BS7799 개요

BS7799 개요  

0.  개요

사회에서 산업전반의 주요근간이 되는 정보는 적절한 수준의 무결성(Integrity)과 가용성(Availability) 그리고 비밀성(Confidentiality) 등의 속성을 만족하고 있어야 한다. 그러나 예기치 못한 위험에 의해 그 가치가 파괴되거나 손실되는 경우가 발생하여 엄청난 경제적 손실을 초래하고 기업의 이미지를 손상시키는 경우가 적지 않다.  따라서 국내외의 모든 기업 및 기관들은 조직 내의 가장 중요한 자산인 정보 시스템을 효율적으로 보호하여 자산에 대한 위험을 분석하고 비용 효과적인 측면에서 정보보안에 대한 적절한 보호 대책을 수립하여야 한다

1. 국내외 현황(정보보호 관련)

1) 미국 캘리포니아 대학의 프랭크 버나드(Frank Bernhard) 교수는 최근 3,000개 기업을 대상으로 한 연구보고서에서 보안상의 결함이 기업의 연간 수익 중 5.7%에 해당하는 손실을 유발시키고 있다는 사실을 확인했다. 그는 이것을 '경제적 누출'(economic leakage)이라고 한다.

2) 한국 한국정보보호센터가 발표한 조사 통계자료에 따르면 2001년 4월 국내 해킹피해건수가 전년 동기 대비 4.5배 증가한 537건으로 밝혀졌다. 또 지난 1년 동안 총 피해건수가 1943건인 데 반해 올들어 4월까지 피해건수가 벌써 지난해 80%대 수준을 넘어선 1620건에 달해 해킹 건수가 갈수록 증가하고 있는 것으로 나타났다.

정보보호 관리의 위협요소 및 사고원인을 파악하면 다음과 같다.

보안사고의 위협요소 정보보호 사고의 원인 해킹 . 내부 (해킹의 60% 이상) . 외부 (해킹의 40% 미만)서비스 거부 (Denial of Service)기술적 결함시스템 사용자에 의한 정보분산유해 소프트웨어 18% 전원고장17% 사용자 실수 17% LAN 고장 14% 외부 바이러스 9% WAN 고장 6% 직원의 고의성 사고 6% 운영요원의 실수

(BISS '98 : Broadcast information security research)

2. BS 7799의 배경

1) 배경 정보보안에 대한 인증이 필요한 조직들의 요청에 의해 지난 98년 2월 15일에 정보보호 관리체계 인증 규격인 BS 7799제정.

2) 용어의 정의 BS 7799는 현재 정보보호를 위한 유일한 국가표준으로 최상의 실행을 위한 포괄적인 일련의 관리방법에 대해 요건별로 해석해 놓은 산업체를 위한 규격이며, 향후 ISO 17799로 발전해 나갈 전망이며, 이미 ISO/IECJTC1/SC27에 작업반이 구성되어 있다. * 정보 보안의 대상: 문서화 된 것, 말해진 것 및 컴퓨터 정보에 대한 모든 것

3) 표준의 발전 1993. 1.  산업관련 검토 그룹 결성 1993. 9.  실행 지침 발행 1995. 2.  BS 7799 Part One 발간 1998. 2.  BS 7799 Part Two 발간 1999. 4.  BS 7799 Part One/Two 발간 (개정) 국내의 경우도 현재 정보통신부 장관이 인증하는 정보보호관리체계인증제도를 도입하고자 BS 7799를 기반으로 연구, 검토를 진행하고 있으며, 현재는 은행 등의 금융권과 증권, 보험사와 같이 고객정보가 자산의 핵심인 사업을 중심으로 BS 7799 인증이 시작되고 있으나, 조만간 제조분야 및 광범위한 서비스분야로 인증의 폭이 넓혀질 전망이다. * 인증 취득의 의의:    정보보호를 제대로 하고 있다는 것을 국제적인 기관으로부터 인정 받게 되는 것이므로 신뢰도와 경쟁력을 제고할 수 있다.

3. BS 7799의 구성

BS 7799는 두 부분으로 구성되어 있다.

1) BS 7799 Part 1: 정보보안관리에 대한 실행 지침   - 참조 문서로 사용할 수 있음   - 정보보안관리에 대한 포괄적인 세트 제공   - 현 사용중인 최상의 정보보안 실행 지침   - 10개의 section으로 구성   - 심사 및 인증으로의 사용은 불가

2) BS 7799 Part 2 : 정보보안 관리시스템에 대한 규격 (ISMS : Information Security Management System)   - 정보보안관리 시스템 문서화 수립 실행에 대한 요구사항 규정   - 개별 조직의 필요성에 따라 실행될 수 있는 보안관리 요건을 규정   - BS 7799:Part 2:1999는 10개의 관리항목으로 구성되어 있으며, 기밀성, 무결성 및 가용성에 대한 자료 유지에 초점을 맞추고 있다.

4. BS 7799 Section   1) 보안방침 정보보안에 대한 경영방침과 지원사항을 제공하기 위함   2) 보안 조직 조직 내에서 보안을 효과적으로 관리하기 위해서는 보안에 대한 책임을 배정   3) 자산 분류 및 관리 조직의 자산에 대한 적절한 보호책 유지   4) 직원의 보안 사람에 의한 실수, 절도, 부정 수단이나 설비의 잘못 사용으로 인한 위험을 감소   5) 물리적 및 주변환경에 대한 보안 비 인가된 접근, 손상과 사업장과 정보에 대한 영향을 방지하기 위함   6) 의사소통 및 운영관리 정보처리 설비의 정확하고 안전한 운영을 보장하기 위함   7) 접근 통제 정보에 대한 접근통제를 하기 위함   8) 시스템 개발 및 유지 정보 시스템 내에 보안이 수립되었음을 보장하기 위함   9) 사업 지속성 관리 사업활동에 방해요소를 완화시키며 주요 실패 및 재해의 영향으로부터 주요 사업활동을 보호하기 위함  10) 부합성 범죄 및 민사상의 법률, 법규, 규정 또는 계약 의무사항 및 보안 요구사항의 불일치를 회피하기 위함

5.  BS7799 인증준비

 1)  BS7799 Part1과 Part2를 참조하여 다음과 같은 경영프레임을 구축.

 

   - 1단계:  정보보호 정책을 정의.

   - 2단계:  정보보호 관리시스템의 범위 정의. 경계는 조직특성, 위치, 자산 및 기술 등의 용어로서 정의.

   - 3단계:  적절한 위험평가를 실시. 위험평가는 자산에 대한 위협, 취약점 및 조직에 대한 영향을 식별하고 위험수준을 결정.

 

   - 4단계:  관리하여야 하는 위험영역은 조직의 정보보안 정책과 요구되는 보장수준을 토대로 식별.

   - 5단계:  적절한 통제목표 및 방안을 본 규격의 4항을 토대로 선정하고, 그 선정을 정당화.

   - 6단계:  적용성 보고서를 작성. 설정한 통제목표 및 방안과 그것의 설정사유는 적용성 보고서로 문서화. 이 보고서는 4항에 정의한 통제방안 중 제외된 것을 전부 기록함.

 

 2)  ISMS의 문서화 체계도

 

프레임 워크의 단계를 이행하면 기업은 정보보안 관리시스템(ISMS)의 문서를 생성할 수 있으며, 문서의 체계도는  ISO9001 시스템의 문서체계와 유사함

출처: 인터넷 떠돌다가