안녕하세요 isms인증 컨설팅을 받을려고 생각중인데요 (처음)
궁금한점이 있습니다.
질문1. isms인증 컨설팅을 하면 위험평가라던지 문서 만들기 등등 모든걸 다 해주는건가요?
질문2. 만약 isms인증 컨설팅을 통하지 않고 위험평가부분만 외주를 통해 해결하고 나머지는 자체적으로 진행 후 인증심사를 하게되면 인증심사원과 독대? 를 통해 하나하나 통과해야 인증성공이 가능한가요?
->추가질문. 만약 컨설팅을 통한다면 인증심사원과 독대를 하지 않고 프리패스? 인가요? 잘모르겠네요..
질문3. isms인증 컨설팅을 받게되었을 시 회사 내 보안솔루션이라던지 이런것도 없고 방화벽, 백신 이런게 없으면.. 컨설팅시 어떤식으로 진행되나요? 문서만 만들어주고 이러이러한 솔루션들 구축하세요 하고 끝나는지요?
궁금한점이 있습니다.
질문1. isms인증 컨설팅을 하면 위험평가라던지 문서 만들기 등등 모든걸 다 해주는건가요?
질문2. 만약 isms인증 컨설팅을 통하지 않고 위험평가부분만 외주를 통해 해결하고 나머지는 자체적으로 진행 후 인증심사를 하게되면 인증심사원과 독대? 를 통해 하나하나 통과해야 인증성공이 가능한가요?
->추가질문. 만약 컨설팅을 통한다면 인증심사원과 독대를 하지 않고 프리패스? 인가요? 잘모르겠네요..
질문3. isms인증 컨설팅을 받게되었을 시 회사 내 보안솔루션이라던지 이런것도 없고 방화벽, 백신 이런게 없으면.. 컨설팅시 어떤식으로 진행되나요? 문서만 만들어주고 이러이러한 솔루션들 구축하세요 하고 끝나는지요?
4개의 답변이 있습니다.
1.모든 문서를 만들어 주지 않습니다. 인증에 꼭필요한 자산대장,위험평가, 정책/지침, 취약점 진단, 인증심사 관련 명세서 등 인증에 필수적인 문서를 만들어주죠.
기타 인증증적 등은 컨설팅결과에 따라 준비하셔야 합니다.
2. 내부적으로 준비가능합니다. Iso내부심사자과정 들으시고 고민하시면 준비하실수 있어요. 컨설팅했다고 프리패스는 안됩니다. 심사는 담당자와 심사원과의 과정이예요. 감내하셔야 해요.
3. 컨설팅에 마스터플랜수립 등의 과제가 있다면 단계적으로 구축하는 절차를 그려줄 겁니다.별도 과제가 없다면 위험조치계획 등에 약식으로 기술될 겁니다.
(요즘은 ISMS인증이 더 어렵습니다.. ㅠ.ㅠ)
1. 컨설팅이기에 인증을 받기위한 모든 문서작업들은 함께 만들어야할겁니다.
(만들어주는것이 아니라.. 함께 만드는것입니다..)
2. 자체적으로 가능합니다. (전문적인 부분은 외주쪽 통해서 해결가능)
-> 프리패스???.. 컨설팅과 인증심사부분은 다르기에.. 그런것은 없습니다. 있으면 안되겠지요..
3. 보안솔루션이 없다면 언제 도입을 해서 운영을 하겠다.. 라고 계획은 잡아줄것 같습니다.
아니면 위험수용을 하거나.. 이것은 버려도 되는 수준의 정보자산이다.. 유출되어도 아무상관없다라고 자체적으로 수용하시면 문제될것은 없습니다.
나머지 보호할것들은 단,중장기적으로 계획잡아서 운영하겠다라고 하면 되니까요..
저도 잘 모르기때문에..(많이 배우야하는...^^;) 다른분들의 의견들 많이 들어보세요~
질문 2. : 저희는 하나하나 까다롭게 심사 받았다고 들었습니다. 보안팀에서 담당했었는데, 관련 문서 보니까 토나오더라구요 ㅋ
질문 3. : 당연히 준비 하라는 식으로 컨설팅이 진행 됩니다. 저희도 인증을 위해 필요한 솔루션 추가 도입하고 조치 취하고 그랬고, 제가 근무하는 사업부도 별도의 서비스를 운영 중이라 하반기 ISMS 인증을 위해 하나 둘 도입해 나가고 있습니다. 생각보다 보안적으로 챙길게 많습니다. 일단 모든 기록을 다~ 가지고 있어야 하고, 그 중 민감정보는 암호화해서 보관해야 하고, 보관할 정보가 많으니 당연히 유출방지 대책도 필요합니다.
예전에 쿠팡인가 위메프인가 하는 쇼셜커머스 업체에서 이례적으로 자체준비해서 ISMS 인증을 받았다고 신문에 난걸 본 기억이 있네요
사랑과이해 (감사) | 6년 이하 전