DevSecOps toolkit for AI-assisted secure development
ISMS-P는 한국인터넷진흥원(KISA)이 운영하는 정보보호 및 개인정보보호 관리체계 인증 제도입니다. ISMS(정보보호)와 ISMS-P(정보보호 + 개인정보보호)로 구분됩니다.
| 구분 | ISMS | ISMS-P |
|---|---|---|
| 범위 | 정보보호 관리체계 | 정보보호 + 개인정보보호 |
| 인증 기준 | 관리체계 수립(16) + 보호대책(64) = 80개 | 80개 + 개인정보처리(22) = 102개 |
| 의무 대상 | ISP, IDC, 매출 100억+, 이용자 100만+ | ISMS 의무 + 개인정보처리 |
| 인증 유효기간 | 3년 (매년 사후심사) | 3년 (매년 사후심사) |
| 근거법 | 정보통신망법 | 정보통신망법 + 개인정보보호법 |
ISMS-P 인증기준
├── 1. 관리체계 수립 및 운영 (16개)
│ ├── 1.1 관리체계 기반 마련 (6)
│ ├── 1.2 위험 관리 (4)
│ ├── 1.3 관리체계 운영 (3)
│ └── 1.4 관리체계 점검 및 개선 (3)
│
├── 2. 보호대책 요구사항 (64개)
│ ├── 2.1 정책, 조직, 자산 관리 (3)
│ ├── 2.2 인적 보안 (6)
│ ├── 2.3 외부자 보안 (4)
│ ├── 2.4 물리 보안 (7)
│ ├── 2.5 인증 및 권한관리 (6)
│ ├── 2.6 접근통제 (7)
│ ├── 2.7 암호화 적용 (2)
│ ├── 2.8 정보시스템 도입 및 개발 보안 (6)
│ ├── 2.9 시스템 및 서비스 운영관리 (7)
│ ├── 2.10 시스템 및 서비스 보안관리 (9)
│ ├── 2.11 사고 예방 및 대응 (5)
│ └── 2.12 재해 복구 (2)
│
└── 3. 개인정보 처리 단계별 요구사항 (22개) [ISMS-P only]
├── 3.1 개인정보 수집 시 보호조치 (7)
├── 3.2 개인정보 보유 및 이용 시 보호조치 (5)
├── 3.3 개인정보 제공 시 보호조치 (4)
├── 3.4 개인정보 파기 시 보호조치 (3)
└── 3.5 정보주체 권리보호 (3)
| # | 항목 | 내용 | ClaudeSec 매핑 |
|---|---|---|---|
| 2.5.1 | 사용자 계정 관리 | 계정 생성/변경/삭제 절차, 공유계정 금지 | IAM-001, IAM-002 |
| 2.5.2 | 사용자 식별 | 고유 식별자 부여, 그룹계정 최소화 | IAM checks |
| 2.5.3 | 사용자 인증 | 안전한 인증수단, MFA, 패스워드 정책 | IAM-003, IAM-004 |
| 2.5.4 | 비밀번호 관리 | 복잡도, 변경주기, 이력관리 | IAM-003 |
| 2.5.5 | 특수 계정 및 권한 관리 | 관리자 계정 분리, 최소권한 | CLOUD-001 |
| 2.5.6 | 접근 권한 검토 | 주기적 검토, 퇴직자/전환자 처리 | Audit checklist |
| # | 항목 | 내용 |
|---|---|---|
| 2.6.1 | 네트워크 접근 | 네트워크 분리, DMZ 설계, 방화벽 |
| 2.6.2 | 정보시스템 접근 | 서버/DB/네트워크 장비 접근 통제 |
| 2.6.3 | 응용프로그램 접근 | 애플리케이션 접근 권한 통제 |
| 2.6.4 | 데이터베이스 접근 | DB 접근통제, 쿼리 감사, 민감 데이터 보호 |
| 2.6.5 | 무선 네트워크 접근 | 무선 AP 보안, 인증 |
| 2.6.6 | 원격 접근 통제 | VPN, 원격근무 보안 |
| 2.6.7 | 인터넷 접속 통제 | 인터넷 접속 범위, URL 필터링 |
| # | 항목 | 내용 |
|---|---|---|
| 2.7.1 | 암호정책 적용 | 전송/저장 암호화, 암호 알고리즘 관리 |
| 2.7.2 | 암호키 관리 | 키 생성/분배/저장/파기 절차 |
| # | 항목 | 내용 | ClaudeSec 매핑 |
