ISMS 인증 대상 기업
- 자율신청자
- 의무대상자 : 월간 매출액 또는 세입이 1500억원 이상인 자 중 상급종합병원이나 학교 / 전년도 매출액 100억 이상/ / 전년도 3개월간 일일평균이용자 수 100만명 이상
> AWS는 인증에 대한 보장 및 유권해석은 X / 아키텍쳐 고도화 및 보안 영역 강화하고 컨설팅 프로그램이 있음 (컨설팅은 유료)
정보보호 및 개인정보보호 관리체계 인증 : 경영진이 참여
- 경영진 주도 하에 진행되어야 함 / 정책이 잘 유지되고 있는지, 주기적인 업무가 이루어지는지에 대한 내용
ISMS 인증 범위 설정 예
- DMZ : 웹서버, 모바일서버, DNS 서버
- 네트워크 및 보안 시스템
- 서버존
- 정보통신서비스 관리 시스템
- 개발 환경
- 업무 환경
- 내부용 네트워크 및 보안 시스템
- 내부 업무용 인프라
- 고객센터
- 물류센터, 영업점, 개인정보 수탁사
시스템 유형별 인증범위 고려사항 : 클라우드 서비스 형태에 따라 심사 범위가 달라짐 (IaaS, PaaS, SaaS)
클라우드에서 정보 자산 식별
- 정보 자산 식별 : 조직의 업무특성에 따라 정보자산 분류기준 수립
"리소스에 태그 달기" "무리 보안"
인증 및 권한 관리
VPC의 흐름 제어 확인
InternetGateway - RouteTable - NetworkACL - SecuritGroup - Instance
침해시도 탐지
사고예방 및 대응
취약점 관리를 위한 Amazon Inspector
백입 및 복구 전략
EBS snapshot 백업 / 복구 가능
데이터 내구성
손쉬운 적용방법
고려사항
- 경영진이 참여한 BCP에서 BIA를 통해 주요 업무 프로세스 식별
- 재해 유형 식별 및 재해 바생 가능성과 발생 시 업무 중단의 지속시간 평가, 복원시간 및 우선순위 결정
RPO(Recovery Point) + RTO(Recovery Time)
DOA(수용 가능한 위험 수준) 따라 위험 수용 가능 : 경영진 승인, 회의록 중적 자료
재해 복구 전략
Multi AZ vs Cross Region