금융산업에서 ITIL과 ISMS 관련 전략과 관리 방안

정보보호 및 개인정보보호 관리체계 인증

정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도

 

정보보호 관리체계 인증

정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도

ISMS 인증 기준

 

 

 

ISMS-P 인증 항목

구분		통합인증	분야(인증기준 개수)
ISMS-P	ISMS	1.관리체계 수립 및 운영(16)	1.1 관리체계 기반 마련(6) 1.3 관리체계 운영(3)	1.2 위험관리(4) 1.4 관리체계 점검 및 개선(3)
		2.보호대책 요구사항(64)	2.1 정책, 조직, 자산 관리(3) 2.3 외부자 보안(4) 2.5 인증 및 권한 관리(6) 2.7 암호화 적용(2) 2.9 시스템 및 서비스      운영관리(7) 2.11 사고 예방 및 대응(5)	2.2 인적보안(6) 2.4 물리보안(7) 2.6 접근통제(7) 2.8 정보시스템 도입 및 개발 보안(6) 2.10 시스템 및 서비스 보안관리(9) 2.12 재해복구(2)
	-	3.개인정보 처리단계별   요구사항(21)	3.1 개인정보 수집 시      보호조치(7) 3.3 개인정보 제공 시      보호조치(4) 3.5 정보주체 권리보호(3)	3.2 개인정보 보유 및 이용 시      보호조치(5) 3.4 개인정보 파기 시 보호조치(2

---

 

 

금융산업에서 ITIL과 ISMS 관련 전략과 관리 방안

 

ISMS는  IT 시스템을 관리하는 ITIL 체계에 정보보안 관리 체계를 포함한 개념

 

• ITIL은 IT 서비스의 품질과 효율성을 높이기 위한 운영 및 관리 프레임워크
• ISMS는 정보자산의 기밀성, 무결성, 가용성을 확보하기 위한 정보보안 관리 체계
• ISMS는 ITIL의 서비스 운영 체계에 보안 통제를 내재화함으로써, IT 서비스가 안전하고 신뢰성 있게 제공되도록 지원
• 두 체계를 통합하면 서비스 품질 + 정보보안을 동시에 확보할 수 있음

 

 

🧩 ITIL (Information Technology Infrastructure Library)

📌 개념

• IT 서비스 관리(ITSM)를 위한 베스트 프랙티스 모음집
• 고객 중심의 IT 서비스 제공을 통해 비즈니스 목표 달성을 지원
• 서비스 수명주기 기반: 전략 → 설계 → 전환 → 운영 → 개선  

 

🎯 전략

• 서비스 전략 수립: 어떤 서비스를 어떤 고객에게 제공할지 결정
• 서비스 포트폴리오 관리: 제공 서비스 목록을 정리하고 비즈니스 목표에 맞게 조정
• 수요 및 재무 관리: 서비스 수요 예측과 예산 책정을 통해 자원 최적화
• 비즈니스 관계 관리: 고객 요구사항을 반영하고 만족도 향상

 

🛠️ 관리 방안

• SLA 관리: 서비스 수준 계약을 통해 품질 기준 설정
• 프로세스 기반 운영: Incident, Problem, Change 등 핵심 프로세스 정의 및 실행
• 지속적 서비스 개선(CSI): KPI 분석을 통한 서비스 품질 향상
• 서비스 데스크 운영: 고객 요청 처리 및 피드백 반영

 

---

🔐 ISMS (Information Security Management System)

📌 개념

• 조직의 정보 자산을 보호하기 위한 정보보안 관리 체계
• 위험 기반 접근을 통해 기밀성, 무결성, 가용성 확보
• ISO/IEC 27001 기준에 따라 운영 및 인증 가능

 

