ISMS 세부통제항목 최종안 발표

  KISA홈페이지에 어제 (2013.5.15) 신규 ISMS 세부점검항목이 발표되었습니다. ISMS인증을 준비하시는 분들은 참고하시기 바랍니다.   2013년 1월 18일 발표된 [정보보호 관리 체계 인증 등에 관한 고시]에서  인증기준을 위한 통제항목이 발표되었었습니다.  기존 ISMS 기준을 명확화, 구체화하여  127개에서 104개로 통제항목 수가 축소되었었습니다.  1월에 발표된 기준에서는 통제사항이 발표되었고  어제 날짜로  이에 대한 세부 점검항목(254개)이  발표된 것입니다.   

  근거를 확인하고자 하시는 분들은 2013-01-18일자 정보보호 관리체계 인증등에 관한 고시와  정통망법을 참고하시기 바랍니다. 
– 관련 고시:  고시_전부개정 중  [별표6.정보보호 관리체계 인증기준(제18조 관련)]
– 법적 근거: 정통망법 47조(정보보호 관리체계의 인증)

* 정보보호 관리체계 인증 등에 관한 고시_전부개정(고시 제2013-4호) (2013-01-18) <<보기>>
* 정통망법 (정보통신망 이용촉진 및 정보보호 등에 관한 법률), 시행령, 시행규칙 <<보기>>

KISA 정보보호 및 개인정보관리체계 인증 홈페이지:
    http://isms.kisa.or.kr/

신규 ISMS 세부점검항목은 엑셀파일로 아래와 같이 제공되고 있습니다. 참고하시기 바랍니다.
<< KISA 자료실에서 신규 ISMS 인증기준 세부점검항목 xls 파일 다운로드하기 >>
image

ISMS인증제도에 대해 궁금하신 분은 아래의 안내서를 다운로드 하셔서 참고해주세요..
<< KISA 자료실에서 ISMS 인증제도 안내서 다운로드 하기>>

유닉스 권한 계산기

  유닉스시스템의 파일, 디렉토리의 권한이 어렵게 느껴지시는 분들에게 유닉스 권한계산기 사이트를 소개해드립니다.  아래의 웹사이트에 접속하시면  머리 쓰지 않고(?) 바로 바로 확인이 가능합니다.  ^^  
   http://permissions-calculator.org/ 

■ Octal 메뉴 사용
권한 값을 입력하면 코드가 출력됩니다.  
참고사항) 아래에 600이라는 코드가 보이는데  로그파일 보관을 위해 보안 상 권고되는  퍼미션입니다.
image

■ Decode Octal 메뉴 사용

코드를 입력하면 해당하는 권한 값이 출력됩니다.
image

ISMS 인증서 발급 현황

  올해부터 정보보호 안전진단이 종료되고 ISMS가 의무화됩니다.  연도별 인증서 발급현황을 확인할 수 있는 웹페이지를 소개합니다.   2013년도에는 벌써 세곳이 인증을 받은 것을 확인하실 수 있습니다. 연도를 클릭하시면  발급된 인증서의 내역을 확인할 수 있습니다.  여기에는 인증번호,기관명, 인증범위등이 포함됩니다. 

■ 연도별 ISMS 인증서 발급현황 확인하기
http://isms.kisa.or.kr/kor/issue/issue01.jsp?certType=ISMS

image

2013년도 링크를 클릭하면 아래처럼  인증서 발급현황을 조회할 수 있습니다.

image

■ ISMS 인증서 발급목록 전체 보기
http://isms.kisa.or.kr/kor/issue/issueList.jsp?certType=ISMS 
전체 인증서 발급기관을 조회할 수 있습니다.
image

■ PIMS 인증서 발급목록 보기
http://isms.kisa.or.kr/kor/issue/issue01.jsp?certType=PIMS 

■ G-ISMS 인증서 발급목록 보기
http://isms.kisa.or.kr/kor/issue/issue01.jsp?certType=G-ISMS

ISO27001 국가별 인증현황 확인하기

  ISO27001 인증을 받은 국가별  통계를 확인하는 사이트를 소개해드립니다.   2012년 8월 버전이 최신 버전으로 공개되어 있습니다. 

  ISO27001이란 정보보호경영시스템(ISMS)에 대한 요구사항을 규정하여 BSI가 제정한 국제표준이라고 할 수 있습니다. 현재 신뢰할만한 정보보호체계에 대해 글로벌한 인증을 받기 위해서는  ISMS인증을 받고 있습니다.   정보가 직면하게 되는 일반적인 위협을 파악하고 관리하며 이를 최소화하는데 유용한 규격이라고 할 수 있습니다.

