정보보안 경영시스템 무엇을 인증 받아야 하나? _ 김려성 소프트꼬레아 저자 _ 2013.9.30

[김려성]

정보보안 경영시스템 무엇을 인증 받아야 하나?

2013. 9. 감사저널에 게재,

김려성 소프트꼬레아 저자

코카콜라(Coca-Cola)는 미국의 코카콜라 컴퍼니가 제조하여 판매하는 탄산음료이다. 전 세계적으로 200여 개국 이상에서 팔리고 있는 이 음료는 가장 인지도 높은 상표이며, 미국의 자본주의를 상징하기도 한다. 코카콜라는 본사에서 원액만을 제조하여 국내 및 해외의 관계회사에게만 공급하는 프랜차이즈 방식을 채택하고 있다. 코카콜라의 원액을 만드는 방법은 극소수의 인원만 알고 있으며 철저히 비밀에 부치고 있다. 이 원액에 물·탄산·설탕 등의 첨가물을 배합하여 병 또는 캔에 넣고 루트 세일즈(직매)방식에 의해 판매한다. 이번 달에는 정보보안 경영시스템 구축과 인증에 대해서 살펴보기로 하자.

정보보안 경영시스템(ISMS)이란 무엇인가 ?

사업상 유용한 정보가 외부로 유출되는 위험에 대처하기 위한 정보보안체계를 말한다. 정보보안 경영시스템(ISMS: Information Security Management System)은 비즈니스 연속성을 갖기 위해 각종 위협으로부터 정보자산을 보호하기 위한 위험관리 기반의 체계적이고 지속적인 프로세스 개선 활동이다. 따라서 정보통신의 안정성을 확보하고 조직의 정보자산을 보호하기 위한 기술적, 관리적, 물리적 정보보안대책을 구현하여 지속적으로 관리·운영하는 종합적 시스템이라 정의된다. 즉, ISMS는 보안이 필요한 경영정보관리 체계를 수립, 설치, 운영, 감시, 검토, 유지 및 개선하는 경영시스템의 일부라고 할 수 있다.

IT기술 발전으로 산업별 시스템 온라인 전환

최근 IT기술의 발달로 전자상거래 및 전자금융 결제가 급증하는 등 전반적으로 산업에서의 IT의존도가 크게 높아지고 있다. 디지털기술은 기업경영, 생활영역, 공공서비스 등의 각 분야를 날로 새롭게 변화시키고 있다. 특히 인터넷은 지식기반 경제의 견인차 역할을 하고 있으며, 인터넷뱅킹 이용 고객수가 2011년 말 7,482만 명에서 2012년 말 8,643만 명으로 15.5%가 증가하고 있다. 최근에 초고속 인터넷 확산, 웹서비스의 진화, 모바일 및 스마트폰의 보급, 쌍방향 정보 전달로 인해 미디어, 상거래, 금융, 통신 등 산업별 실시간 온라인 전환을 확대시키고 있다.

정보보안 위험 직면

2013년 3월 20일 주요 방송사와 은행 전산망이 마비되는 해킹 사건이 발생됐다. KBS MBC YTN 등 방송사와 S은행 N은행 J은행 등에 있는 총 3만2,000여대에 달하는 컴퓨터가 악성코드에 감염돼 일시에 작동을 멈췄다. IT기술 및 인터넷 서비스의 경우, 이용자의 접근 편의성을 제공하나, 무선 네트워크, 복합 단말기 사용 등 정보시스템의 복잡도 증가로 인해 보안 위협 및 취약성이 증가되어 침해사고의 발생 가능성이 매우 높아지고 있다. 그 뿐 아니라 분산서비스거부(DDoS)공격, SK컴즈 3,500만 명 정보유출사건, KT 개인정보 800만 명 유출사고, 그 외에도 최근에는 N협은행, S은행 등에서 전산장애 사고가 발생하는 등 금융회사에 대한 지능형 지속가능위협(APT)공격 등의 사이버테러 위협도 증가하고 있다.

사이버범죄의 위협도 고려대상

지능형 지속가능위협(APT: Advanced Persistence Threat) 공격이란 특정 목표를 정해두고 해킹기법을 이용하여 장기간 지속적으로 공격하여 정보유출, 시스템파괴 등을 일으키는 공격을 말한다. 우리나라 경찰청에서는 사이버범죄를 크게 일반 사이버범죄와 사이버 테러형 범죄로 구분하고 있다. 사기(통신, 게임), 불법복제(음란물, 프로그램), 불법·유해사이트(음락, 도박, 폭발물, 자살), 명예훼손, 개인정보침해, 사이버 스토킹, 사이버 성폭행, 협박·공갈 등과 같이 사이버공간에서 범죄의 수단으로 사용된 유형은 일반사이버 범죄형으로 본다.

