고객사: A앱/콘텐츠 플랫폼(게임과 앱, 모바일커머스, 이북 및 영상 콘텐츠 마켓운영)
프로젝트 기간
2016년 1년간 최초심사 컨설팅, ISMS 인증획득
2017년 8개월간 사후심사(1차) 컨설팅
2018년 6개월간 사후심사(2차) 컨설팅
프로젝트 배경 및 주제
고객사는 2016년 모회사로부터 분사하면서 ISMS인증을 유지해야 하는 정보통신망법에 따른 ISMS인증 의무대상기업이다.
ISMS 인증을 획득한 모회사와는 별도로 인증을 획득해야 했기 때문에 회사 규모에 맞는 관리체계 구축부터 운영에 이르는 컨설팅을 의뢰하였다.
IT 및 정보 보안 환경
비즈니스 및 IT환경
국내 통신3사에서 각각 운영하던 앱마켓을 고객사에서 통합, 국내 유일의 앱마켓으로서 고객사의 주요 사업영역은 모바일게임, 모바일앱, 모바일커머스, 이북 및 영상콘텐츠 판매이다. 현재 세계시장을 양분하고 있는 애플 앱스토어와 구글 플레이스토어에 맞서 국내외 시장점유율을 높여가고 있다. 고객사의 IT환경은 원활한 비즈니스 지원을 위하여 약 2000대에 달하는 정보시스템을 대부분을 IDC에서 위탁운영하고 있으며 자체 개발인력와 외주인력을 상주시켜 대부분의 정보시스템 및 서비스를 개발하고 있다.
정보보호 환경
모든 서비스를 포함한 대부분의 업무처리 환경을 IT에 의존하고 있는 등 IT의존도가 상당히 높은 고객사는 CISO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직체계를 운영하고 있다. 비즈니스 특성상 전자상거래가 발생하기 때문에 전자금융거래법을 준수해야 하며, 정보통신망법을 기본으로 그 외에 개인정보보호법, 신용정보법 등의 법률 컨플라이언스를 준수해야 하는 특성이 있다. 대부분의 정보시스템은 IDC에 위탁운영하고 있으며 고객사의 전담인력이 사내에서 모니터링할 수 있도록 구축되어 있다. 상담업무를 제외한 개발/운영 외주인력들은 고객사 인근에 위치한 별도의 업무공간에서 각 실무 담당자들의 업무를 지원하고 있기 때문에 정보보호 관련 사항에 대한 조직간의 공유 및 협조체계는 원활히 잘 운영되고 있다.
주요 Activity와 산출물
| 수행 단계 | 주요 수행 내용 | 결과 산출물 |
|---|---|---|
| ISMS인증범위 정의 | – IT 및 정보보호 현황분석 – 인증범위 협의 및 확정 | – 인증범위 정의서 |
| ISMS 운영현황분석 | – 정보보호관리체계 현황분석 및 ISMS인증 규격대비 Gap분석 | – 정보보호관리체계 운영명세서 |
| 취약점 진단 및 위험평가 | – 정보자산 분류 및 분석 – 정보자산의 취약점 진단 수행 – 내/외부 모의해킹 진단 – 위험평가 및 DOA 선정 | – 자산관리대장 – 보안취약점 진단보고서(정보자산별) – 모의해킹 진단결과 보고서 – 위험평가보고서 |
| ISMS인증체계 구축 | – 정보보안 정책, 지침 제·개정 – 정보보호 개선계획 수립 – 정보보호 효과성 측정표 – 통제항목별 요건 문서 작성 – 정보보호 효과성 분석 | – 정보보안정책 및 지침서 – ISMS운영현황표 – 효과성분석 보고서 |
| ISMS인증 준비 | – 인증신청서 작성 – 내부감사 및 모의심사 – 심사대응 방안 제시 | – 인증신청서 – 내부감사 및 모의심사 계획서 – 내부감사 및 모의심사 결과서 |
| 인증심사 대응지원 | – 심사대비 교육실시 – 결함사항 대응지원 | – 문서심사, 현장심사 등에 대한 사전·후 지원 |
- 산출물 예시 : 위험분석보고서,적용성보고서(SOA)
