정보보호 컨설팅


정보보호 및 개인정보보호와 관련된 법적 의무사항 준수에 필요한 제반 서비스를 제공하고 있으며,

고객의 실정에 적합한 보호체계를 구축, 운영하실 수 있도록 도와 드립니다.

정보보호 및 개인정보보호 컨설팅 개요

내외부 해킹 및 각종 침해사고 위협으로부터 각종 정보자산을 보호하도록 관리적/기술적/물리적 측면에서 취약점을 식별하고, 적절한 보안 대책을 수립하여 정보시스템의 안전한 운용을 지원하는 정보보호 컨설팅과, 개인정보 유〮노출 등의 위협으로부터 개인정보를 안전하게 지킬 수 있도록 지원하는 개인정보보호 컨설팅 서비스를 제공합니다.


기반시설 취약점 진단 및
보호대책 수립

악성코드 유포, 해킹 등 사이버 위협에 대한 주요정보통신기반시설의 취약점을 종합적으로 분석 및 평가/개선하는 일련의 서비스를 제공하는 컨설팅

취약점 분석 및 평가

기관의 주요 정보시스템(서버, 네트워크, 응용시스템 등)에 대해 OWASP Top 10 취약점, 국정원 8대 취약점 등을 기준으로 취약점을 식별하고 대응방안을 제시하는 컨설팅

모의해킹

주요 시스템에 대해 취약점을 찾아 내/외부자 관점에서 침투테스트를 시도하여 이로 인해 발생할 수 있는 정보유출 및 보안사고를 예방하기 위한 대응책을 제시하는 컨설팅

인증컨설팅(ISMS-P, ISMS, ISO27001, ISO27701 등)각종 보안 위협으로부터 조직의 정보자산을 보호하기 위해 정보보호 및 개인정보보호 관리체계를 수립/운영하고 적합성을 법률근거에 따라 인증받을 수 있도록 지원하는 컨설팅
개인정보보호 컨설팅고객사의 개인정보 보호 전반에 대해 관리현황을 점검하고 법적 의무사항을 준수하지 않거나 미흡한 사항을 사항을 찾아내어 파급영향을 분석하고 최적의 개선방안을 제시하는 컨설팅
개인정보 영향평가(PIA)개인정보를 취급∙활용하는 정보시스템을 신규로 구축하거나, 기존 시스템을 변경하는 경우 개인정보에 미치는 영향을 사전에 조사∙예측∙검토하여 개선방안을 제시하는 컨설팅

기반시설 취약점 진단 및 보호대책 수립

악성코드 유포, 해킹 등 사이버 위협에 대한 주요정보통신기반시설의 취약점을 종합적으로 분석 및 평가/개선하는 일련의 서비스를 제공하는 컨설팅

법적근거 및 필요성
▣ 정보통신기반 보호법 제9조(취약점의 분석평가)

① 관리기관의 장은 대통령령이 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석∙평가하여야 한다.

② 중앙행정기관의 장은 다음 각 호의 어느 하나에 해당하는 경우 해당 관리기관의 장에게 주요정보통신기반시설의 취약점을 분석∙평가하도록 명령할 수 있다

  1. 새로운 형태의 전자적 침해행위로부터 주요정보통신기반시설을 보호하기 위하여 필요한 경우
  2. 주요정보통신기반시설에 중대한 변화가 발생하여 별도의 취약점 분석/평가가 필요한 경우
▣ 주요정보통신기반시설 취약점 분석/평가 기준 2.취약점 분석/평가 수행주체 및 주기
  • 외부기관에 위탁할 경우 지식정보보안 컨설팅전문업체 등 전문기관에 위탁해야 함
  • 수행주기 : 최초 지정 후 6개월 이내, 매년 정기적 실시
수행절차
㈜씨에이에스의 특장점
  • 과학기술정보통신부로부터 정보보호 전문서비스 기업 지정(2017. 3월)
  • 한국도로공사, 한국공항공사, 한국철도공사 등 35개 사업 수행 실적 보유
  • 기본 점검항목(중요도 ‘상’) 및 선택 점검항목(중요도 ‘중’, ‘하’) 전체 항목을 점검함으로써 정보보호 완전성 제고
  • 자산유형에 적합한 스크립트 등 자동화 도구를 개발/적용함으로써 다수 자산에 대해서도 효율적 수행 가능
  • 매년 반복되는 취약점에 대한 미 조치 원인을 식별하고, 보완대책을 제시함으로써 조치의 신뢰성 확보

취약점 분석 및 평가

기관의 주요 정보시스템(서버, 네트워크, 응용시스템 등)에 대해 OWASP Top 10 취약점, 국정원 8대 취약점 등을 기준으로 취약점을 식별하고 대응방안을 제시하는 컨설팅

법적근거 및 필요성
▣ 정보통신기반 보호법 제45조(정보통신망의 안전성 확보)

① 정보통신서비스 제공자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다.