고도의 기술이 적용되는 사이버 테러

다른 한편, 해킹(단순침입, 사용자 도용, 파일 삭제변경, 폭탄메일, 분산서비스거부 공격), 컴퓨터 바이러스, 악성프로그램 유포, APT 등과 같이 고도의 기술적인 요소를 포함하여 정보통신망 자체를 공격하는 행위는 사이버 테러형 범죄로 구분하고 있다. 경찰청 사이버 테러 대응센터의 통계자료에 따르면, 2012년 한해에 사이버 범죄 총계 108,223여건이 발생하여 84,932 여건이 검거되었다. 일반 사이버 범죄는 98,616건이 발생하여 78,561건이 검거되었으며, 사이버 테러형 범죄는 약 9,607건이 발생하여 6,371여건이 검거되었다.(경찰청 사이버테러 대응센터 홈페이지참조 www.netan.go.kr)

정보보안 경영시스템(ISMS)의 구축

2000년대에 접어들어 정보자산에 대한 새로운 보안위협 및 취약성이 기하급수적으로 증가함에 따라 기업들은 과거의 기술적 방법으로는 대응에 한계가 있음을 인식하고, 정보보안의 지속적인 관리를 통해 위험을 감소시키는 방안에 대해 관심을 갖기 시작했다. 따라서 정보보안 경영시스템(ISMS)의 도입을 시도하고 있으며, 현재 많은 기업들이 ISMS 구축에 관심과 노력을 기울이고 있다. 하지만, 정보보안 경영시스템(ISMS)을 한번 구축하였다고 해서 기업에 유용한 모든 정보를 계속적으로 보호할 수는 없다. ISMS를 지속적으로 개선하기 위해서는 ①정보보안의 방침 및 목표수립(Plan) ②통제 프로세스의 실행(Do) ③보안요구사항의 성과 점검 및 측정(Check) ④효과성 및 효율성 증대를 위한 시정 및 예방 조치(Act)가 지속적으로 반복되어야 한다.

정보보안 경영시스템(ISMS)의 장점은 ?

기업이 보유하고 있는 경영상의 노하우(Know-How)나 ①조직의 정보자산의 보안이 목적이다 이는 업무의 연속성, 업무 손실의 최소화와 투자효율의 극대화에 직결되어 있다. 그리고 ②국제적으로 인정되는 규격화된 방법(ISO/IEC 27001:2005 Information Security)이 권고되고 있다. ③여기에는 정보보안 평가, 설치, 유지, 관리를 위한 규정된 프로세스가 유용하다. 그리고 ④맞춤형 표준, 방침, 절차, 지침이 제공되며 ⑤효과적이며 효율적인 정보보안의 기획 및 관리도구가 제공된다. 따라서 ISMS의 도입은 ⑥고객과 이해 당사자 간에 신용과 신뢰성이 증대되며, ⑦관련자들이 해당 책무를 준수하고 타 표준(ISO 9001, ISO 14001, ISO 19001 등)과의 호환성을 유지하는 장점이 있다.

보안이 필요한 자산은?

그럼 보안이 요구되는 자산은 어떤 게 있을까? 기업이 보유하고 자산은 인적자산, 서비스, 무형자산, 재정으로 구분한다. 이를 다시 정보자산, 종이문서, 소프트웨어, 물리적 자산으로 구분할 수 있겠다. ①정보자산: Database, 절차, 교육자료 ②종이문서: 재고대장, 계약서 ③소프트웨어 자산: 응용 소프트웨어, 시스템 소프트웨어 ④물리적 자산: 컴퓨터, 팩스, 에어컨, 건물, 네트워크 장치, 상품 등으로 구분되어진다. 이러한 기업의 자산을 어떻게 효과적으로 보호해야 할지 검토해 보자.

