본문 바로가기
  • (개인)정보보호/최신ICT 정보 공유 블로그
(부제) 나는 CISO 이다/CSAP 인증심사

(CSAP) 품질 경영 시스템(QMS)과 정보보호 경영 시스템(ISMS)

by 노벰버맨 2021. 4. 11.

1. 품질 경영 시스템과 정보보호 경영 시스템의 개요

가. 경영 시스템의 정의

품질 경영 시스템 (QMS) 고객 요구사항 및 고객 만족, 품질확보를 위해 최고경영자 및 전사 구성원이 품질 향상을 위해 수립, 이행, 유지관리 및 지속 개선 등의 활동을 수행하는 경영 시스템
정보보호 경영 시스템 (ISMS) 정보보호관리를 위한 표준 실무 규약을 만족하기 위해 최고경영자 및 전사 구성원이 참여하여 수립, 이행, 유지관리 및 지속 개선 등의 활동을 수행하는 경영 시스템

나. 경영 시스템의 특징
-(종합적인 관리), 다양한 영역에 대한 균형있는 관리 수행

-(요구사항 부합), 고객, 기업, 정부 등의 요구사항 관리

-(환경 적응), 기업 내외부 환경에 대한 적절하고 능동적인 대처

-(경쟁력 제고), 기업의 이미지 향상에 따른 기업 경쟁력 제고

 

2. 경영 시스템의 개념도 및 구성요소

가. 경영 시스템의 개념도

나. 경영 시스템의 구성요소

품질 경영 시스템 (ISO 9001) 정보보호 경영 시스템 (ISO 27001)
조직
리더쉽
기획
지원
운용
성과평가
개선
정보보호 정책
정보보호 조직
인적 자원 보안
자산 관리
접근통제
암호화
물리적 환경적 보안
운영 보안
통신 보안
정보시스템 개발 유지보수
공급자 관계
정보보안 사고 관리
정보보호 측면 업무 연속성 관리

 

3. 품질 경영 시스템과 정보보호 경영 시스템

구분 품질 경영 시스템 정보보호 경영 시스템
목적 -기업의 서비스, 제품 품질 향상 -기업의 정보보호 수준 향상
목표 -고객의 만족 -고객의 만족(안심)
접근법 -PDCA -PDCA
참여자 -최고경영진, 임직원 -최고경영진, 임직원
수행 활동 -서비스, 제품에 대한 품질 표준 식별
-품질 관리 계획 수립
-서비스, 제품에 대한 품질 활동 수행
-제3자 입장에서 품질 요구사항 만족 여부 검토
-정보보호 요구사항 식별
-정보보호 관리 계획 수립
-정보보호 보호대책 적용
-제3자 입장에서 점검 및 감사

-기업은 품질에 대해서는 경영 성과에 직접적인 영향을 미치는 요인으로 판단하지만 정보보호는 그렇지 않음

-하지만 위에서처럼 기업에서 수행해야 할 품질 경영과 정보보호 경영은 유사한 활동

-기업이 정보보호 활동을 게을리했을 때 고객이 입을 수 있는 피해 또는 불만족도에 대한 고려 필요

댓글