ISMS (Information Security Management System) 인증
즉, 정보보호관리체계.... 단어 대로 풀이하면 정보보안관리체계 인데...만든 기관에서는 정보보호관리체계로 부른다. 암튼 쉽게 얘기해서 뭐냐하면?
"내가 지켜야할 정보자산을 잘지키는 체계를 구축했다는 것"을 인증 받는것이야.
전자정보, 문서정보, 인력, 등의 정보를 지키기 위해 법률에서 인정하는 보호시설과 보호장비, 보호조직을 체계적으로 관리하고 운영한다는 것이지.. 나라도 지킬 기세네...
이것과 비슷한게 국제표준기구인 ISO에서 인증하는 ISO-27001이라는게 있어..(링크)
ISMS 인증은 2013년 2월부터 일정 규모의 업체에서는 ISMS를 의무적으로 인증 받아야 되..(링크)
근데 ISO-27001이란 것과 중복 되는게 많아서 업체에서는 뭔 이런 지랄같은 경우냐며 일을 중복으로 해야된다고 안좋아 하고 있어...(링크) ISMS를 인증 받아야 된다니깐 할 수 밖에 없어..까라면 까야지...--;;
ISMS 인증을 받을려면 심사를 받아야되..
심사 합격 여부는 방송통신위원회(링크)에서 하고 인증서 발급등 전반적인 업무는 한국인터넷진흥원(KISA)(링크)(링크)에서 하고있어.
인증서의 유효기간은 3년이고 중간에 1년 주기로 잘하고 있는지 아닌지를 심사 받어....그게 사후심사라는 거야.
유효기간 내더라도 1년 마다 있는 사후심사에서 안좋게 되면 인증이 취소가 되는 수가 있지..
인증 신청 및 유지흐름은 대략 이래
최초심사(0년차) -> 사후심사(1년차) -> 사후심사(2년차) -> 갱신심사(3년차)
2011년에 최소심사을 받았으면 12,13년에는 사후심사 14년에는 갱신심사가 되는거야
갱신심사란 좀전에 인증서 유효기간이 3년이라고 했지? 3년이 끝났으니 다시 갱신 받는가는거야. 사후심사와는 다르게 최초심사와는 유사하게 심사를 받는 거야. 좀 더 빡세겠지?
난 사후심사만 2번 경험을 해봤기 때문에 최초랑 갱신심사는 잘 모르겠어.
심사를 받다보면 위엣 분들이나 몇몇 사람들이 심사를 감사로 오해하고 있는 사람이 있어.
감사는 당하는거고(피동적) 심사는 받는거잖아(능동적).
암튼 심사할때 심사원들에게 컨설팅 받는다고 생각하고 모르는게 있으면 물어보고 그래라.
정당하게 심사비 내고 받는건데 내가 처음부터 잘하는 것도 아닌데 배워가면서 해야지 안그래? 내가 봤을때 컨설팅 업체들 보다는 관리적인 부분과 전체적인 흐름을 잘 잡아주고 그러드라..왜 그렇게 해야하는지를 잘 찝어준다. 아마 KISA에서 하는 관리자 교육보다 얻는게 많을 꺼야.. <1부 끝>
댓글 없음:
댓글 쓰기