ISMS 인증 대상 기업이면 꼭 봐야 하는 글
ISMS
안녕하세요,
깃플입니다.
코로나19가 장기화 되면서
비대면 기술이 그 어느 때보다
중요해졌습니다.
그러다 보니 디지털 관련 사업을 하는 기업들은
급속도로 성장하게 되었고,
자연스럽게 ISMS 인증을
필수로 받아야 하는 기업들도
늘어나게 되었는데요.
ISMS가 무엇을 나타내는지,
인증 대상 기업의 기준,
그리고 인증을 위해 알아야 할 항목까지
모두 알려드리도록 하겠습니다.
ISMS (정보보호 관리체계)
ISMS는
Information Security
Management System로
정보 보안 관리 체계를 의미하는데요.
ISMS는 한국인터넷진흥원(KISA)에서
기업들에 부여하고 있는
정보 보안 관리 인증 제도입니다.
중요한 정보자산을 보호하기 위해 운영하는
정보 보호 관리체계의 보안 기준이 적합한지
심사를 한 후에 인증을 부여합니다.
인증 대상 기업
ISMS 인증 대상 기업은
자율신청 대상자와 의무대상자로
나누어져 있습니다.
자율신청 대상자는
정보보호 관리체계를 운영만 한다면
자발적으로 신청해서 취득이 가능합니다.
그러면 의무대상 기업은
어떤 기준으로 정해지는걸까요?
①
첫 번째로, 전국적으로 정보통신망 서비스를
관리하는 사업자들입니다.
인터넷 접속 서비스와
인터넷 전화 서비스 등이
대표적인 예시입니다.
②
둘째는 서버 호스팅 서비스처럼
타인의 정보통신 서비스 제공을 위해 집적된
정보통신 시설을 관리하는 사업자입니다.
③
마지막으로는, 연간 매출액(또는 세입)이
1,500억 원 이상이거나,
정보통신 서비스 매출액 100억, 또는
이용자 수가 100만 명 이상인 사업자입니다.
이는 포털, 인터넷 쇼핑몰,
상급종합병원 대학교 등을 포함합니다.
ISMS 인증, 왜 받아야 하지?
이처럼 ISMS 인증제도는
기업의 높은 보안과 안정성을 보유했다는
자격을 부여하는 것인데요.
그렇다면 KISA에서 이 인증제도는
어떤 이유에서 운영되고 있을까요?
먼저 비즈니스 안정성을 강화하고
수많은 데이터가 해킹으로부터
보호받을 수 있기 위해서입니다.
또한, 투명 경영을 위한
정보 보호 법적 준거성 확보와
침해사고와 그에 따른 집단 소송에 따른
기업의 피해를 최소화하기 위해서입니다.
무엇보다 ISMS 인증을 취득한다면
정보보호에 대해 기업 이미지와 신뢰도가 향상되며
IT 관련 정부 과제 입찰 시
인센티브가 부여되기도 합니다.
비즈니스의 중요한 정보도
공격으로부터 보호하고,
대외적으로도 긍정적인 기업 이미지와
다양한 혜택을 받기 위해서는
ISMS 인증을 꼭 받아야겠죠?
인증 혜택들
ISMS 인증이 된 기업이라면
다양한 혜택을 받는다고
위에 짧게 언급했었는데요.
ISMS 인증을 받으면
다양한 정보보호 대상 평가에서
가산점을 받게 될 뿐만 아니라,
상장기업대상 ESG 평가에도
일부 항목을 대체합니다.
또한, 정보보호 관련 보험 가입 시
할인 혜택도 받을 수 있어요.
대상자와 혜택에 대한 더 자세한 내용은
아래 링크를 통해 확인 가능해요. 😃
ISMS 인증 항목들
ISMS 인증을 받기 위해서는
정말 많은 항목들이 점검되어야 합니다.
오늘은 전부 알려드릴 수 없기 때문에
저희가 생각하기에 중요하다고
생각되는 몇 가지만 알려드릴게요.
1. 개인정보 수집 & 이용 동의
고객으로부터 개인정보 수집 및
이용 동의를 받을 때,
목적과 보유 기간이 구체적으로
명시되어 있어야 합니다.
또한, 파기 사유가 발생했을 경우에는
지체없이 파기가 되어야 해요.
2. 비밀번호 관련
회원가입, 로그인, 비밀번호 변경 등
비밀번호를 고객이 직접 입력할 때,
이와 관련해서 아래 보안 사항들을
꼭 지켜주셔야 하는데요.
일단 비밀번호는 마스킹 처리가
확실하게 되어 있어야 합니다.
별표나 음영처리가 되어
노출이 되지 않게끔 해야 합니다.
또한, 비밀번호가 잘못 입력되어
로그인이 실패했다면,
정확한 원인은 절대 표시되면 안 됩니다.
마지막으로 누군가가 비밀번호를
일정한 횟수 잘못 입력했을 경우
계정 사용 중지처리(잠금/일시 중지)가
되어야 합니다.
3. 동시 접속의 경우
시스템에 동일 사용자가
접속/로그아웃했을 경우
어떤 방법으로라도 알림이 나가야 합니다.
누군가가 보안을 뚫고 들어왔다는
가장 확실한 증거이기 때문이죠.
4. 데이터 보유 관련
마지막으로는 데이터 보관에 대한 사항들입니다.
중요한 DB는 외부와 차단된 곳에
보관되어야 합니다.
또한 보관 규정에 따라
이용자의 접속 기록은 안전하게
보관되어 있다가, 기간이 만료되면
안전하게 파기되어야 합니다.
위 소개해 드린 항목들 외에도
많은 점검 요인이 존재합니다.
또한, 점검되는 항목들은
회사마다 다를 수도 있으니,
ISMS 인증을 희망하신다면
점검을 진행하는 기관에
자세하게 문의하세요. 😄
컨택센터도 ISMS 인증 대상
최근 많은 기업에게 도입되고 있는
디지털 컨택센터 솔루션들.
더욱 효과적인 고객 응대를 위해
다양한 고객 정보가 수집되어
기업들로부터 관리되고 있습니다.
고객 정보와 상담 데이터를 다루는
컨택센터 또한, ISMS 인증을 받을 때
검사받는 대상이 됩니다.
그렇기 때문에 만약 ISMS 인증 대상 기업들 중
고객 상담을 진행하고 있는 곳이라면,
위 항목들이 잘 지켜지고 있는지
꼭 확인하셔야 합니다.
ISMS 인증 대상 맞춤 컨택센터 깃플
ISMS 인증 대상 기업이라면
고객 상담, 상담데이터 부분은
깃플챗 독립클라우드에 맡겨보세요.
인증기준에 부합할 수 있도록
저희 깃플챗이 컨택센터 구축 완료까지
도와드리고 있습니다. 😃
ISMS 보안 요구 맞춤 지원 서비스에 관심 있으시다면,
여기를 통해 문의해 주세요.
이상 깃플이었습니다!