인증체계 구축 | - 정보보안 정책, 지침 제·개정 - 정보보호 개선계획 수립 - 정보보호 효과성 측정표 - 통제항목별 요건 문서 작성 - 정보보호 효과성 분석 | - 정보보안정책 및 지침서 - ISMS운영현황표 - 효과성분석 보고서 |
ISMS인증 준비 | - 인증신청서 작성 - 내부감사 및 모의심사 - 심사대응 방안 제시 | - 인증신청서 - 내부감사 및 모의심사 계획서 - 내부감사 및 모의심사 결과서 |
인증심사 대응지원 | - 심사대비 교육실시 - 결함사항 대응지원 | - 문서심사, 현장심사 등에 대한 사전·후 지원 |
* 산출물 예시: ISMS인증심사신청서, GAP분석보고서