정보보호관리체계 인증 절차
정보보호관리체계 인증 절차는 크게 준비단계, 심사단계, 인증단계, 사후관리 단계의 4가지 단계로 나누어진다. (그림 4-4)에서 신청기관과 인증기관 간에 일어나는 절차의 흐름을 개략적으로 보였다.
준비단계
준비단계는 인증에 대한 상담을 받고 적절하다고 판단되면 인증을 신청하여 계약을 체결하고 수수료를 납부하는 활동으로 이루어진다.
인증상담
정보보호관리체계를 수립하고 인증을 신청하려는 조직은 먼저 한국정보보호진흥원의 담당 부서로 연락을 취하여 인증상담을 받아야 한다. 인증 상담 시에는 조직의 현황과 준비 상황을 개략적으로 검토하여 인증 심사에 걸릴 기간과 비용을 산정한다. 기간과 비용은 심사범위의 종업원
수와 서버의 수로 결정된다. 또한 신청 시기, 조건, 절차와 방법 등의 제반 사항을 논의한다. 필요한 경우 간단한 사전심사를 통해 인증 준비 상황을 점검할 수도 있다.
앞 절에서 설명하였듯이 정보보호관리체계 인증을 신청하기 위해서는 정보보호관리체계를 수립하여 최소 3개월 이상 운영하여야 한다. 또한 관리과정의 내부감사를 수행하고 그 결과를 경영자가 검토하여 정보보호관리체계를 평가, 개선한 후 신청하여야 한다.
인증신청
인증 상담을 거쳐 적절한 수준의 준비가 된 것으로 판단이 되면 정식으로 인증을 신청할 차례이다. 인증 신청 시에는 정해진 신청서와 정보보호관리체계 내역서를 제출하여야 하며 법인의 경우 법인 등기부 등본을 추가로 제출한다. 신청서와 정보보호관리체계 내역서는 다음 [표 4-5] 및 [표 4-6]와 같다.
인증신청시의 접수 서류 및 문서는 다음과 같다.
◦ 정보보호관리체계 인증 신청서
◦ 정보보호관리체계 내역서
◦ 정보보호정책서
◦ 위험분석ㆍ평가 보고서
◦ 정보보호계획서
◦ 정보보호대책명세서
◦ 정보보호관리체계 내부감사결과보고서
◦ 주요정보통신설비의 목록과 시스템 구성도
◦ 기타 정보보호관리체계와 관련이 있는 주요문서 목록
이상의 문서에 대한 상세한 설명은 제5장의 제2절에 수록되어 있다.
인증기관은 신청서류를 접수하고 접수증을 교부한 후 신청 서류의 기재사항을 검토하고 미비점이 있을 경우 보완을 요청한다. 보완요청을 받은 조직은 요청받은 날로부터 10일 이내에 이를 보완하고 신청서류를 재구비하여 신청하여야 한다. 그렇지 못한 경우 인증심사 신청을 포기한 것으로 간주한다. 물론 신청서류를 허위 작성한 경우 인증 신청은 무효가 되며, 한국정보보호진흥원은 이후 1년간 해당 조직의 인증 신청을 거부할 수 있다.
| 사전심사 | |
| 인증기관은 신청기관이 제출한 문서에 대한 추가적인 현장점검이 필요할 경우 사전심사(가칭)을 진행할 수 있다. 즉, 사전심사를 통해 신청기관의 인증심사 준비여부를 좀 더 구체적으로 파악하고 필요시 기술적인 자문을 하여 본 심사에 차질이 없도록 하는 것이 목적이다. 일반적으로 사전심사는 인증기관과 신청기관의 협의에 의해 시행되며 심사원 한명이 하루나 반일동안 수행하고 공식적인 절차는 아니다 | |
계약 체결 및 수수료 납부
신청서류 및 문서에 보완사항이 없거나 보완을 기한 내 완료한 경우에는 인증심사계약을 체결한다. 심사 계약에는 계약 기간, 심사 인원, 심사 수수료, 인증 범위 등이 명시되는데 이 사항은 상호 협의 하에 확정한다.
심사 계약을 마치게 되면 신청 기관은 계약에 따라 정해진 인증심사 수수료를 납부해야 한다.