연관 포스팅:  ISO27001의 133개 통제항목에 대한 해설 및 실행지침서

■ ISO27001 전체 현황 살펴보기
http://www.iso27001certificates.com/Register%20Search.htm 
  위 링크를 클릭하시면  ISO27001 인증의 발급된 현황을 한눈에 살펴보실 수 있습니다.  한국은 107개, 전 세계적으로는 7,940개의 인증이 발급된 상태입니다. 아래 사이트에 보시면 현황을 파악할 수 있습니다.

image

■ ISO27001  국가별 현황 살펴보기
국가별로  인증받은 조직들을 세부적으로 확인해보시려면  아래처럼 하시면 됩니다.
Register Search 항목의 ISMS Certificates 라는 링크를 클릭하시면  쿼리 페이지로 이동합니다.
image

쿼리 페이지에서 국가를 선택해서 [Send Query] 버튼을 클릭해주세요.
image

자 이제 한국내의  ISO27001 인증을 받은 회사들이 보입니다…  확인하시면 되겠죠? ^^
image

보안컨설팅 학습4 (문제해결기법:페르미의 추정)

출처:  << 신수정박사의 보안컨설팅카페 >>
[보안컨설팅 강의자료]중에서 SK인포섹 대표이신 신수정박사님의 정보보호컨설팅 강좌 4편을 보고 정리해보았습니다.

보안컨설팅 강의4. 문제해결기법:페르미의 추정
원문: (신수정박사의 정보보호컨설팅 카페에서 확인하실 수 있습니다.)
http://m.cafe.naver.com/ArticleRead.nhn?clubid=21433471&articleid=207&page=1&boardtype=L

동영상 강의: (PC화면 녹화방식입니다.)

보안컨설팅학습3(정리기법2)

출처:  << 신수정박사의 보안컨설팅카페 >> [보안컨설팅 강의자료]중에서

SK인포섹 대표이신 신수정박사님의 정보보호컨설팅 강좌 3편을 보고 정리해보았습니다.  

보안컨설팅 강의2. 정리기법2
원문: (신수정박사의 정보보호컨설팅 카페에서 확인하실 수 있습니다.)
http://m.cafe.naver.com/ArticleRead.nhn?articleid=205&page=2&boardtype=L&clubid=21433471

동영상 강의: (PC화면 녹화방식입니다.)

ISO27001의 133개 통제항목에 대한 해설 및 실행지침서

image

  ISO27001은 정보보호관리체계( Information Security Management System)에 대한 기본적인 요구사항을 규정하여 표준화한 국제적인 규격입니다.   현재 사용되고 있는 최선의 정보보호의 Best Practice들로 구성된 11개 분야 133개 통제항목으로 구성되어 있습니다.

  원래  정보보호 관리체계의 국제규격이었던 BS7799에서 ISO27001이 파생되었습니다.  BS7799는 1999년 Part1, Part2로 나뉘어지게 되었고    실행지침 파트인 Part1이 2000년에 ISO17799로 전환되었고, 규격 파트인 Part2이 2005년에 ISO27001로 전환되어 현재까지 오게 되었습니다.   정보보호 관리체계에 대한 국제 인증을 받기 위해서는 Part1의 실행지침을 따라 자체적인 체계를 수립하고 일정기간 이행한 기록을 토대로 Part2규격을 따라 심사를 받게 됩니다.
image

  ISO27001의 통제항목 일부가 잘 이해되지 않아서 검색하다가  아래 문서를 찾게 되었습니다.  과거 지경부에 제출되었던 연구과제물이었습니다. (이오컨설팅에서 수행했네요..)  ISO27001의 통제항목에 대한 설명이 이해가 잘 되지 않는 경우에 이 문서를 보시면 큰 도움이 될 듯합니다. 꽤 자세히 적혀 있다는 것이 문서의 장점입니다.  세부통제항목 란에 보시면  ISO27001 통제항목의 일련 번호가 포함되어 있으니 참고하시기 바랍니다. 

아래 자료는 ISO/IEC27001:2005를 기반으로 한 것입니다.  

  << 중소기업의 기술보호를 위한 세부 보안통제실행 지침서 (ISO27001 기반) >>
 << 개인정보보호 경영포털의 ISO27001자료실 (회원가입 필요)  >>

image

  아래는 위 문서에서 발췌한 ISO27001 통제항목의 구성입니다.    11개 도메인, 133개 통제항목이 망라되어 있습니다. 참고하세요

image

법령, 시행령, 시행규칙 3단 비교하기

   어제는 국가법령정보센터에서 법령,시행령,시행규칙을 PDF로 출력하는 방법에 대해 포스팅했었습니다 .오늘은 법령,시행령,시행규칙을 3단 비교하는 방법 및  비교내용을 파일로 저장하는 방법을 소개해드리려고 합니다.  최신 법령등을 PDF로 저장하는 방법은  다음 URL을 참고하세요.
 <<  정보보호에 관한 관련 법규 출력하기  >>  

■  법령, 시행령, 시행규칙의 차이
먼저  법령, 시행령, 시행규칙의 차이를 알아야겠죠?   이 세가지는 모두 법적 구속력을 가집니다.  법령을 출력하실 때  꼭 세가지를 모두 확인하셔야 합니다.

