* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net

A금융사 ISO27001 & BS10012 인증 컨설팅 사례

[ 고객사 ]

A금융그룹 8개사 (금융기업)

[ 배경 및 주제 ]

- Global수준의 정보보안 및 개인정보보호 목표 달성이라는 금융그룹 정책에 따라 8개 계열사들이 정보보안 국제표준인 ISO27001인증과 개인정보 BSI표준인 BS10012인증 획득을 위한 컨설팅을 의뢰하였다.
- 최초 7개 금융계열사가 순차적으로 2개의 인증 컨설팅을 동시에 추진하여 인증을 획득하였고, 하반기에는 나머지 1개사가 예산을 확보하여 두개 인증컨설팅을 받고 인증을 획득하였다.
- 프로젝트 수행 당시 주요 금융기관에서 대규모의 개인정보 유출사고가 발생하였고 개인정보보호법과 시행령이 통과되면서 비즈니스 환경적 분위기가 적시에 맞아 떨어져 고객사들의 실무 담당자가 사업을 추진하는데 큰 무리가 없었다.
- ISO27001인증과 BS10012인증은 일부 공통적인 통제항목들이 있으므로 두개의 인증을 동시에 추진하는 것이 고객사 입장에서는 비용이나 시간적인면에서 효율을 가져왔으며, 인증규격에 따라 운영관리체계를 확보함으로써 내부 유관조직간의 변경관리 측면에서도 효율성을 확보할 수 있었다.
- 대부분의 기업이나 기관이 인증획득 이후의 인증유지관리에는 내/외적으로 익숙치 않은 환경때문에 애를 먹는 경우가 있으므로 1회의 사후심사 지원을 제공함으로써 변화된 운영관리 환경에 안착할 수 있도록 하였다.
- 인증범위는 동일하게 IT전부문을 대상으로 인증 컨설팅을 수행하였으며, 계획대로 모든 계열사가 인증을 획득하였다.

[ 프로젝트 기간 ]

  • 7개 금융계열사 - 2011년 6개월간 수행, ISO27001과 BS10012 인증획득
  • 추가 1개 금융계열사 - 2012년 2.5개월간 수행, ISO27001과 BS10012 인증획득

[ IT 및 정보보안 환경 ]

  • 비즈니스 및 IT 환경

- 고객사의 주요 사업영역은 투자, 생명, 캐피탈, 지방은행 등으로 비즈니스 영역이 상이하였다.
- IT환경은 규모면에서 크지않고 조직이나 처리업무에 따라 보호해야할 개인정보의 양은 크게 달랐다.

  • 정보보호 환경

- 대부분의 계열사들은 금융감독원의 규제를 받고 있는 금융기업이지만 그 규모가 작은 2차 또는 3차 금융기업이므로 보안조직이나 정책적인 면에서는 1차 금융기업에 비하면 상당히 열악한 환경이었다.
- 보유하고 있는 보안솔루션도 방화벽, IPS 등 네트워크 영역의 기본적인 솔루션들을 갖추고 전자금융과 관련된 대외 서비스들을 제공하고 있었다.
- IT의존도가 상당히 높은 산업군에 속하는 고객사는 CSO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호 위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직 체계를 운영하고 있다.

[ 컨설팅 수행 특징 ]

- 대부분의 계열사들은 정보보안 환경이 열악하기 때문에 인증규격에서 요구하는 정보보안과 개인정보보호 정책면에서 부분적이거나 상당히 미흡하였다.
- 관련 지침이나 매뉴얼도 상위감독기관에서 하달된 지침을 그대로 사용하거나 유사계열사의 문서를 현행화되지 않은 채 운영하고 각 담당자별 개인 업무역량에 따라 표준화된 기준없이 운영되고 있었다.
- 특히 인증범위내의 정보자산이 정비되어 있지 않아 정보자산 목록을 확정하는데 가장 많은 시간이 소요되었고, 중요도를 평가하는 과정에서는 소유자와 관리자에게 평가과정을 이해시키고 평가결과를 도출하는데 어려움이 있었다.
- 상대적으로 관리체계가 많이 미흡했기 때문에 정보보안과 개인정보보호 관리체계를 설계하고 관계자들에게 이해시키는데는 크게 어려움이 없었다.

[ 프로젝트 CSF ]

  • ISO27001과 BS10012 인증 범위의 이해관계자들에게 정확하게 통제항목들을 이해시키고 공감대를 형성
  • 인증범위내·외에 있는 정보자산의 정확한 파악 (특히, 문서와 같이 Non-IT 영역의 정보자산)
  • 인증획득이후 인증의 유지관리를 위한 이해관계자들간의 R&R이해와 공감대 형성
  • 계열사별 환경과 여건에 적합한 정책, 지침 제·개정

[ 주요 Activity와 산출물 ]

수행단계별 산출물 목록표는 아래와 같다.

수행 단계 주요 수행 내용 결과 산출물
인증범위 정의 - IT 및 정보보호 현황분석
- 인증범위 협의 및 확정
- ISO27001 인증범위 정의서
- BS10012 인증범위 정의서
정보자산 평가 및
취약점 분석
- 정보자산 분류 및 중요도 평가
- 정보자산의 취약점 진단 수행
- 내/외부 모의해킹 진단
- 자산목록 및 중요도 결과서
- 서버 취약점 진단결과 보고서
- 네트워크 및 보안시스템 취약점 진단결과 보고서
- PC 및 DBMS 취약점 진단 결과 보고서
- 모의해킹 진단결과 보고서
관리체계 현황분석
및 위험평가
- ISO27001 인증 통제항목별 취약점 진단
- BS10012 인증 통제항목별 취약점 진단
- 관련 문서검토, 인터뷰, 현장실사
- 위험평가 및 조치 계획 수립
- ISO27001 관리체계 Gap 분석
- BS10012 관리체계 Gap분석
- 위험평가보고서
- 위험조치계획서
인증관리체계 구축 - 정보보안 정책, 지침 제·개정
- 정보보호 개선계획 수립
- 정보보호 효과성 측정표
- 통제항목별 요건 문서 작성
- 정보보호 효과성 분석
- 정보보안정책 및 지침서
- 정보보안 마스터플랜 보고서
- 관리체계 적용성(SOA)보고서
- 효과성 측정지표 보고서
인증체계 이행지원 - 통제항목별 이행증적 확보 지원
- 내부심사 실시 및 개선
- 지침, 절차 이행증적 지원
- 내부심사 계획서 및 결과서
인증관련지원 - 심사대비 교육실시
- 본심사 및 문서심사 대응지원
- 부적합사항 대응지원
- 심사 대비 교육계획서 및 교육자료
- 부적합사항 조치계획서


* 산출물 예시: 통제항목별 Gap분석, 위험분석보고서, 위험 조치계획서, 적용성 보고서, 관리체계 관리운영계획서, 도메인별 증적자료 목록