|
■ 개요
BS 7799는 영국정부의 정보보안 관리시스템의 표준(British Standard for Information Security Management Systems)이며 정보보안관리는 보안위험을 식별하고 이러한 위험을 효과적으로 관리한다.
BS 7799는 조직이 고객 정보의 비밀성, 무결성 및 가용성을 보장한다는 것을 공개적으로 확인하는데 초점을 둔다.
■ 제정 배경
BS 7799는 1995년에 처음 제정되어 1999년에 개정되었으며, 영국 이외에 호주, 브라질, 네덜란드, 뉴질랜드, 노르웨이 등에서 사용되고 있고, 1999년 10월에 ISO 표준으로 제안되어 ISO/IEC DIS 17799-1이 되었다.
영국 정부에서는 전자정부를 향한 노력을 뒷받침하기 위하여 2001년 3월까지 대부분의 정보시스템에 대하여 BS 7799 인증을 받도록 하여 국가 핵심 정보 기반구조를 보호하기 위한 수단으로 활용하고 있다.
산업계에서는 정보보안이 국제시장에서 경쟁 우위를 제공하는 경영전략이 될 수 있다고 인식하고 있으며, 유럽, 북미, 환태평양권 등 전 세계적으로 BS 7799에 대한 높은 관심을 보이고 있다.
■ BS 7799(정보보안경영시스템)이란?
- 정보는 다른 중요한 사업 자산과 같이 조직에게 가치를 갖고 있어 지속적으로 안정적인 보호가 필요하며 많은 형태로 존재한다.
- BS 7799는 두 부분으로 구성된다.
제1부는 표준적인 실무 지침이며 종합적인 보안 통제 목록을 제시하고,
제2부는 정보보안관리시스템(Information Security Management System; ISMS)에 대한 표준적인 명세이다.
또한 ISO 9000과 유사하게 운영되는 "c:cure"라는 인증 스킴이 있다. 사실 ISO 9000과 BS 7799사이에는 많은 유사성이 있는데, 예를 들어 ISO 9000에서의 품질 방침과 품질경영시스템 대신에 BS 7799에는 정보보안 정책과 ISMS이 존재한다.
■ 목적 및 필요성
1) 목적
- 정보의 비밀성(Confidentiality), 무결성(integrity), 가용성(availability)은 경쟁성, 현금흐름, 이익성,
법적 부합성 그리고 사업상 이미지를 유지하기 위한 기본.
- 업무 프로세스와 활동을 보호할 수 있다는 것을 확신시키기 위한 실질적인 국제수준에 맞는 최상의 실행방법을 추구.
2) 필요성
- 공급체인에서의 신뢰.
- 고객만족의 증대.
- 경쟁력 증대 및 위험감소.
- 피소가능성 감소.
- 시장점유율 증가.
- 생산성 및 이익증가.
- 시간과 자원의 효율적 이용 및 비용절감.
- 주요 정보 자산의 보호를 위한 정책 수립 및 방향 설정.
- 자체의 보안 기술력 향상 및 정보 보안 관리에 대한 전문성 확보.
- 정보보안에 대한 전 사적인 인식 확산.
■ 추진절차
1. 위험 및 비용 분석
내부 및 외부침입에 대한 위협수준 파악.
- 자산분석, 위협 및 취약성 평가.
- 침해사고 분석 및 시스템 점검.
2. 보안 정책 수립
위험분석 및 업무분석
- 보안위협 요소 분석.
- 물리적, 기술적, 관리적 보안목적 및 정책 수립.
- 보안기능 계획.
3. 보안대책 수립
보안관리 표준 및 보안지침 개발 .
- 접근통제 관리표준 / 물리적, 기술적 관리표준.
- 사고대응 절차.
- 보안 시스템별 / OS별 보안지침.
4. 정보보안 교육
정보보호 관리체계(BS 7799) 교육
- 경영자, 보안관리자, 전산관리자, 사용자 보안 교육.
5. 보안대책 구현
- 정보보안 정책과 관리표준에 따른 실행.
- 정보보안 의식, 환경 구현.
6. 정보보안 감사
보안운영(지침, 절차 준수)에 대한 감사.
7. 시정조치
시스템 및 환경분석
8. BS 7799 인증 취득
■ 인증절차
1. 심사제안 : 심사일수 및 비용산정
2. 신청서 제출 :
3. 문서심사: 위험성 평가, 방침, 적용성 선언 등 절차서 심사,
해결이 필요한 취약점과 생략된 부분파악
4. 본 심사
5. 인증 취득: 3년 간 유효
| 