▣ 개인정보의 안전성 확보조치 기준 제6조(접근통제)

④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.

수행절차
㈜씨에이에스의 특장점
  • 과학기술정보통신부로부터 정보보호 전문서비스 기업 지정(2017. 3월)
  • 농협중앙회, 저축은행중앙회, 한국교통안전공단 등 110개 사업 수행실적 보유
  • 기본 점검항목(중요도 ‘상’) 및 선택 점검항목(중요도 ‘중’, ‘하’) 전체 항목을 점검함으로써 정보보호 완전성 제고
  • 자산유형에 적합한 스크립트 등 자동화 도구를 개발/적용함으로써 다수 자산에 대해서도 효율적 수행 가능
  • 매년 반복되는 취약점에 대한 미 조치 원인을 식별하고, 보완대책을 제시함으로써 조치의 신뢰성 확보

모의 해킹

주요 시스템에 대해 취약점을 찾아 내/외부자 관점에서 침투테스트를 시도하여 이로 인해 발생할 수 있는 정보유출 및 보안사고를 예방하기 위한 대응책을 제시하는 컨설팅

수행절차
㈜씨에이에스의 특장점
  • 한국철도공사, 국민건강보험 등 14개 수행실적 보유
  • 고객사 담당자와 취약할 것으로 예상되는 대상 시스템 등을 결정하고 침투 시나리오를 협의하여 시행함으로써 최소의 비용으로 하여 최대의 효과 획득 가능
  • 모의해킹 실시 전 사전 고객사 담당자의 승인을 얻은 후 실시함으로써 예기치 않은 보안사고 예방

인증 컨설팅 (ISMS-P, ISMS, ISO27001, ISO27701 등)

각종 보안 위협으로부터 조직의 정보자산을 보호하기 위해 정보보호 및 개인정보보호 관리체계를 수립/운영하고 적합성을 법률근거 및 국제표준에 따라 인증 받을 수 있도록 지원하는 컨설팅

법적근거 및 필요성
▣ 정보통신망법 제 47조(정보보호 관리체계의 인증)

② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.

  1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자
  2. 집적정보통신시설 사업자
  3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
▣ 개인정보보호법 제32조의3(개인정보 보호 인증)

① 행정안전부장관은 개인정보처리자의 개인정보 처리 및 보호와 관련한 일련의 조치가 이 법에 부합하는지 등에 관하여 인증할 수 있다.

※ ISO27001 인증은 기관의 필요에 따라 자율적으로 획득하는 것이지만, 전 세계적으로 통용되는 정보보호 표준을 준수하고 있음을 인증받을 수 있으므로 국외에서 영위하는 사업의 정보보호 신뢰성을 공인받기 위해서는 필요함. 또한, 정보통신망법 제47조 3항에 따라 ISMS 인증을 받아야 하는 기관이 ISO27001 인증을 보유할 경우 인증심사 시 일부 범위를 생략받을 수 있음.

인증절차
준비단계인증준비 및 신청
  • 준비 및 신청
    준비기간(
    약 3개월) + 운영기간(최소 2개월) 소요 예상
  • 계약 : 수수료산정 → 계약 → 수수료 납부
예비점검
계약체결, 수수료 납부
심사단계인증심사
  • 인증심사 : 신청일로부터 약 1.5~3개월 후 실시 (5일~10일간 심사)
  • 결함조치 및 확인 : 40일 내(60일 추가 연장 가능)
결함 보완조치 및 확인
심사결과보고서 제출
인증단계인증위원회 심의/의결
  • 인증위원회 심의/의결
    심사결과보고서 제출일로부터
    약 1개월 후 실시
인증서 발급
사후관리 단계사후심사 준비 및 신청
  • 연 1회 이상 사후심사 실시
  • 사후심사 시에는 인증위원회 심의/의결 절차 생략
  • 최초심사 후 3년차에 갱신심사 실시(최초심사와 동일)
인증심사
결함 보완조치 및 확인
㈜씨에이에스의 특장점
  • 우정사업정보센터, 한국중부발전, 한국전력거래소 등 73개 수행실적 보유
  • 다수의 인증 컨설팅 적용을 거쳐 검증된 방법론 적용으로 효율적 수행능력 확보
  • 검증된 인증 심사원자격 보유자, 인증 컨설팅 경험 보유자가 참여함으로써 준비단계 완전성 제고
  • 준비단계 ~ 심사단계에 이르기까지 지속적으로 지원함으로써 인증획득 보장