🎯 전략

• 경영진의 지원 확보: 정보보안의 중요성을 인식하고 전사적 지원 확보
• 보안 정책 수립: 조직의 보안 목표와 지침을 명확히 설정
• 리스크 분석 및 평가: 자산의 중요도와 위협 수준을 기반으로 위험 식별 및 대응 전략 수립
• 보호 범위 정의: 보호해야 할 정보 자산과 시스템 지정

 

🛠️ 관리 방안

• 통제 수단 적용: 접근 통제, 암호화, 물리적 보안 등 다양한 통제 수단 운영
• 보안 교육 및 인식 제고: 전 직원 대상 교육을 통해 보안 문화 정착
• 보안 사고 대응 체계 구축: 사고 발생 시 신속한 대응과 재발 방지 조치
• 내부 감사 및 개선 활동: 정기적인 점검과 시정 조치를 통해 체계 유지
• 지속적 개선: 위협 환경 변화에 따라 정책과 통제를 주기적으로 업데이트

 

🔗 ITIL과 ISMS의 통합적 운영 팁

 

항목	ITIL	ISMS	통합운영 방안
목적	IT 서비스 품질 향상	정보보안 수준 향상	서비스 품질과 보안 동시 확보
접근 방식	서비스 중심	위험 기반	서비스 프로세스에 보안 통제 내재화
전략	SLA, 고객 중심	리스크 평가, 정책 중심	SLA에 보안 요구사항 포함
관리	프로세스 기반	통제 기반	ITIL 프로세스에 ISMS 통제 연계

 

---

 

🧩 ITIL 인증 대응 전략 (ISO/IEC 20000)

 

🔍 심사 대응 전략

• SLA 및 KPI 관리: 서비스 수준 계약과 성과 지표가 실제 운영에 반영되어야 함
• 프로세스 일관성: 사건, 문제, 변경 관리 프로세스가 문서와 실제 운영이 일치해야 함
• 지속적 개선(CSI): 개선 활동의 기록과 실행 결과가 명확히 제시되어야 함
• 고객 만족도 관리: 피드백 수집, 분석, 개선 조치가 체계적으로 이루어져야 함
• 서비스 보고 체계: 서비스 성과에 대한 보고서가 정기적으로 작성되고 공유되어야 함

 

 

🛡️ ISMS 인증 대응 전략 (ISO/IEC 27001)

 

🔍 심사 대응 전략

• 리스크 기반 접근: 위험 평가 및 처리 계획이 명확히 문서화되어 있어야 함
• 통제 수단 검증: 기술적·관리적·물리적 통제가 실제로 운영되고 있는지 확인
• 보안 사고 대응: 사고 대응 절차, 기록, 재발 방지 조치 준비
• 내부 감사: 정기적 내부 심사 수행 및 시정 조치 이행 여부 확인
• 직원 인식 제고: 보안 교육 이력 및 효과성 검토

 

---

ISMS-P 인증범위

인증범위

  ISMS-P : 정보보호 및 개인정보보호 관리체계 인증 과 ISMS: 정보보호 관리체계 인증의 범위 입니다.

 

구분	인증 범위	설명
ISMS-P	정보보호 및 개인정보보호 관리체계 인증	· 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산 · 개인정보 처리를 위한 수집, 보유, 이용, 제공, 파기에 관여하는 개인정보처리 시스템, 취급자를 포함
ISMS	정보보호 관리체계 인증	· 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산을 포함

참고: https://isms.kisa.or.kr/main/ispims/

 

 

ISMS-P 인증심사 절차

 

1. 신청 단계 : 신청공문 + 인증신청서, 관리체계운영명세서, 법인/개인 사업자 등록증
2. 계약 단계 : 수수료 산정 > 계약 > 수수료 납부
3. 심사 단계 : 인증심사 > 결함보고서 > 보완조치내역서
4. 인증 단계 : 최초/갱신심사 심의 의결(인증위원회), 유지(인증기관)

 

 

 

📋 ISO 인증 준비 체크리스트 (공통) 