법령: 국회에서 제정, 법률은 모든 내용을 구체적으로 명시하는데 어려움이 있고 현실적인 집행을 하는데 한계가 있기에 법률에서는 원칙적인 사항이나 반드시 준수되어야할 사항을 명기하고 나머지는 시행령이나 규칙에서 규정하도록 하는 유보조항을 두고 있습니다.  "~한 사항은 대통령령으로 정한다"이런 식으로 하위법인 명령에 그 세부사항을 적시하도록 위임하고 있지요
시행령: 법률이 있을 때 해당 법률의 시행하기 위한 상세한 내역을 규율하는  명령으로써 대통령령으로서 제정됩니다. 
시행규칙: 시행령이 있을 때 그에 대한 상세한 내역을 규율하기 위한 것입니다. 실제 시행과 관련된 행정부서에서 제정됩니다.

먼저 국가법령정보센터 사이트에 가셔야 합니다.
■ 국가법령정보센터 사이트: http://law.go.kr

image

법률검색을 하시면 나오는 화면에서  중앙에 보이는 [3단 비교] 버튼을 클릭하세요
image

■ 3단 비교하기 및  비교내용 파일로 저장하기
그러면 3단비교(법률기준) 창이 새로 뜨게 됩니다.  여기서는 법률기준으로 해당하는 시행령과 시행규칙을 같은 라인에 함께 비교해주므로  한눈에 법률, 시행령, 시행규칙의 세부내역을 확인하실 수 있어서 매우 편리합니다. 역시 여기서도 파일로 내보내기를 지원합니다.   HWP, 엑셀, HTML 파일로 내보내기를 하실 수 있습니다. 
 image

도움이 되셨나요?   무슨 법이든  법률, 시행령, 시행규칙을 함께 확인하시는거 잊지마세요 ^^

정보보호에 관한 관련 법규 출력하기

  국가법령정보센터 싸이트에 가시면 최신 정보보호 관련 법규를 확인하실 수 있습니다.  이 사이트에서는 최신 법령을 쉽게 검색할 수 있을 뿐 아니라   조회중인 법령을 PDF나 문서파일로 저장할 수 있으며  즉시 프린트도 가능합니다. 

■ 국가법령정보센터 사이트: http://law.go.kr

image

  오늘 국가법령정보 사이트에서 정통망법과 개인정보보호법을  PDF파일로 내려 받아  소책자를 만들어 보았습니다. ^^   항상 최신 법령자료들을 쉽게 다운로드할 수 있어서 참 좋은 것 같습니다.  바로 웹페이지에서 프린트도 가능합니다만  보관 및 좀더 깔끔한 인쇄를 위해서 PDF파일로 내려받는 것을 추천합니다. ^^

image

■  정보보호 관련 법규 리스트

– 정통망법 (정보통신망 이용촉진 및 정보보호 등에 관한 법률), 시행령, 시행규칙  <<보기>>  
– 개인정보보호 법, 시행령, 시행규칙 <<보기>> 
– 부정경쟁방지 및 영업비밀보호에 관한 법률, 시행령  <<보기>>  

■  정보보호 관련 법규 PDF로 만드는 방법

1. 국가법령센터에서  법령을 검색한 후 나오는 법령을 더블클릭합니다.
image

2. 출력하기 원하는 법령을 클릭한 후 오른쪽 상단의   디스켓 모양 image 버튼을 클릭합니다.
image

3. 출력하기 원하는 문서 포맷으로 지정하고  저장버튼을 클릭합니다. (HWP, PDF, DOC 세가지 옵션)

image

image

4. PDF로 저장된  법령을 확인하세요

image

사용자 보안의식이 정말 문제일까요?

  최근 낮은 사용자 보안의식이 문제라는 기사들이 많이 보이더군요. 10여전 전부터 항상 사고가 발생하면 이런 기사들이 많이 나오더라구요. 사용자 보안의식이 정말 문제일까 생각해보았습니다.

  사용자 보안의식을 높이기 힘든 이유는 무엇일까요? 많은 보안사고들이 발생하고 있지만 정작 기업의 업무현장에선 보안이란 ‘남의 일’이 되고맙니다. 직원들의 보안의식이 부족하다고 말을 많이 하지만 정작 직원입장에선 철저히 성과에 의해 평가받고 있기 때문에 일을 신속하게 처리해서 외적 성과를 내는 것만이 중요하게 인식됩니다. 대부분의 기업에 있어서 보안은 성과지표에 거의 영향을 미치지 않는다고 봐야합니다.

  사용자 보안의식이 부족하다며 책임을 직원에 전가하기 보다는.. 경영자가 기업내 조직원들이 보안에 자발적으로 참여할 수 있도록 보안준수에 대한 성과지표를 제시하고 반영하는 것이 효과적인 지식정보보호가 가능해지는 지름길이란 생각이 듭니다. 물론 쉬운 일은 아니겠지만 ‘보안을 중요하다고 생각해라’라고 주입식으로 교육하는 것보다 ‘보안이 직원에게 의미가 있다’라는 것이 느껴질 수 있는 기반을 다지는 것이 더 중요하다는 생각이 듭니다.