ISMS에 대한 참여와 관심

ISMS에 대한 임직원의 적극적인 참여와 기업의 지속적인 유지관리가 없다면 정보보안은 단지 공염불에 불과하다. 또한, 기업이 ISMS를 잘 운영하고 있다 하더라도 위험관리, 정보자산 식별, 정보보호대책 구현 과정에 발생하는 증적관리, 문서관리, 변경관리의 실행은 ISMS를 운영하고 참여하는 직원과 외부관계자에게 업무상 실질적인 부담을 주고 있음이 현실이다. 신속성과 보안성은 상호 트레이드오프(trade-off) 관계에 있기 때문이다. 보안에 철저한 만큼 때로는 신속성이 저하되는 불편을 감수하여야 한다. 따라서 ISMS를 구축하여 운영하고 있는 많은 기업들은 보안 위험에 대한 관리의 어려움, 많은 문서화로 인한 이행보장 및 변경관리의 어려움 등을 해결하기 위해서 ISMS의 기획 및 관리에 보다 많은 관심을 기울여야 할 때다. 아울러 자사 ISMS 적정성을 평가 받기 위해 외부 평가기관으로 부터 인증을 받아야 한다.

ISMS 인증이란 ?

ISMS 인증제도란 정보통신서비스제공자, 정보통신서비스를 위해 물리적 시설을 제공하는 자, 민간사업자 등 인증대상기관이 수립․운영하고 있는 ISMS의 기술, 물리, 관리적 정보보호대책이 인증심사기준에 적합한지를 한국인터넷진흥원(Korea Internet & Security Agency : KISA)이 객관적으로 평가하여 인증하는 제도를 말한다. 즉, 조직이 주요 정보자산을 보호하기 위해 정보보호 관리 절차와 과정을 체계적으로 수립하여 지속적으로 관리 및 운영하는 지 여부를 점검하고 인증해 주는 제도이다. ISMS 인증제도는 정보통신망이용촉진 및 정보보호 등에 관한 법률 제47조에 근거를 두고 있다.

인터넷 진흥원 인증제도

한국인터넷진흥원은 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템을 인증하고 있다. 즉 인증을 신청한 조직이 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들을 유기적으로 통합된 체계에 대하여 제3자의 인증기관인 한국인터넷진흥원이 객관적이고 독립적으로 평가하여 기준에 견주어 적합 여부를 보증해주는 제도이다.

ISMS 인증체계

인증체계는 미래창조과학부, 인증기관(KISA), 인증위원회, 인증심사원 풀로 구성되어 있다. 미래창조과학부는 법, 제도 개선 및 정책의 결정과 관련예산을 지원하고 인증기관인 KISA는 인증심사 수행 및 인증서 발급관리 등의 업무를 담당한다. 인증위원회는 인증심사결과에 대한 타당성을 심의하기 위하여 정보보호전문가, 기술사, 정보시스템감리사 등 정보보호분야에 학식과 경험이 있는 전문가로 구성하며 인증심사원 풀은 인증기관(KISA)의 내부심사원과 분야별 외부전문가로 구성된다.

인증심사 대상

정보통신망법 제47조제1항에 따라 인증심사 대상은 정보통신서비스 제공자, 정보통신서비스를 위한 물리적 시설을 제공하는 자, 그 밖에 정보통신망을 운영하는 자로서 대통령령이 정하는 자로 규정하였다. 이에 따라 대통령령인 동법 시행령에서는 ISMS 인증대상자를 ‘전기통신사업법 제2조제1항 제1호의 규정에 의한 전기통신사업자로서 주요정보통신서비스제공자의 정보통신망과 연동하여 정보통신망을 운영하는 민간사업자’로 규정하였다. 즉, 기간, 별정, 부가통신을 위한 전기통신사업자로 등록된 회사나 인터넷 데이터 센터(IDC: Internet Data Center)와 같이 네트워크나 서버 등의 통신시설을 관리하는 조직 등은 기본적으로 인증대상이 될 수 있으며, 전국적인 인터넷 서비스 제공자(ISP: Internet Service Provider)와 연동하여 정보통신망을 운영하는 민간회사는 모두 대상이 된다. 따라서 인터넷과 연동된 정보통신망을 운영하는 사업자는 대부분 ISMS 인증의 대상이 된다고 볼 수 있다.

인증 의무 대상자 신설

2013년 2월18일 이후부터는 기존 안전진단 대상자 기준을 개선하여 다음에 해당하는 사업자는 정보보호 관리체계 인증을 받도록 권고 및 의무화 하였다.

