ISMS / 용어 정의

[용어정의]

 

정보보호관리과정

정보보호관리체계를 수립ㆍ운영하기 위하여 유지ㆍ관리해야 할 과정. 다음의 5 단계 활동을 말한다.

가. 정보보호정책 수립

나. 정보보호관리체계 범위설정

다. 위험관리

라. 구현

마. 사후관리

 

인증기관

정보통신망이용촉진및정보보호등에관한법률 제47조의 규정에 의한 한국정보보호진흥원을 말함

 

수요기관

정보보호관리체계 인증 획득에 관심이 있는 업체 및 기관

 

정보보호대책

정보보호관리체계를 수립․운영하기 위하여 선택한 통제사항

 

정보보호대책명세서

인증심사기준의 모든 통제사항에 대하여 위험분석을 통해 선정된 정보보호대책 또는 선정하지 않은 근거를 명시한 문서

 

정보보호계획서

위험관리 과정에서 채택한 대책들을 구현하기 위한 일정, 담당, 소요자원, 구현 방안 및 절차, 관련 교육 등을 구체적으로 명시한 문서

 

조직적 및 관리적 통제

정보보호정책, 정보보호조직, 외부자 보안, 정보자산 분류, 정보보호 교육 및 훈련, 업무연속성 관리의 통제사항

 

운영적 및 기술적 통제

인적보안, 물리적 보안, 시스템 개발보안, 암호통제, 접근통제, 운영관리, 전자거래보안, 보안사고 관리, 검토ㆍ모니터링 및 감사의 통제사항

 

증적

정보보호관리체계의 운영을 확인할 수 있는 증거자료

 

신청인

인증심사를 신청한 신청기관의 책임자 또는 대표자

 

인증

신청인이 수립하여 운영하고 있는 정보보호관리체계가 인증심사기준에 적합함을 인증기관이 승인하는 것

 

인증심사원

인증심사를 수행하는 자

 

인증심사

신청인이 수립하여 운영하는 정보보호관리체계가 정보통신부장관이 고시한 정보보호관리체계 인증심사기준에 적합한지에 대하여 확인하는 것. 문서심사와 기술심사로 구분한다.

 

문서심사

심사팀이 “정보보호관리체계 「인증업무지침」” 제13조에 의해 신청인이 제출한 정보보호관리체계 수립․운영에 관련된 문서에 대해 정보보호관리체계 인증심사기준 요구사항을 충족하고 있는지 확인 및 검토하는 것

 

기술심사

심사팀이 인증 신청기관을 방문하여 문서심사의 결과 확인, 샘플링에 의한 시스템 및 네트워크 보안점검, 면담 및 현장 확인 등의 과정을 통하여 “정보보호관리체계 인증심사기준”의 요구사항을 충족하고 있는지를 심사하는 것

 

재심사

인증을 취득한 기관이 인증의 유효기간 내에 인증 받은 정보보호관리체계의 범위 내에서 중대한 변화가 발생되었을 경우 신청인의 신청에 의하여 인증기관이 실시하는 인증심사를 말한다.

 

사전심사

인증을 신청하기 전 상담단계에서 인증 준비 상황을 개략적으로 점검하기 위해 수행하는 간단한 심사

 

중결함

신청인이 정보보호관리체계가 인증심사기준에 규정된 요구사항을 충족하지 못하는 사항이 발견되고 있으며 발견된 문제점이 정보보호관리체계에 중대한 영향을 미치는 사항

중결함의 예는 다음과 같다.

- 정보보호관리기준의 관리과정요구사항을 이행하지 않은 경우

- 선택한 정보보호대책을 전혀 시행하고 있지 않은 경우

- 신청인이 적절하게 정보보호대책을 선택하지 못하여 수립된 정보보호관리체계 수립․운영에 중대한 영향을 주는 경우

- 기타 정보보호관리체계 수립․운영에 중대한 영향을 주는 경우 등

 

결함

신청인의 정보보호관리체계가 인증심사기준에 규정된 요구사항을 충족하지 못하는 사항이 발견되고 있으나 발견된 문제점이 정보보호관리체계에 중대한 영향을 미치지 않는 사항

결함의 예는 다음과 같다

- 정보보호대책 중 선택사항이 적절히 시행되지 않은 경우

- 정보보호관리체계 산출물의 일관성 결여

- 정보보호관리체계 산출물의 추적성 결여

- 기타 심사팀이 정보보호관리체계에 경미한 결함이라고 판단한 사항

 

권고사항

신청인의 정보보호관리체계를 운영 및 유지 하는데 도움이 될 수 있는 사항

권고사항의 예는 다음과 같다.

- 현재는 결함에 속하지 않지만 조직, 시스템 및 네트워크 환경 변화에 따라 결함으로 발전될 수 있는 사항

- 신청인이 정보보호관리체계를 수립․운영함에 있어서 필요한 통제사항

- 기타 정보보호관리체계를 운영 및 유지하는데 도움이 될 수 있는 사항 등

 

결함율

신청인이 선택한 전체 보호대책 중 결함으로 발견된 보호대책의 비율. 다음과 같이 산출한다.

결함률=(결함이 발견된 보호대책 개수/신청인이 선택한 전체 보호대책 개수)X100

 

부적합

신청인이 수립․운영하고 있는 정보보호관리체계가 인증심사기준에 규정된 요구사항에 충족되지 않아 인증을 부여할 수 없음을 말함

부적합 판단의 요소로는 다음과 같은 것들이 있다.

- 중결함이 지적되었음에도 불구하고 보완이 되지 않은 경우

- 결함률이 5% 이상 있는 경우

- 결함률이 5% 미만이라도 지적된 결함이 당해 정보보호관리체계의 운영에 심각한 방해요소로 판단될 경우

 

적합

신청인이 수립․운영하고 있는 정보보호관리체계가 인증심사기준에 규정된 요구사항을 충족하여 인증을 부여할 수 있음