[ISMS] ISMS(information Security Management System)에 대해서

오늘은 ISMS에 대해서 적어보고자 한다. 날 반년동안 괴롭혔던 ISMS !! 

하 .....(현실은 인턴하다 짤린 백수)

우선 ISMS 의 개요이다 .

ISMS 는 7.7 인터넷 대란 , 농협 전산망 마비 사태 ,통신사 개인정보 유출 등

 해킹 위협으로 인해 특정 목표로 지능화 , 고도화 되어가는 해킹 수법(APT 공격) 에 대하여 

 대응하기위한 정보보호 관리 체계이다.

ISMS (Imformation Security Management System)의 약자로 언제 어디로 침투할지 모르는 혹은 이미 침투해 있을 그러한 해킹 공격에 대해

기업체 등의 철저한 관리로 해킹을 예방하는 방법이다 .

방법이라고 하긴 뭐하고 ...서비스라고 해야하려나 .. ?? 

그냥 관리체계라고 해두겠다. 

한마디로 요약하자면 

정보보호계의 종합예술이라고 말해두고 싶다.

 

ISMS 의 인증마크이다. 

ISMS 는 적은 노력 (또는 비용으로 ) 있을지 모르는 침해사고에 대해 고효율적인 가성비를 보여준다.

컴퓨터를 잘하시는 분이 계시다면 비용보다는 노력이 많이 필요하겠고 

다른 업체 한테 맡겨도 효율이 높다.

기업에 침해사고 후에 받을 신뢰성 및 이미지 회복에 기여하는 돈보단 

미리미리 예방하는 가격이 훨씬 쌀 것이다.

일단 침해사고 후에는 각종 소송 비용 및 , 관리비용이 만만치 않게 들것이기 때문이다 .

감기가 걸릴 것을 알고 있지만 예방 안하는 것과 예방하는 것 같이 말이다.

아프고 걸리느니 안아플때 미리미리 건강을 챙기자는 취지와 비슷하다.

ISMS 인증 제도는 조직에서 일을 계속적으로 하기위해 각종 위협으로부터 정보자산을 보호하기 위한 위험 관리 기반의 체계적인 개선 활동이다.

자신들의 정보자산 및 기밀을 지키기위해 전문 기관인 KISA로 인증 받는 국가공인제도 이다.

이게 무엇이냐 ?? 

이것은 사고로 자신이 일자리를 잃지 않으려면 엄청나게 신중하게 컴퓨터 보안에 신경써야 한다는 것이다 .

물리적 , 외부적 , 내부적 문제를 모든것을 갈아 넣어서 말이다.

요약하자면 

집 잘지키면 전문기관에서 오오오 잘지킴 오오오 이 집은 안전하다고 인정해 드림

이란 뜻이다.

 

자아 .. 이 인증이 필요한 기업들이 어느곳이냐 !! 하면 국가기관은 필수 , 대기업도 필수 !! 정보다루는 곳은 다 필수 !! 꽝꽝 !

이게 올해는 대학교쪽도 확대된다는 이야기도 있었지요 ... (내가 회사 인턴 끝나서 모름 ..소문임 )  

하지만 이 ISMS 는 정확히 필수가 아닌 필요에 의한 인증이라는게 문제점 

필요한 기업인데 우린 그런데 쓸 돈 없는데 ?? 안해안해 !! 할수 있다는 것이다.

물론 그에 따른 책임은 그 기업체의 문제이지만 말이다.

ㅋㅋ 알았어 알았다고 근데 그게 왜 필요한데 ??? ㅋㅋㅋㅋ 

왜 필요하냐고요 ?? 

아프고 싶어요 ?? 아 물론 회사가 아니고 기업이요 ㅋㅋ 

예방 할래요 ?? 아플래요 ??

라고 설명 하면 알아듣는다고 믿겠다.

언제 침투해올지 모르는 경로를 미리미리 예방 하지는 취지이지

아무것도 안하다가 당하고 골골대면 아무도 알아주지 않는다.

어찌보면 이것은 보안을 했다는 최소한의 증거라도 될 것이다 .

했는데 뚫린거임 !!

이게 무슨소리냐 ..? 아마 기업체에서 보안을 안했는데 해킹이 되었다면 수천억대 소송에 휘말린다.

하지만 이러한 인증(또는 노력)이 있을 경우 최소한의 참작요인이 되어 소송비용이 줄어들게된다.

또는 책임업체에게 책임을 넘길 수 있다 . 운이 좋다면 면책도 가능하다는 이야기다.

자 이쯤되면 태풍 후에 집을 고칠것인가 

아니면 태풍에도 쓰러지지 않을 집을 지을 것인가 

그것은 역시 선택자의 몫이다. 

이것은 ISMS의 기대효과이다 .

 보안사고에 비용 절감 효과가 크고 기업의 신뢰도까지 높일 수 있는 1타 몇 피인지.....

추진 체계와 인증 프레임 워크이다.

각종 분야별로 항목이 세분화 되어있다.

추진 체계에서 미래창조과학부 , KISA, 인증위원회 ,인증 심사원을 통해 더욱 견고한 체계가 완성 되도록 한 것이 보인다.

인증 심사 절차는 

1. 인증심사를 신청하고

2. 사전 심사 및 계약 

3.인증 긱관에서 인증 심사팀을 구성하여

4. 인증 심사에 들어간다.

5. 보안 조치 결과를 통보해주고

6.인증에 대한 결과 보고서를 제출하여 

7. 인증위원회에 인증 심사 결과를 보내주고 

8.인증 위원횐느 심의 결과를 인증기관에 알려준다.

9.그리고 인증서를 발급 해주는데 

각 단계별로 이정도의 기간이 걸린다 .

요약을 해보자면 

1.ISMS 인증이 있다.

2. 아주 치명적인 질병( 해킹 ) 이 도사리고 있다.

3.걸릴 것인가 예방 할 것인가 (걸리고 돈 오지게 깨질것인가 예방하고 돈 조금 깨질 것인가)

4.기업체 마음대로 하세요 

KISA ISMS (http://isms.kisa.or.kr/kor/main.jsp) 에서 더 자세히 알아 볼수 있다 .