①기간통신사업 허가를 받은 자로서 정보통신망 서비스 제공지역이 ‘서울특별시 및 모든 광역시’인 사업자

②집적정보통신시설 사업자(IDC)

- 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자

- 집적정보통신시설 일부를 임대하여 집적된 정보통신시설 사업을 하는 자는 ‘연간 매출액 또는 이용자수’ 기준 적용

③정보통신서비스부문 전년도 매출액 100억 이상 또는 전년도말 기준 3개월간 일일평균 이용자 수 100만 명 이상인 정보통신서비스 제공자

※ 집적정보통신시설사업자 : 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자

※ 오프라인 중심으로 온라인 물품판매를 병행할 경우, 정보통신망을 이용한 서비스에서 발생된 매출을 기준으로 대상자 선정

자율신청기업

의무대상자 외 기업이 인증 취득을 희망할 경우, 자율적인 신청을 통한 인증 심사가 가능하다. ①국가 또는 민간기업 조달 등 입찰에 참가하는 기업 ②중요자산을 취급한 분야로서 금융: 계좌, 거래정보, 교육: 학사정보, 의료: 진료고객, 통신: 고객정보, 포털: 회원정보, 기타: 산업기술정보 ③IT 경영평가, 신용평가, 회계감사 등 외부로 부터 정보보호 관련 평가를 받아야 하는 기업, ④국가기관 또는 기업의 정보시스템 등 주요 고객정보를 위탁관리 운영하는 기업은 자율적으로 ISMS 인증을 신청할 수 있다.

인증제도의 특징

한국인터넷진흥원의 ISMS 인증제도는 ①국내 실정에 적합한 정보보호관리 모델을 제시하고 ②공신력 있는 정보보호 전문기관(KISA)으로서의 심사 및 인증을 실시하고 ③국내 최고의 분야별 전문가들에 의해 인증 심사를 실시하고 있으며 ④국내 정보보호 관련법과 제도를 반영하여 신청기관의 정보보호 관리 체계를 객관적이고 독립적으로 평가하여 ISMS 기준에 대한 적합 여부를 보증해주는 특징을 갖고 있다.

한국인터넷진흥원의 ISMS 인증 취득기업에 주는 혜택

①지식경제부는 보안관제 전문업체 "업무수행능력 평가기준"의 신뢰도 항목에서 정보보호 인증기업에 5점 만점 가산점을 부여한다.

②공공부문 정보시스템 기획, 구축, 운영 사업자, SW개발사업자 선정 시 평가항목(기밀보안) 만점 부여한다.

③KISA는 정보보호대상, 입찰, 과제선정 평가 시 가산점을 부여한다.

④신용평가 기관은 한국신용평가정보의 기업신용평가 시 가산점을 부여한다.

⑤한국기업지배구조원은 상장기업 ESG(환경, 사회, 지배구조) 평가 시 소비자항목에 가산점을 부여한다.

⑥보험사는 정보보호관련 보험(배상책임보험 등) 가입 시 (AIG, LIG, 그린손해보험, 동부화재, 롯데손해보험, 메리츠화재, 삼성화재, 제일화재, 한화손해보험, 현대해상, 흥국화재 등)에서 요금을 할인한다.

⑦교육과학기술부는 원격교육설비기준에 ISMS 인증 취득을 권고한다.

⑧국토해양부는 유비쿼터스 도시기반 시설에 대하여 ISMS 인증 취득을 권고한다.

⑨KISA는 정보보호 大賞 수상 기업의 경우 수수료를 (우수상, 특별상 100~50%) 할인한다.

⑩소규모 기업의 경우 KISA 인증 수수료를 (상시 근로자 수 50명 미만 또는 매출액 50억 미만, 50%) 할인한다.

인증심사 종류

인증심사의 종류는 최초심사, 재심사, 사후관리, 갱신심사로 구분한다. 기본적으로 인증유효기간은 3년이며, 인증취득 후 1년에 1회 이상 사후심사를 받아야 한다.

①최초심사: 정보보호관리체계 인증 취득을 위한 심사

②사후관리: 정보보호관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상)

③갱신심사: 유효기간(3년)만료일 이전에 유효기간의 연장을 목적으로 하는 심사

※ 인증을 받은 정보보호 관리체계 범위 내에서 중대한 변경이 발생한 경우 최초심사를 다시 받아야 한다.

