CISO와 CPO의 역할과 책임에 관한 자료들..

구태언 변호사 -CISO CPO의 기업내 역할과 책임을 위한 제언 (PPT 24page)
(테크앤로 대표변호사)

■ CISO
-명칭: 정보보호최고 책임자
-근거: 정통망법 제45조의 3
-기업에서 정보보안을 위한 기술적 대책과 법률 대응까지 총괄 책임을 지는 최고 임원
-금융회사는 CISO를 의무적으로 두어야 함
-총 자산 2조원 이상이면서 종업원수가 300명 이상인 금융회사는 CISO를 임원으로 임명해야 함
-기업의 경영목표를 이루기 위해 정보기술을 감독하고 전략을 세우는 것이 주 임무인 CIO와는 구별
■ CPO
– 명칭: 개인정보 보호책임자(개인정보보호법), 개인정보관리책임자(정통망법)
– 근거: 개인정보보호법 제31조, 정통망법 제27조
– 개인정보의 처리에 관한 업무를 총괄해서 책임 (개보법)
-이용자의 개인정보를 보호하고 개인정보와 관련된 이용자의 고충처리(정통망법)

[slideshare id=42521450&doc=tekcisocpotek-141209083553-conversion-gate01]

 

ISO27001:2013의 변경사항 정리

ISO27001이 업데이트되었습니다. 새로운 버전의 명칭은 ISO/IEC27001:2013입니다. ISO/IEC27001:2013은 국제표준화기구(ISO)에서 제정한 정보보호 관리체계 국제표준으로 정보보안 정책, 공급자관계, 암호통제 등 14개영역 114개 항목에 대하여 국제심사원의 검증을 통해 주어지는 정보보호 분야의 권위 있는 국제 인증입니다. 

변화된 내용을 간략하게 나타낸 그림을 소개해봅니다.

원문참조: http://www.gammassl.co.uk/27001/revision.php

image

■ISO/IEC27001:2005 대비 주요 변경 사항
1. ISO/IEC27001:2013은 모든 ISO 경영시스템의 공통된 구조를 통해 요구사항 및 용어를 호환 할 수 있도록 부속서 SL(Annex SL)의 부록 3(Appendix3)규격에 의거하여 표준 문장으로 기술.

2. 부속서 SL(Annex SL)의 부록3(Appendix3)규격은 다음 3개 파트로 구성.
①high level structure: 모든 ISO 경영시스템 표준의 주요 절 번호와 제목이 1~10까지 동일
②identical core text: 향후 모든 ISO 경영시스템 표준의 최소기준으로서 84개의 요구사항과 함께 45개의 “shall(~해야)“을 명시(ISO/IEC27001:2013은 59개 명시)
③common terms and core definitions: 3.01~3.22까지 용어가 정의되어 있으며 모든 신규 또는 개정된 ISO 경영시스템의 표준이 정의된 용어를 사용

3. ISO/IEC27001:2005에는 정보보안을 위한 통제 개선 시스템 목적으로 Plan Do Check Act 모델을 명시하였으나, ISO/IEC27001:2013에서는 경영 시스템의 지속적인 유지개선 목적으로 PDCA 모델을 명시 및 강조하지 않고 문서 전체적으로 개념을 포함하여 기술

4. ISO/IEC27001:2005에 “3.Terms and definitions”에 기술되었던 용어 정의는 ISO/IEC27000(Overview and vocabulary)로 이전하여 용어의 표준화를 수행하였으며, 일부 용어의 경우 변경을 실시

5. ISO/IEC27001:2005의 “5 Management responsibility”을 수정하여 “5. Leadership”절에 포함

6. “preventive action”용어 대신 “action to address risks and opportunities”를 사용

7. ISO/IEC27001:2013의 위험관리 사항은 ISO31000 Risk management 프로세스 기반에 위험분석•평가 중심에서 위협과 시나리오 기반의 위험분석•평가 중심으로 변경

8. ISO/IEC27001:2013 통제항목은 기존 11개 분야 133개에서 14개 분야 114개 통제항목으로 변경
①특정구현에 의존성이 있는 내용의 삭제 및 최소화를 위해 A.11.4.7(Network routing control), A.12.2.1(Input data validation) 등 20개 통제항목 삭제
②통제분야의 세부화와 통제목적 재 그룹화를 위해 A.9.4.2(Secure log-on procedures), A.12.4.1(Event logging) 등 19개 통제항목을 10개 통제항목으로 통합 및 분할
③통제항목 A.10.2.1(Service delivery)는 관리과정(8.1)에 포함
④프로젝트 관리 및 보안 시스템 도입 시 정보보안 프로세스와 사고대응 사항을 반영하여 A.14.2.1(Secure development polocy), A.14.2.8(System security testing) 등 11개 통제항목 신설

변화된 내역을 세부적으로 확인하시려면 아래문서를 참조하세요
http://www.bsigroup.com/LocalFiles/en-GB/iso-iec-27001/resources/BSI-ISO27001-transition-guide-UK-EN-pdf.pdf

http://wikisecurity.net/certification:iso_iec_27001:2013_revision

인증심사기법및 계획:
http://bit.ly/1w7Dw2K

인증심사개요
http://bit.ly/1n8rBIh

ISMS 세부통제항목 최종안 발표

  KISA홈페이지에 어제 (2013.5.15) 신규 ISMS 세부점검항목이 발표되었습니다. ISMS인증을 준비하시는 분들은 참고하시기 바랍니다.   2013년 1월 18일 발표된 [정보보호 관리 체계 인증 등에 관한 고시]에서  인증기준을 위한 통제항목이 발표되었었습니다.  기존 ISMS 기준을 명확화, 구체화하여  127개에서 104개로 통제항목 수가 축소되었었습니다.  1월에 발표된 기준에서는 통제사항이 발표되었고  어제 날짜로  이에 대한 세부 점검항목(254개)이  발표된 것입니다.   

  근거를 확인하고자 하시는 분들은 2013-01-18일자 정보보호 관리체계 인증등에 관한 고시와  정통망법을 참고하시기 바랍니다. 
– 관련 고시:  고시_전부개정 중  [별표6.정보보호 관리체계 인증기준(제18조 관련)]
– 법적 근거: 정통망법 47조(정보보호 관리체계의 인증)

* 정보보호 관리체계 인증 등에 관한 고시_전부개정(고시 제2013-4호) (2013-01-18) <<보기>>
* 정통망법 (정보통신망 이용촉진 및 정보보호 등에 관한 법률), 시행령, 시행규칙 <<보기>>

KISA 정보보호 및 개인정보관리체계 인증 홈페이지:
    http://isms.kisa.or.kr/

신규 ISMS 세부점검항목은 엑셀파일로 아래와 같이 제공되고 있습니다. 참고하시기 바랍니다.
<< KISA 자료실에서 신규 ISMS 인증기준 세부점검항목 xls 파일 다운로드하기 >>
image

ISMS인증제도에 대해 궁금하신 분은 아래의 안내서를 다운로드 하셔서 참고해주세요..
<< KISA 자료실에서 ISMS 인증제도 안내서 다운로드 하기>>