심사 기간
심사 일수는 종업원의 수와 시설 규모에 따라 계산된다.
| 심사일 수 = 종업원 수에 따른 심사일수 + 정보보호시설 규모에 따른 심사일수 |
종업원의 수가 5명 이하일 경우 1일, 9명 이하일 경우 1.5일 등으로 종업원 수가 늘어남에 따라 심사 일수가 증가하며 8,000명 이상일 경우 13일 이상을 기본으로 협의하여 정할 수 있다.
| 종업원의 수 | 심사일수 |
| 5명 이하 | 1.0일 |
| 5명~9명 | 1.5일 |
| 10명~19명 | 2.0일 |
| 20명~29명 | 2.5일 |
| 30명~59명 | 4.0일 |
| 60명~99명 | 4.5일 |
| 100명~249명 | 5.0일 |
| 250명~499명 | 6.0일 |
| 500명~999명 | 7.5일 |
| 1,000명~1,999명 | 9.0일 |
| 2,000명~3,999명 | 11일 |
| 4,000명~8,000명 | 13일 |
| 8,000명 이상 | 13일+(협의조정) |
또한 정보통신 시설 규모에 따라 서버급 컴퓨터 수가 2대 이하인 경우 2일, 6대 이하일 경우 3일 등 컴퓨터 수가 증가할수록 심사 일수가 증가하며 51대 이상일 경우 7.5일로 산정한다. 또한 운영체제의 종류가 4가지 이상일 경우 각 종류별로 1일을 추가한다.
| 서버급 컴퓨터 수 | 심사일수 |
| 2대 이하 | 2.0일 |
| 3대~6대 | 3.0일 |
| 7대~15대 | 4.0일 |
| 16대~50대 | 5.5일 |
| 51대 이상 | 7.5일 |
실제 심사 일수는 종업원의 수에 따른 심사 일수와 정보통신시설 규모에 따른 심사 일수를 합하여 정하며 인증심사의 경우 위의 규칙에 따른 심사일수로, 갱신심사나 재심사의 경우 인증심사의 3분의 2, 사후관리 점검의 경우 인증심사의 2분의 1로 정한다.
| 심사구분 | 심사일수 |
| 갱신심사 | 인증심사의 2/3 |
| 재심사 | |
| 사후관리 | 인증심사의 1/2 |
심사 수수료의 산정
심사 수수료는 신청비, 직접인건비, 직접경비로 이루어진다. 즉,
| 심사 수수료 = 신청비 + 직접인건비 + 직접 경비 |
신청비는 인증심사업무와 관련된 인증심사접수 및 계약, 인증심사계획서작성 및 발송, 인증위원회개최, 인증서발급 및 관리에 소요되는 비용을 말한다. 신청비는 심사의 종류에 따라 정해진다. 2004년 현재 인증심사의 경우 500,000원으로 정해져 있다.
| 직접인건비 = 기술자등급별단가 × 심사일수 |
| 심사구분 | 신청비 |
| 인증심사 | 500,000원 |
| 갱신심사 | 300,000원 |
| 재심사 | 300,000원 |
| 사후관리 | - |
직접인건비는 인증심사를 수행하는 심사원의 인건비로서 기술자등급별 단가에 심사일수를 곱하여 계산한다. 기술자등급별 단가는 소프트웨어기술자 등급별 노임 단가에 따라 계산하며 1일 4인 기준으로 특급기술자 1명, 고급기술자 1명, 중급기술자 1명, 초급기술자 1명의 노임 단가를 합산하여 계산한다. 단 신청 기관의 종업원 수가 19인 이하인 경우 특급기술자 1명, 중급기술자 1명, 초급기술자 1명으로 계산한다.
직접경비는 정보통신부가 고시한 「소프트웨어사업대가의 기준」의 "직접경비의 범위"를 적용하여 계산한다. 인증심사를 위하여 출장을 가게 될 경우 교통비 및 출장비는 인증기관의 출장비규정에 따라 정한다.
부가세는 전체 수수료에 대하여 별도 계산한다.
심사단계
심사단계에서는 인증기관이 심사 계획을 수립하여 인증심사 계획서를 신청 기관에게 공문으로 통보하고 계획에 따라 문서심사와 기술심사를 수행한다. 기술심사 완료 후에는 결함 및 권고사항이 발견되어 보완조치가 필요하다고 평가된 경우 보완조치 요청서를 신청기관에 보내어 30일 이내로 보완조치를 수행하게 하고 보완조치가 완료된 후 인증심사 결과보고서를 작성한다. 보완조치가 필요 없는 경우에는 그대로 인증심사 결과보고서를 작성한다.