심사 기준

ISMS 인증심사 기준은 2013년 방송통신위원회 고시(제2013-4호)로 개정기준을 공표하였다. 정보보호 5단계 관리과정 요구사항 12개 통제사항, 정보보호대책 13개 분야 92개 통제사항 총 104개 통제사항으로 구성되어 있다. 즉, ISMS 인증을 받기 위해서는 인증기준을 만족하여야 한다. 개정기준은 중복/유사기준 통합, 실효성 없는 기준의 삭제, 신규 기술 및 정보보호 트렌드 등을 고려하여 구기준 137개 통제사항에서 104개 통제사항으로 개정하였다.

정보보호관리과정 요구사항(필수항목)

ISMS는 정보보호 정책 수립 및 범위설정, 경영진 책임 및 조직 구성, 위험관리, 정보보호대책 구현, 사후관리의 5단계 과정을 거쳐 수립, 운영된다. 이 관리 과정은 일회적인 단계가 아니라 지속적으로 유지 관리되는 순환 주기의 형태를 가진다. 첫째로 5단계 정보보호 관리과정에 따라 ①ISMS를 수립하고 운영해야 하며, 둘째로 ISMS 수립과 운영에 관련된 사항을 관련자들이 쉽게 이용할 수 있도록 ②문서화해야 하고, 셋째로 위험분석을 통해 필요한 통제사항을 선정하고 이에 해당하는 ③정보보호 대책을 구현하고 운영해야 한다.

정보보호대책 요구사항(선택항목)

ISMS는 정보보호에 관련된 위험을 통제하기 위해 정보보호 대책을 구현하고 관리하는 체계이다. ISMS 인증기준에서는 다음의 13개 통제분야에 대하여 92개 통제사항을 제시하고 있다.

①정보보호 정책: 정책의 승인 및 공표, 정책의 체계, 정책의 유지관리

②정보보호 조직: 조직의 체계, 책임과 역할

③외부자 보안: 보안요구사항 정의, 외부자 보안 이행

④정보자산 분류: 정보자산 식별 및 책임, 정보자산의 분류 및 취급

⑤정보보호 교육: 교육 프로그램 수립, 교육 시행 및 평가

⑥인적 보안: 정보보호 책임, 인사규정

⑦물리적 보안: 물리적 보호구역, 시스템 보호, 사무실 보안

⑧시스템개발 보안: 분석 및 설계 보안관리, 구현 및 이행 보안, 외부개발 보안

⑨암호통제: 암호정책, 암호키 관리

⑩접근통제: 접근통제 정책, 접근권한 관리, 사용자 인증 및 식별, 접근통제 영역

⑪운영관리: 운영절차 및 변경관리, 시스템 및 서비스 운영보안, 전자거래 및 정보전송 보안, 매체 보안, 악성코드 관리, 로그관리 및 모니터링

⑫침해사고 관리: 절차 및 체계, 대응 및 복구, 사후관리

⑬IT 재해복구: 체계구축, 대책구현

인증심사 절차

인증을 신청한 기관이 인증심사 신청을 하고 인증서 발급을 받기까지 약 3개월이 기간이 소요된다. 인증심사는 기술심사와 문서심사로 구분되며 기본적으로 하루 4명의 심사원이 참여하여 심사를 진행한다. 인증심사에서 발견된 결함사항에 대해서는 신청기관이 보완조치를 할 수 있도록 한 달간의 시간을 주며 보완조치가 완료된 후 인증위원회를 개최하여 심사결과에 대한 최종 심의를 실시한 후 인증여부를 결정하게 된다. 심의를 실시한 후 인증여부를 결정하게 된다.

전자정부 G-ISMS 인증제도 소개

전자정부 정보보호 관리체계(G-ISMS) 인증은 행정기관이 수립하고 구축한 종합적인 정보보호 관리체계(ISMS)를 제3자인 한국인터넷진흥원(KISA)이 객관적으로 심사하여 인증을 부여하는 제도이다. (※G-ISMS: Government Information Security Management System)

①G-ISMS는 행정기관의 정보 자산을 체계적으로 보호하고, 사이버침해 위협으로부터 조직이 유기적으로 대응하기 위한 종합적인 관리체계이다.

②G-ISMS는 정부 행정기관 등의 조직 및 서비스의 특성에 적합하게 수립된 종합적인정보보호 관리체계를 의미한다.

③G-ISMS 인증체계는 역할과 책임에 따라 정책기관, 인증위원회, 인증기관, 신청기관으로 구분한다. 정책기관과 인증위원회는 행정안전부가, 인증기관은 KISA가 그 역할을 수행하고 있다.

