AhnLab 정보보호컨설팅 서비스종류
정보보호 인증 컨설팅
정보보호 인증 컨설팅은 조직의 정보보호 관리체계에 대한 외부기관의 객관적인 평가를 취득할 수 있도록 지원하는 서비스입니다.
국내에서는 한국인터넷진흥원(KISA)이 시행하는 ISMS 인증, ISMS-P 인증이 있으며, 국제인증으로는 ISO 27001, 27701, 27017, 27018이 있습니다.
안랩은 정보보호 관리 과정에 대한 절차를 수립하고 지속적인 관리와 운영을 위한 문서화 등을 통해 정보 자산에 대한 기밀성, 무결성, 가용성을 확보할 수 있는 일련의 과정과 활동에 대한 개선 방향을 제시합니다. 이를 통해 각 인증 기준이 요구하는 보호 조치와 조직에 최적화된 정보보호 인증 컨설팅 서비스를 제공합니다.
특징
- 인증 대상 범위 설정, 관리 과정 문서화, 정보보호 대책 및 관리체계 요구사항 등을 충족할 수 있도록 지원
- 관리체계 구축을 위한 관리 & 기술적 보호조치에 대한 인증 노하우 전수를 통해 신속한 인증 취득 지원
- 정보보호 관리체계의 객관성 확보, 대내외 신뢰도 향상, 정보보호 활동의 연속성 확보 및 정보보호 수준 향상 효과
- 체계적이고 지속적인 위험 관리를 통해 보안 사고 예방 및 임직원의 정보보호 관리에 대한 인식 제고 효과
수행절차
정보보호 수준 향상 및 인증을 위해 프로젝트 착수부터 인증 획득의 전 과정을 안랩의 고유한 컨설팅 방법론 ‘ASEM(AhnLab Security Engineering Methodology)’을 적용해 수행합니다. 체계적인 정보보호 관리과정 수립, 통제사항 점검을 통한 정보보호 활동 연속성 확보, 정보보호 수준 향상, 대외 신뢰도 향상 효과를 기대할 수 있습니다.
※ 컨설팅 대상에 따라 수행절차는 차이가 있음
점검항목
| ISMS-P | ISO 27001 | |||
|---|---|---|---|---|
| 1.1 관리체계 기반 마련 | 2.4 물리보안 | 2.11 사고 예방 및 대응 | A.5 보안정책 | A.12 운영 보안 |
| 1.2 위험관리 | 2.5 인증 및 권한관리 | 2.12 재해복구 | A.6 정보보호에 대한 조직 | A.13 통신 보안 |
| 1.3 관리체계 운영 | 2.6 접근통제 | 3.1 개인정보 수집 시 보호조치 | A.7 인적자원 보안 | A.14 시스템 인수 및 개발 그리고 유지보수 |
| 1.4 관리체계 점검 및 개선 | 2.7 암호화 적용 | 3.2 개인정보 보유 및 이용 시 보호조치 | A.8 자산관리 | A.15 공급자 관계 |
| 2.1 정책, 조직, 자산관리 | 2.8 정보시스템 도입 및 개발보안 | 3.3 개인정보 제공 시 보호조치 | A.9 접근통제 | A.16 정보보호 사고 관리 |
| 2.2 인적보안 | 2.9 시스템 및 서비스 운영관리 | 3.4 개인정보 파기 시 보호조치 | A.10 암호화 | A.17 업무연속성 관리에 대한 정보보호 측면 |
| 2.3 외부자 보안 | 2.10 시스템 및 서비스 보안관리 | 3.5 정보주체 권리보호 | A.11 물리적 환경적 보호 | A.18 준수 |
| ISO 27701 | |
|---|---|
| 1. Scope(적용 범위) | 6. PIMS-guidance related to ISO/IEC 27002(ISO/IEC 27002 관련 PIMS 구현지침) |
| 2. Normative references(인용 표준) | 7. Additional ISO/IEC 27002 guidance for PII Processors(PII 컨트롤러에 대한 추가지침) |
| 3. Terms, definitions and abbreviations(용어, 정의 및 약어) | 8. Annex A(normative) PIMS-specific reference control objectives and controls(PII Controllers) (PIMS 특정 기준 제어 목표 및 제어(PII 컨트롤러)) |
| 4. General(일반 규정) | 9. Annex B(normative) PIMS-specific reference control objectives and controls(PII Controllers) (PIMS 특정 기준 제어 목표 및 제어(PII 프로세서)) |
| 5. PIMS-specific requirements related to ISO/IEC 27001(ISO/IEC 27001 관련 PIMS 요구사항) | |
| ISO 27017 | ISO 27018 | ||
|---|---|---|---|
| 5. Information security policies(정보보호 정책) | 12. Operations security(서비스 운영 보안) | A.1 Consent and choice(동의와 선택) | A.7 Openness, transparency and notice(개방성, 투명성) |
| 6. Organization of information security(정보보호 조직) | 13. Communications security(통신 보안) | ||
| 7. Human resource security(인적 보안) | 14. System acquisition, development and maintenance(시스템 개발 및 유지) | A.2 Purpose legitimacy and specification(합법성 및 사용목적) | A.8 Individual participation and access(개인 참여와 접근) |
| 8. Asset management(자산 관리) | 15. Supplier relationships(공급 업체 관리) | A.3 Collection limitation(수집 제한) | A.9 Accountability(책임) |
| 9. Access control(접근 통제) | 16. Information security incident management(보안 사고 관리) | A.4 Data minimization(데이터 최소화) | A.10 Information security(정보보호) |
| 10. Cryptography(암호화) | 17. Information security aspects of BCM(BCM의 정보보호) | A.5 Use, retention and disclosure limitation(사용 및 공개 제한) | A.11 Privacy compliance(개인정보보호규정) |
| 11. Physical and environmental security(물리적 보안) | 18. Compliance(법률 및 규정) | A.6 Accuracy and quality(정확성과 품질) | |