 개인정보보호 컨설팅

고객사의 개인정보 보호 전반에 대해 관리현황을 점검하고 법적 의무사항을 준수하지 않거나 미흡한 사항을 사항을 찾아내어 파급영향을 분석하고 최적의 개선방안을 제시하는 컨설팅

  • 개인정보 내부관리계획 이행 실태 점검이 필요한 경우
  • 공공기관 개인정보보호 관리수준 진단을 대비한 제반 조치가 필요한 경우
  • 개인정보 보호 현황에 대한 점검 및 개선을 통하여 개인정보 보호 수준 제고가 필요한 경우 등


법적근거 및 필요성
▣ 개인정보 보호에 대한 경영진의 의무 강화
  • 개인정보 보호를 위한 안전성 확보조치 이행 여부를 연 1회 이상 점검의무 이행
  • 개인정보 접속기록을 보관하고 월 1회 이상 점검의무 이행
  • 고유식별정보를 처리하는 경우 연 1회 이상 취약점 점검 및 조치의무 이행
  • 공공기관의 경우 연 1회 개인정보보호 관리수준 진단 수검의무 이행
개인정보보호 컨설팅 절차
㈜씨에이에스의 특장점
  • 문화체육관광부, 인사혁신처, 한국재정정보원, 건강보험심사평가원, 새마을금고 등 75개 사업 수행실적 보유
  • 고객사가 준수해야 하는 개인정보 보호 관련 법적 의무사항에 대한 누락 없는 점검
  • 개인정보 보호와 관련된 자격을 보유한 다수의 컨설턴트 보유
  • 유사 사업 수행을 통하여 경험과 노하우 보유
  • 문제점 발견 시 고객사 여건을 고려하여 최적의 조치방안 제시
  • 개인정보 보호 관리체계 정착 및 인식제고를 위한 개인정보 보호 교육 실시

개인정보 영향평가 (PIA)

개인정보를 취급∙활용하는 정보시스템을 신규로 구축하거나, 기존 시스템을 변경하는 경우 개인정보에 미치는 영향을 사전에 조사∙예측∙검토하여 개선방안을 제시하는 컨설팅

  • 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 시스템
  • 다른 시스템과 연계하여 50만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템
  • 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템
법적근거 및 필요성
▣ 개인정보 보호법 제33조(개인정보 영향평가)

① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 "영향평가"라 한다)를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부장관이 지정하는 기관(이하 "평가기관"이라 한다) 중에서 의뢰하여야 한다.

개인정보 영향평가 수행 표준 절차
㈜씨에이에스의 특장점
  • ㈜씨에이에스 행정안전부 개인정보 영향평가 기관 지정(2011. 12월)
  • 한국은행, 한국장학재단 등 182개 수행실적 보유
  • 개인정보 영향평가 전문인력 다수 보유
  • 다수 기관의 다양한 유형의 개인정보처리시스템에 대한 영향평가 사업 수행을 통하여 경험과 노하우 보유
  • 개인정보 침해요인 발견 시 고객사 여건을 고려하여 최적의 조치방안 제시
  • 영향평가 보고서 제출 이후 개선사항 조치 여부를 점검하는 사후 지원 활동 수행

수행실적 (고객사 현황)
공공기관
금융기관
교육기관



(주)씨에이에스(C.A.S)

Computer Assurance Service

서울시 금천구 가산디지털1로 168 C동 1106, 1206호(우림라이온스벨리1차)

TEL 02-786-3815 FAX 02-2026-3818  E-MAIL webmaster@casit.co.kr

Copyright CAS Corp. All rights reserved.