④인증 심사기준 및 절차는 전자정부법 제24조와 제56조 및 시행령 제20에 의거 행정안전부 훈령 232호 「전자정부 정보보호관리체계 인증 등에 관한 지침」에 따른다.

ISMS 인증을 받은 효과는?

ISMS 인증을 받은 기업에는 어떤 효과가 있을까? 기업의 정보보호활동을 DB화, 시스템화, 자동화함으로써 기업의 보안 관리자는 구축된 ISMS를 통하여 보안담당자 및 관리자의 정보보호활동을 효과적으로 지원하고, 보안 업무의 지속성을 보장하여 요구되는 보안수준을 지속적으로 유지 관리할 수 있으며 다음과 같은 효과가 있다.

①ISMS에 위험관리 절차를 포함하여 위험분석 및 평가를 일관성 있게 할 수 있다.

②DB를 통한 일괄적인 이력관리로 유지보수와 변경관리가 용이하다.

③시스템을 통한 이행관리가 가능하여 이행에 관한 증적문서 작성이 현저히 감소한다.

④모니터링 기능을 통한 이행상태의 실시간 측정이 가능하다.

국제표준과의 인증 심사 공동 협력 방안 마련

기업들은 인증추진의 목적에 따라 현재 영국규격협회(BSI: British Standards Institution)의 ISO/IEC27001 인증과 한국인터넷진흥원(KISA) ISMS 인증을 동시에 추진하는 경우가 있다. 이 경우, 고객이 양 기관에 동시에 신청하기는 불편하므로, 이 문제를 해결하기 위해 BSI와 상호협력방안을 모색할 필요가 있다. 현재 영국규격협회와 한국인터넷진흥원 간의 상호인정은 인증심사 기준, 방법, 절차 등의 차이점으로 인해 현실적으로 다소 어려운 점이 있다. 따라서 동시 신청 기관에 대해서는 공동심사를 추진하는 방안을 검토하고 있다고 한다. 공동심사의 구체적인 방법과 내용은 아직 미정이지만 앞으로 BSI, KISA 상호간의 신뢰 구축 및 공감대를 형성할 수 있기를 기대한다.

향후 전망

향후 기업들은 새롭게 증가하는 정보보호 위협에 대비하기 위하여 내부적으로 통제를 강화하고, 정보자산 취약점 개선 등 다양한 정책, 지침, 절차를 만들어 나가야 한다. 이러한 일련의 정보보호 활동의 체계적인 관리를 위해 전문화된 ISMS 프로시저(Procedures)를 수립할 뿐만 아니라 위험관리 프로세스를 개선하고, 위험 시나리오 상정 및 위험을 추정하고, 위험평가 접근방법을 고도화하며 이와 더불어 정보보안 경영시스템(ISMS)의 운영 유지를 위한 시스템화 및 자동화에 많은 노력을 기울여야 하겠다.<다음 호에 계속>

참고자료

미래창조과학부 한국인터넷진흥원 정보보호 관리체계(ISMS) 인증제도 안내서_v0.8 (2013.3)

방송통신위원회 네트워크정책국 기업 정보보호 관련 재개정 고시 설명회 자료집

방송통신위원회 정보보호 관리체계 인증 등에 관한 고시 전문(방통위고시 제2013-4호)

(방통위고시_제2013-4호)_정보보호_관리체계_인증에_관한_고시_전문

(방통위고시_제2013-4호)_정보보호_관리체계_인증에_관한_고시_전부개정

행정안전부, 한국인터넷진흥원 개인정보 암호화 조치 안내서 (V e r 1 .0) 2012. 10.

금융감독원 IT감독국 IT보안팀 2013.5.27. 보도자료: 금융권 IT보안실태 점검 및 개선방안 마련을 위해 테마검사 실시

한국인터넷진흥원 홈페이지 http://www.kisa.or.kr 정보보호 및 개인정보보호 관리체계인증

한국인터넷진흥원 ISMS 인증기준 세부점검항목 (2013.5.15)

한국인터넷진흥원 [2011]ISMS구축 및 운영교육-실무자과정

한국인터넷진흥원 정보보호 관리체계(ISMS) 인증 신청 제출 서류

정보보호 관리체계(ISMS) 인증 관련 정보통신망법-시행령-하위고시(3단비교표)

ISO27001:2005 ISMS (Information Security Management Systems) - Requirements

정보과학회지 2012.1 제30권 제1호 통권272호, 특집 제목: 보안 참조