• 품질/보안 방침 및 목표 수립
• 조직도 및 역할·책임 정의
• 관련 절차서, 매뉴얼, 양식 최신화
• 리스크 및 기회 분석 문서화
• 내부 심사 계획 및 결과 기록
• 시정 및 예방 조치 이력 관리
• 교육 이력 및 자격 증빙
• 고객 불만 및 개선 활동 기록

 

---

🧩 금융 산업에서의 ITIL + ISMS 통합 운영 매뉴얼

 

🎯 목적

• IT 서비스 품질 향상(ITIL)과 정보보안 및 개인정보보호 강화(ISMS-P)를 동시에 달성
• 전자금융감독규정, 신용정보법, 개인정보보호법 등 금융 관련 법령을 충족

 

🛠️ 통합 운영 구성 요소

 

구분	ITIL	ISMS	통합 운영 방안
서비스 전략	SLA 수립, 고객 요구 분석	인증 범위 정의, 법적 요구사항 확인	SLA에 보안 요구사항 포함, 인증 범위에 서비스 포함
서비스 운영	Incident/Problem/Change 관리	보안 사고 대응, 접근 통제	ITIL 프로세스에 보안 통제 내재화
서비스 개선	KPI 분석, CSI 프로세스	내부 감사, 시정 조치	서비스 품질과 보안 성과 통합 분석 및 개선
인력 관리	역할 정의, 교육	정보보호 교육, 책임자 지정	교육 통합 운영, 책임자 역할 명확화
공급자 관리	외부 서비스 계약 관리	외주 업체 보안 관리	공급자 계약 시 보안 요건 포함

 

 

📋 금융권 ISMS-P 인증 준비 체크리스트2

 

✅ 핵심 준비 항목

• ✔️ 경영진의 참여와 책임 명확화 정보보호위원회 구성, 최고책임자 지정, 경영 검토 회의 기록
• ✔️ 정보자산 및 위험 식별 금융 시스템, 고객 데이터, 외부 연계 시스템 등 자산 목록화 및 위험 분석
• ✔️ 내부 규정 및 절차 문서화 정보보호 정책, 개인정보 처리방침, 사고 대응 절차 등 현실적 문서 작성
• ✔️ 접근권한 및 로그 관리 체계 구축 최소 권한 원칙, 퇴사자 계정 삭제, 로그 기록 및 정기 검토
• ✔️ 보안 사고 대응 및 재해복구 훈련 사고 대응 시나리오 수립, 모의훈련 실시 및 결과 기록
• ✔️ 개인정보 흐름도 및 위탁자 관리 수집 → 처리 → 보유 → 파기까지의 흐름 명확화, 외부 업체 관리 체계 구축

 

 

🏦 금융권 적용 사례

📌 사례 1: 국내 대형 은행

• ITIL 기반 서비스 운영 체계 구축 고객센터, 온라인 뱅킹, 모바일 앱의 SLA 관리 및 문제 해결 프로세스 정립
• ISMS-P 인증 획득 전자금융거래법 및 개인정보보호법을 기반으로 정보보호 관리체계 구축 392개 점검 항목을 기반으로 인증 준비
• 통합 전략 ITIL의 변경관리(Change Management) 프로세스에 ISMS의 보안 영향 평가 절차를 통합 고객 정보 처리 시스템에 대한 접근 통제와 로그 분석을 ITIL 운영 절차에 포함

 

📌 사례 2: 핀테크 기업

• 클라우드 기반 서비스 운영 ITIL의 서비스 설계 및 전환 프로세스를 통해 안정적인 신규 서비스 출시
• ISMS-P 인증 준비 개인정보 흐름도 작성, 외부 API 연계 보안 점검, 사고 대응 훈련 실시
• 통합 운영 방안 서비스 데스크에서 고객 요청 처리 시 개인정보 보호 절차를 병행 서비스 개선(CSI) 회의에서 보안 성과(KPI)도 함께 분석