목차
* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net
A쇼핑몰 K-ISMS 인증 컨설팅 사례
[ 고객사 ]
A쇼핑몰 (인터넷 서점, 쇼핑몰)
[ 프로젝트 배경 및 주제 ]
고객사는 정보통신망법에 의거한 정보보호 안전진단 대상기업이며 최근의 관련법 개정에 따라 K-ISMS인증을 의무적으로 획득해야 하는 대상 기업이다.
A고객사는 K-ISMS인증을 확보하지 않은 기업이기 때문에 최초심사 대상으로 K-ISMS인증 획득을 위한 컨설팅을 의뢰하였다.
[ 프로젝트 기간 ]
2013년 4개월간 수행, K-ISMS 인증획득
[ IT 및 정보보안 환경 ]
- 비즈니스 및 IT 환경
고객사의 주요 사업영역은 인터넷 서점, 멀티미디어 및 각종 콘텐츠판매 및 종합쇼핑몰을 서비스하고 있는 기업으로서 대형 물류센터를 보유하여 전국적인 도서 및 멀티미디어 주문을 처리하고 있다.
고객사의 IT는 원활한 비즈니스 지원을 위하여 200대에 달하는 정보시스템을 IDC에서 위탁운영하고 있으며 자체 개발인력을 보유하여 대부분의 정보시스템을 개발하고 있다.
- 정보보호 환경
IT의존도가 상당히 높은 산업군에 속하는 고객사는 CSO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호 위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직 체계를 운영하고 있다.
200여대에 가까운 정보시스템은 IDC에 위탁운영하고 있으며 고객사의 전담인력이 사내에서 모니터링할 수 있도록 구축되어 있다.
개발인력을 자체보유하고 있기 때문에 정보보호 관련 사항에 대한 내부 조직간의 공유 및 협조체계는 타사대비 잘 운영되고 있다.
[ 주요 Activity와 산출물 ]
수행단계별 산출물 목록표는 아래와 같다.
수행 단계 | 주요 수행 내용 | 결과 산출물 |
---|---|---|
ISMS인증범위 정의 | - IT 및 정보보호 현황분석 - 인증범위 협의 및 확정 | - 인증범위 정의서 |
ISMS 운영현황분석 | - K-ISMS인증 규격대비 Gap 분석 | - 정보보호관리체계 Gap 분석 |
취약점 진단 및 위험평가 | - 정보자산 분류 및 분석 - 정보자산의 취약점 진단 수행 - 내/외부 모의해킹 진단 - 위험평가 및 DOA 선정 | - 자산목록 및 중요도 결과서 - 보안취약점 진단보고서(정보자산별) - 모의해킹 진단결과 보고서 - 위험평가보고서 |
ISMS인증체계 구축 | - 정보보안 정책, 지침 제·개정 - 정보보호 개선계획 수립 - 정보보호 효과성 측정표 - 통제항목별 요건 문서 작성 - 정보보호 효과성 분석 | - 정보보안정책 및 지침서 - ISMS운영현황표 - 효과성분석 보고서 |
ISMS인증 준비 | - 모의심사 실시 - 모의심사결과 대비 개선 | - 모의심사 계획서 - 모의심사 결과서 |
인증심사 대응지원 | - 심사대비 교육실시 - 심사 대응지원 - 결함사항 대응지원 | - 문서심사, 현장심사 등에 대한 사전·후 지원 |
* 산출물 예시: ISMS인증심사신청서, GAP분석보고서
[ 프로젝트 CSF ]
- 최근의 인증심사 동향과 심사원 구성에 대한 모니터링 및 협조체계 유지관리
- 적정 수준의 인증범위 선정과 기술적 보안취약점 진단 및 위험평가
- 인증범위와 연관있는 정보자산의 정확한 파악과 보안취약점 진단 실시
- 획득한 인증에 대한 운영관리와 인증규격 버전 업그레이드에 대한 방안 제시