고객사: A 건설사 (업태: 건설업, 제조업)
프로젝트 기간: 2013년 3개월 간 수행, ISO/IEC 27001 인증 획득
프로젝트 배경 및 주제
고객사는 국내외 토목, 건축, 플랜트, 주택사업을 주요 사업영역으로 하고 있는 전형적인 Mortar 산업군의 기업이다.
최근의 전세계적인 불경기에도 불구하고 해외 플랜트 수출로 불경기를 타개해 가고 있는 건실한 기업으로서 국내 경쟁력을 강화하고 증가하는 국외 거래에 신뢰도 증진을 위하여 ISO/IEC 27001 인증을 획득하고자 컨설팅을 의뢰하였다.
IT 및 정보 보안 환경
비즈니스 및 IT환경
고객사의 주요 사업영역은 토목, 건축, 플랜트, 주택사업이며, 해외 약 20여국에 플랜트 수출로 최근의 불경기를 타개하고 있는 건실한 기업으로서 IT의존도는 높지 않은 편이다. 국내 사업지원을 위하여 전국망 수준의 네트워크 인프라를 갖추고 있으며, 국외 20여개 나라의 플랜트 수출 현장에 기본적인 네트워크 인프라를 갖추고 있다.
다만, 선진 건설기업에 대비하여 정보를 다양한 분야에서 활용할 수 있는 응용프로그램은 미흡하여 ITSM으로 Global 수준의 통합적인 IT체계를 구축하고, 시스템 개발 및 도입과 인적자원 확충 등을 지속적으로 추진하고 있다.
정보보호 환경
Mortar 기업의 전형적인 조직 R&R 형태로 총무팀에서는 출입보안과 물리적 보안, 일반생활 보안을 담당하고 있으며, 감사팀에서는 전사적 차원의 감사역할을 담당, 인사팀에서는 인적보안을 담당하고, IT기획 및 운영팀에서는 IT운영과 개발을 주요업무로 하면서 정보보호에 대한 업무를 겸임하고 있다.
대부분의 정보시스템은 정보보호 업무와 함께 IDC에 아웃소싱하고 보안정책 관리 등과 같은 핵심업무만을 담당자가 수행하며, 내부 보안은 기본적인 솔루션을 갖추고 운영하고 있었다.
ISO/IEC 27001:2005 표준규격에 대비하여 부족하지만 인증규격에 부합되는 정보보호 활동들이 생각보다 많이 확인되었는데, 내부정보유출 대응을 위한 각종 자구책들이 ISO/IEC 27001:2005 표준규격에서 요구하는 각종 활동과 일치하는 부분이 많았다.
프로젝트 CSF
- 내부 연관 업무 등을 고려하여 적정 수준의 인증범위를 선정하는 것
- 전형적인 Mortar기업의 공통적 현상인 이해 관계자들과 ISO27001 인증획득의 필요성에 대한 공감대 형성
- 부분적으로 존재하는 정보보호 지침과 기존 정보보호 관련 활동들을 ISO27001 인증규격에 맞추는 작업
- 획득한 인증에 대한 운영관리와 2013 버전 업그레이드에 대한 방안 제시
- 인증원 선정과 더불어 지속적인 인증심사 동향과 심사원 구성에 대한 협조체계 유지관리
주요 Activity와 산출물
| 수행 단계 | 주요 수행 내용 | 결과 산출물 |
|---|---|---|
| 인증범위 선정 | – 인증범위 정의(업무, 부서, 정보자산, 물리적위치 관점) – 세부 수행계획서 작성 | – 수행계획서 – 인증범위 정의서 |
| Biz.&IT환경 및 Gap분석 | – 비즈니스 환경 및 국내외 경쟁관계 파악 – IT 시스템 및 조직, ISP 파악 – ISO/IEC 27001 표준규격 대비 현황 Gap분석 | – 정보보호 현황 Gap분석서 |
| 정보자산 및 취약점 분석 | – 정보자산 분류기준에 따른 현황 파악 및 정리 – 정보자산 중요도 기준 정비 및 중요도 파악(C,I,A 관점) – 인증범위내 정보자산에 대한 취약점 진단 및 모의해킹 진단 | – 정보자산 및 중요도 평가서 – 취약점 분석 결과서 – 모의해킹 진단결과서 |
| 위험평가 및 조치계획 수립 | – 인증범위내 정보자산에 대한 위험평가 및 DOA 선정 – 취약점 분석 결과와 현황분석 결과로 발견된 문제점에 대한 조치계획 수립 | – 위험분석보고서 – 위험조치계획서 |
| 정보보호 대책수립 | – 정보보호 규정, 지침 제·개정 – 업무연속성 계획수립 – 정보보호 효과성 측정 기준 수립 – 적용성(SOA) 수립 | – 정보보호 규정 및 지침 – 정보보호 성과측정서 – 적용성(SOA)보고서 – 업무연속성계획서 |
| 모의인증심사 | – 인증모의감사 계획수립 – 인증모의감사 실시 – 모의감사결과 결함사항 개선 | – 모의감사계획서 – 모의감사 결과서 |
| 인증 본 심사 | – 인증범위 관계자 교육 – 1차심사(문서심사), 2차심사(본심사) 및 심사결과 대응 지원 – 결함조치계획서 작성 – 향후 ISMS인증 운영(안) 수립 | – 인증범위 관계자 교육 – 1차 심사(문서심사), 2차심사(본심사) 및 심사결과 대응 지원 – 결함조치계획서 작성 – 향후 ISMS인증 운영(안) 수립 |
- 산출물 예시 : 위험분석보고서,적용성보고서(SOA)
