정보보안 컨설팅 서비스
정보보안 컨설팅은 조직의 정보보호 관리체계에 대한 외부기관의 객관적인 평가 및 인증을 취득할 수 있도록 지원하는 서비스입니다.
개요
국내에서는 한국인터넷진흥원(KISA)이 시행하는 ISMS 인증, ISMS-P 인증이 있으며, 국제인증으로는 ISO 27001, 27701, 27017, 27018이 있습니다.
BlueTeamK는 정보보호 관리 과정에 대한 절차를 수립하고 지속적인 관리와 운영을 위한 문서화 등을 통해 정보 자산에 대한 기밀성, 무결성, 가용성을 확보할 수 있는일련의 과정과 활동에 대한 개선 방향을 제시합니다. 이를 통해 각 인증 기준이 요구하는 보호 조치와 조직에 최적화된 보안 컴플라이언스 서비스를 제공합니다.
보안
컴플라이언스
ISMS-P
정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증 기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
ISO 27001
정보보호 관리체계의 수립, 이행, 유지 관리 및 지속적인 개선등의 요구사항을 정의한 정보보호 분야의 국제인증 제도
ISO 27701
기존 ISO 27001에서 개인정보보호 관리체계의 수립, 이행, 유지 및 지속적인 개선 등의 요구사항을 추가적으로 정의한 개인정보보호 분야의 국제인증 제도
ISO 27017, 27018
ISO 27001 보유 기업 중 클라우드 환경의 정보보호 관리체계나 개인정보보호 관리체계에 대한 가이드라인을 제공하는 국제인증제도
특징
-
인증 대상 범위 설정, 관리 과정 문서화, 정보보호 대책 및 관리체계 요구사항 등을 충족할 수 있도록 지원
-
관리체계 구축을 위한 관리 & 기술적 보호조치에 대한 인증 노하우 전수를 통해 신속한 인증 취득 지원
-
정보보호 관리체계의 객관성 확보, 대내외 신뢰도 향상, 정보보호 활동의 연속성 확보 및 정보보호 수준 향상 효과
-
체계적이고 지속적인 위험 관리를 통해 보안 사고 예방 및 임직원의 정보보호 관리에 대한 인식 제고 효과
보안현황 및 요구사항 분석
-
요구사항 분석
-
수행범위 설정
-
수행계획 수립
심사문서 및 이행중적 준비
-
운영현황 관리
-
심사문서 준비
-
인증증적 준비
관리·물리·기술적 취약점 진단
-
자산평가
-
취약점 진단
-
위험평가
개선계획 수립 및 법적 요구사항 준수
-
보호대책 수립
-
정책 및 지침 제·개정
수행절차
정보보호 수준 향상 및 인증을 위해 프로젝트 착수부터 인증 획득의 전 과정을 BlueTeamK의 고유한 컨설팅 방법론 BSEM(BlueteamK Security Egineering Methodology)을 적용해 수행합니다. 체계적인 정보보호 관리과정 수립, 통제사항 점검을 통한 정보보호 활동 연속성 확보, 정보보호 수준 향상, 대외 신뢰도 향상 효과를 기대할 수 있습니다.
* 컨설팅 대상에 따라 수행절차는 차이가 있음.
점검항목
구분
분야
1.1 관리체계 기반 마련
1.2 위험관리
1.3 관리체계 운영
1.4 관리체계 점검 및 개선
2.1 정책, 조직, 자산관리
2.2 인적보안
2.3 외부자 보안
2.4 물리보안
2.5 인증 및 권한관리
2.6 접근통제
2.7 암호화 적용
2.8 정보시스템 도입 및 개발보안
2.9 시스템 및 서비스 운영관리
2.10 시스템 및 서비스 보안관리
2.11 사고 예방 및 대응
2.12 재해복구
3.1 개인정보 수집 시 보호조치
3.2 개인정보 보유 및 이용 시 보호조치
3.3 개인정보 제공 시 보호조치
3.4 개인정보 파기 시 보호조치
3.5 정보주체 권리보호
ISMS-P
A.5 보안정책
A.6 정보보호에 대한 조직
A.7 인적자원 보안
A.8 자산관리
A.9 접근통제
A.10 암호화
A.11 물리적 환경적 보호
A.12 운영 보안
A.13 통신 보안
A.14 시스템 인수 및 개발
A.15 공급자 관계
A.16 정보보호 사고 관리
A.17 업무 연속성 관리에 대한 정보보호 측면
A.18 준수
ISO 27001
1. Scope(적용 범위)
2. Normative references(인용 표준)
3. Terms, definitions and abbreviations(용어, 정의 및 약어)
4. General(일반 규정)
5. PIMS-specific requirements related to ISO/IEC 27001(ISO/IEC 27001 관련 PIMS 요구사항)
6. PIMS-guidance related to ISO/IEC 27002(ISO/IEC 27002 관련 PIMS 구현지침)
7. Additional ISO/IEC 27002 guidance for PII Processors(PII 컨트롤러에 대한 추가지침)
8. Annex A(normative)PIMS-specific reference control objectives and controls(PII Controllers)
(PIMS 특정 기준 제어 목표 및 제어(PII 컨트롤러))
9. Annex B(normative)PIMS-specific reference control objectives and controls(PII Controllers)
(PIMS 특정 기준 제어 목표 및 제어(PII 프로세서))
ISO 27701
5. Information security policies(정보보호 정책)
6. Organization of information security(정보보호 조직)
7. Human resource security(인적 보안)
8. Asset management(자산 관리)
9. Access control(접근 통제)
10. Cryptography(암호화)
11. Physical and environmental security(물리적 보안)
12. Operations security(서비스 운영 보안)
13. Communications security(통신 보안)
14. System acquisition, development and maintenance(시스템 개발 및 유지)
15. Supplier relationships(공급 업체 관리)
16. Information security incident management(보안 사고 관리)
17. Information security aspects of BCM(BCM의 정보보호)
18. Compliance(법률 및 규정)
ISO 27017
A.1 Consent and choice(동의와 선택)
A.2 Purpose legitimacy and specification(합법성 및 사용목적)
A.3 Collection limitation(수집 제한)
A.4 Data minimization(데이터 최소화)
A.5 Use, retention and disclosure limitation(사용 및 공개 제한)
A.6 Accuracy and quality(정확성과 품질)
A.7 Openness, transparency and notice(개방성, 투명성)
A.8 Individual participation and access(개인 참여와 접근)
A.9 Accountability(책임)
A.10 Information security(정보보호)
A.11 Privacy compliance(개인정보보호규정)
ISO 27018