심사계획 통보
인증기관은 인증심사수수료가 납부된 날로부터 10일 내에 인증심사 기간, 심사 팀 구성 등을 명시한 인증심사 계획서를 작성하여 신청 기관에 통보한다.
문서심사
인증심사는 문서심사와 기술심사로 이루어지며 심사팀이 신청 기관을 방문하여 수행한다. 신청 기관은 인증심사를 수행하기 위하여 필요한 장소와 세부 문서, 운영기록 등의 자료를 제공하고 담당자 면담을 주선하는 등 필요한 협조를 제공해야 한다.
심사 시작 시에는 심사의 진행을 원활히 하기위해 심사팀과 신청 기관의 임원 및 담당자가 참석하는 “착수회의”를 수행한다. 착수회의에서는 심사팀원과 신청기관 담당자 간에 인사를 나누고 전체 일정 및 심사에 필요한 지원 사항을 설명하고 필요한 경우 신청기관의 정보보호관리체계 현황에 대한 설명을 요청한다.
문서심사에서는 신청기관의 정보보호관리체계 관련 문서가 인증심사 기준의 요구사항을 만족하고 있는 지를 심사하고 문서에서 수행하도록 규정하고 있는 주요사항 및 모호한 사항을 조사하여 점검표 및 기술 심사의 세부일정을 작성한다.
| 착수회의 | |
| ◦ 심사팀원과 신청기관의 임원 및 업무담당자 소개 ◦ 인증심사의 전체 일정 및 계획 설명 ◦ 시스템 및 네트워크 모의진단에 대한 협조 요구(모의진단 선택시) ◦ 심사원별 심사영역 설명 및 신청기관과의 공식적인 의사소통 경로 설정 ◦ 기타 심사수행과 관련된 심사팀과 신청인의 준수사항 설명 ◦ 신청기관의 정보보호관리체계 구축현황 및 운영내역에 대한 간략한 설명 |
|
기술심사
기술심사에서는 문서심사에서 발견된 문제점의 원인을 확인하고, 문서에서 명시한 통제사항들이 실행되고 있는지를 확인한다. 통제 사항의 실행 여부는 신청기관의 임원 및 담당자와의 면담이나 현장실사, 그리고 실행에 따른 문서 증적 또는 전자적 기록 등을 검토함으로써 확인한다.
또한 시스템과 네트워크에 대한 취약점 진단 등의 모의진단을 수행할 수도 있다. 모의진단의 수행 여부는 인증심사 계약 시 협의를 통해 결정한다.
| 모의진단 | |
| ◦ 신청기관의 요구에 따라 정보보호관리체계 인증범위에 포함되는 서버 및 홈페이지의 취약점을 점검한다. | |
심사원들은 기술 심사를 통해 문제점을 확인한 후 결함보고서를 작성하고 최종적으로 신청 기관의 담당자들과의 "결과확인 회의"를 통하여 결함 내용을 확인하고 문제가 없을 경우 결함보고서에 각각 서명을 한다. 마지막으로 “종료회의”를 통해 심사결과에 대한 전반적인 내용과 향후 일정을 설명하고 인증심사 일정을 끝낸다.
| 종결회의 | |
| ◦ 원활한 심사진행을 위한 신청기관의 협조에 감사 ◦ 신청기관의 정보보호관리체계에 대한 전반적인 평가 및 소견 ◦ 심사 기간에 발견된 문제점 및 개선해야 할 사항에 대한 설명 ◦ 보완조치 일정과 인증위원회 개최 및 인증절차에 대한 설명 |
|
인증심사의 중단
통상적으로는 일어나지 않는 일이지만 인증심사를 중단할 수 있는 경우가 있다. 인증심사 기준에서는 신청 기관이 인증심사를 고의로 지연하거나 방해하여 인증심사를 일정대로 진행하기가 곤란하거나, 천재지변이나 경영환경 변화 등으로 인증심사를 진행할 수 없는 경우 인증심사를 중단할 수 있도록 정의해 놓고 있다.
신청 기관의 문제로 인하여 인증심사를 중단한 경우에는 그 사유를 신청 기관에게 통보하고 협의를 통하여 심사를 재개할 것인지 종료할 것인지를 결정한다.
