전체 글
DevOps Security Specialist를 목표하는 Security Compliance Engineer의 블로그[정리] 인증체계에 대한 생각
개인적인, 인증 시스템 문제점에 관한 생각 1. 인증을 받기 위한 최소한의 보안 체계 구축 - 인증 후 사고 발생시 인증기관에 책임 전가 및 인증기관이라는 이유로 처벌 감면 - 인증은 단지 최소한으로 지켜져야 하는 보안 수준이라는 사실을 망각하고 추가적인 보안 투자/대책/관리 미흡 2. 의무 인증기관 및 중소기업 인증 문제 - 의무인증 기관이라도 벌금 < 인증 비용(인증 수수료+체계 구축 비용) 인 경우 인증 받지 않음. - 중소기업은 인력도 없는데 인증은 무슨 인증. 3. 구체적인 법 조항 - 법 조항에 어느정도의 보안 수준을 유지해야 한다라고 명시되어 있어 기업은 그 수준만 지키면 어떤 보안 사고든 걱정없음. 때문에 기업들의 보안 수준은 하향 평준화 - 기업의 보안은 자율에 맞겨두고 법규에서는 수준을..
[기사] ISMS vs ISO27001
출처 : http://www.boannews.com/media/view.asp?idx=40676&page=1&kind=1&search=title&find= Q. 보안업무를 보다 체계적으로 수행하기 위해 보안관련 인증 취득을 준비 중인 중견기업이다. 국제인증으로 ISO27001 인증이, 국내인증으로 ISMS 인증이 있는 걸로 알고 있는데, 이 두 가지 인증의 비교와 각각의 장단점을 설명해 달라. A-1. 인증취득을 하고자 하는 기업이 글로벌에서 활동하는 기업인지 아니면 국내에서만 활동하는 기업인지에 따라서 달라진다. 인증을 취득하고자 하는 기업이 국내시장뿐만 아니라 글로벌 시장에서 활동을 하는 기업이라면 당연히 ISO27001을 받아야 할 것이다. 주로 국내시장에서만 활동하는 기업이라면 국내인증 ISMS를..