보완조치
심사팀은 문서심사와 기술심사 결과에 따라 문제점을 중결함, 결함, 권고 사항으로 나누어 기술하고 이에 대하여 [표 4-14]의 보완조치요청서를 작성한다.
| 문제점 | 내용 |
| 중결함 | 인증심사 기준에 규정된 요구사항을 충족하지 못하는 사항이 정보보호관리체계에 중대한 영향을 미치는 경우 |
| <예시> ◦ 정보보호관리과정의 중요사항을 시행하지 않은 경우 ◦ 선택한 정보보호대책을 전혀 시행하지 않은 경우 ◦ 정보보호대책을 부적절하게 선택하거나 선택하지 않은 경우 |
|
| 결함 | 정보보호관리체계에 중대한 영향을 미치지 않으나 인증심사 기준에 규정된 요구사항을 충족하지 못하는 경우 |
| <예시> ◦ 선택한 정보보호대책을 적절히 시행하지 않은 경우 ◦ 정책, 지침 문서간의 일관성이 결여된 경우 ◦ 정보보호대책을 시행하고는 있으나 시행 증거문서가 부족한 경우 |
|
| 권고 | 정보보호관리체계를 운영, 유지하는데 도움이 될 만한 사항인 경우 |
| <예시> ◦ 현재는 결함이 아니지만 조직, 시스템 및 네트워크 환경 변화에 따라 결함으로 발전할 수 있는 사항 ◦ 신청기관이 정보보호관리체계를 수립․운영함에 있어서 필요한 통제사항 |
신청 기관은 보완조치 요청을 받은 경우, 받은 날로부터 30일 이내에 보완조치를 취하고 [표 4-16]의 보완조치사항 결과와 증적자료를 인증기관에 제출해야 한다. 특별한 이유 없이 보완조치 결과를 기한 내에 제출하지 않으면 보완이 이루어지지 않은 것으로 보게 된다. 보완조치가 신속히 이루어진 경우 30일 이전이라도 완료되는 대로 보완조치 결과 통보를 할 수 있다.
심사팀장은 심사원들과 함께 보완조치 결과를 확인하고 필요한 경우 신청 기관과 협의 하여 현장 확인을 수행한다. 현장 확인이 필요한지 여부는 심사팀장이 판단하되 중결함의 경우에는 현장 확인을 원칙으로 한다.
심사결과보고서 작성
심사팀장은 보완조치 결과를 검토한 후 인증위원회 개최를 위한 인증심사 결과보고서를 작성하여 인증기관의 장에게 보고한다. 또한 인증위원회 개최 계획을 수립한다.
인증단계
인증단계에서는 인증위원회를 개최하여 인증적합 여부를 심의하고 적합일 경우 인증기관이 인증서를 발급한다.
인증 위원회 개최
인증위원회는 분기 말 15일 이전부터 분기 말일 사이에 개최하는 것을 원칙으로 하고 재적 위원의 과반수이상 참석 시 개최할 수 있다. 재적위원의 과반수이상 참석이 어렵거나 기타 부득이한 일이 발생한 경우에는 ‘서면결의’로 할 수 있고 실제 인증위원회 개최와 동일한 것으로 간주한다. 따라서 신청기관이 인증 획득 일자에 대한 특별한 계획이 있을 경우에는 이를 고려하여 인증기관과 일정을 협의하여야 한다.
인증위원회에서는 심사팀장이 제출한 인증심사 결과보고서를 검토하여 인증 적합 여부를 심의한다. 심의 시에는 심사결과 발견된 문제점(중결함/결함)판단의 적합성과 보완조치 확인의 적절성을 검토한다.
인증위원회를 마치면 인증위원장은 인증심의결과서와 심의의견서를 인증기관에 제출한다.
| 인증위원회 서면결의 | |
| 인증위원회를 직접 개최하지 않고 심사팀장이 인증위원들에게 심사결과보고서를 우편으로 발송한 후 위원장이 각 위원들의 심의의견서를 취합하여 심의 결과를 최종 확정한 후 심사팀장에게 인증심의결과서를 우편으로 재발송하는 과정을 인증위원회 서면결의라고 한다. | |
인증 결과 통보
인증기관의 장은 심사팀의 인증심사 결과보고서와 인증위원회의 심의결과서, 심의의견서를 바탕으로 인증적합 여부에 따라 인증결과 통보서를 신청 기관에 보낸다. [표 4-17]는 인증결과 통보서이다.
| 결함률 = (결함이 발견된 보호대책 개수/신청인이 선택한 전체 보호대책 개수) × 100 |
신청 기관이 선택한 정보보호대책의 개수 대 결함이 발견된 보호대책의 개수를 결함률이라고 하는데 인증 부여 여부는 결함율과 결함의 중요도에 기초하여 결정된다. 단, 최초 결함사항으로 발견이 되었으나 보완조치 기간동안 보완조치를 적절히 수행한 경우에는 실제 결함개수에서 제외한다. 즉, 결함사항에 대한 보완조치를 성실히 완수하게 되면 결함률을 현저히 낮출 수 있으므로 신청기관은 보완조치를 적극적으로 할 필요가 있다.
“부적합”이란 신청인이 수립․운영하고 있는 정보보호관리체계가 인증심사기준에 규정된 요구사항을 충족하지 않아 인증을 부여할 수 없음을 의미하고 “적합”이란 신청인이 수립․운영하고 있는 정보보호관리체계가 인증심사기준에 규정된 요구사항을 충족하여 인증을 부여할 수 있음을 의미한다.
부적합 판단의 요소는 다음과 같다.
◦ 중결함이 지적되었음에도 보완이 되지 않은 경우
◦ 보완을 완료한 후에도 결함율이 5% 이상인 경우
◦ 결함율이 5% 미만이라도 지적된 결함들이 정보보호관리체계 운영에 심각한 영향을 미치는 경우
인증 적합을 결정한 경우 인증기관장은 신청 기관에게 인증번호를 부여하여 제3장의 (그림 3-1)과 같은 정보보호관리체계 인증서를 교부한다. 또한 인증 적합을 받은 기관은 인증표시를 웹 사이트 등에 게시할 수 있다.
인증을 취득한 조직은 정보보호관리체계 인증 유효기간 동안 정보보호관리체계를 지속적으로 유지하고 관리해야 할 책임이 있다.
사후관리 단계
사후관리 점검
인증기관은 인증을 부여한 날로부터 1년 단위로 인증 취득 조직과 협의하여 사후관리 점검을 실시한다. 사후 관리는 인증심사 결과에 따라 1년 1번 이상 수행할 수도 있으며 인증기관장이 필요하다고 인정하는 경우 수시 점검도 할 수 있다.
사후관리 주요 점검사항은 다음과 같다
◦ 정보보호관리체계의 운영과정에서 결함사항이 발생여부 점검
◦ 인증서 사용 및 홍보에 있어서 인증 범위를 적절하게 활용하고 있는지 여부 점검
◦ 인증심사 이후 정보보호관리체계를 운영 및 유지하는 과정에서 발생한 변경사항 잘 관리하고 있는지를 점검
사후관리 점검은 인증심사와 마찬가지로 심사팀을 구성하되 문서심사와 기술심사를 별도 일정으로 수행하지 않고 병행한다. 따라서 사후관리 점검 기간은 인증심사기간의 절반 정도로 진행된다.
사후관리 점검 결과 통보
사후관리 점검 후 심사팀장은 점검결과를 인증기관장에게 보고하고 정보보호관리체계 사후관리 결과통보서를 작성하여 인증 취득 조직에게 통보한다. 만일 중대한 문제점이 발견된 경우에는 인증위원회를 개최하여 다시 심의를 받게 된다.
인증의 취소
인증을 취득한 조직이 허위 사실이나 부정한 방법으로 인증을 받거나, 인증의 범위나 유효기간을 허위로 표시하거나 인증서를 부적절하게 사용한 경우, 그리고 인증에 적절하게 정보보호관리체계를 유지하지 못하는 경우에는 인증기관장이 그 인증을 취소하도록 되어 있다.또한 인증취득 조직이 협조하지 않아 인증의 적합성을 판단할 수 없는 경우에도 그 인증을 취소할 수 있다.
인증 취소는 인증기관장이 인증 취소를 통보함으로써 이루어진다.
'정보보호관리체계(ISMS-P)' 카테고리의 다른 글
| ISMS / 문서의 준비 (0) | 2022.09.17 |
|---|---|
| ISMS / 정보보호관리체계의 수립 (0) | 2022.09.17 |
| ISMS / 정보보호관리체계 인증심사 기준 (0) | 2022.09.17 |
| ISMS / 정보보호관리체계 인증체계 (2) | 2022.09.17 |
| 국외의 유사 인증제도 동향 (0) | 2022.09.16 |