|---|---|---|---|
| 2.8.1 | 보안 요구사항 정의 | 개발 시 보안 요구사항 | OWASP Top 10 |
| 2.8.2 | 보안 요구사항 검토 및 시험 | 보안 시험, 취약점 점검 | CICD-005 (SAST) |
| 2.8.3 | 시험과 운영 환경 분리 | 개발/시험/운영 환경 분리 | INFRA checks |
| 2.8.4 | 시험 데이터 보안 | 운영 데이터 시험 환경 사용 제한 | — |
| 2.8.5 | 소스 프로그램 관리 | 소스코드 접근 통제, 변경 관리 | CICD-008 |
| 2.8.6 | 운영환경 이관 | 이관 절차, 승인, 롤백 | CI/CD pipeline |
| # | 항목 | 내용 |
|---|---|---|
| 2.9.1 | 변경관리 | 변경 절차, 승인, 이력 관리 |
| 2.9.2 | 성능 및 장애관리 | 용량, 성능 모니터링, 장애 대응 |
| 2.9.3 | 백업 및 복구 관리 | 백업 정책, 복구 시험 |
| 2.9.4 | 로그 및 접속기록 관리 | 로그 저장, 보호, 검토 |
| 2.9.5 | 로그 및 접속기록 점검 | 정기적 로그 검토, 이상 징후 탐지 |
| 2.9.6 | 시간 동기화 | NTP, 로그 일관성 |
| 2.9.7 | 정보자산의 재사용 및 폐기 | 안전 폐기, 데이터 삭제 |
| # | 항목 | 내용 | ClaudeSec 매핑 |
|---|---|---|---|
| 2.10.1 | 보안시스템 운영 | 방화벽, IDS/IPS, WAF 운영 | NET checks |
| 2.10.2 | 클라우드 보안 | CSP 보안설정, 책임공유 모델 | CLOUD checks |
| 2.10.3 | 공개 서버 보안 | 웹서버, DNS 보안 | NET-002, NET-003 |
| 2.10.4 | 전자거래 및 핀테크 보안 | 전자거래 무결성, 암호화 | — |
| 2.10.5 | 정보 전송 보안 | 전송 구간 암호화, 무결성 | NET-001 |
| 2.10.6 | 업무용 단말기기 보안 | 단말 보안정책, MDM | — |
| 2.10.7 | 보조저장매체 관리 | USB, 외부 저장매체 통제 | — |
| 2.10.8 | 패치관리 | 보안 패치 적용 절차 | CICD checks |
| 2.10.9 | 악성코드 통제 | 안티멀웨어, 비인가 SW 통제 | — |
| # | 항목 | 내용 |
|---|---|---|
| 2.11.1 | 사고 예방 및 대응체계 구축 | 침해사고 대응 절차, 조직 |
| 2.11.2 | 취약점 점검 및 조치 | 정기적 취약점 진단, 조치 |
| 2.11.3 | 이상행위 분석 및 모니터링 | SIEM, 이상 탐지 |
| 2.11.4 | 사고 대응 및 복구 | 사고 대응, 원인 분석, 복구 |
| 2.11.5 | 사고 대응 훈련 및 개선 | 모의훈련, 개선 조치 |
| 대상 | 기준 |
|---|---|
| ISP (인터넷서비스 제공자) | 전기통신사업법 상 허가 ISP |
| IDC (집적정보통신시설) | 서버 호스팅, 코로케이션 사업자 |
| 상급종합병원 | 의료법 기준 |
| 매출/세입 100억원 이상 | 정보통신서비스 부문 연간 매출 |
| 이용자 100만명 이상 | 직전 3개월 일평균 이용자 |
| 구분 | 항목 |
|---|---|
| 신설 (9개) | 2.4.7 업무환경 보안, 2.5.4 비밀번호 관리, 2.6.3 응용프로그램 접근, 3.1.1 수집·이용, 3.1.4 민감정보, 3.1.6 영상정보기기, 3.2.4 목적 외 이용, 3.2.5 가명정보, 3.3.1 제3자 제공 |
| 수정 (17개) | 2.3.3, 2.5.4, 2.6.3, 2.6.7, 2.9.4, 3.1.1~3, 3.1.6, 3.2.2, 3.2.4, 3.3.1~2, 3.3.4, 3.5.1~3 |
소규모 기업 대상 간편인증 도입 (80개 → 40개 항목, 심사비용 1,100만→500만원).
# ISMS-P 컴플라이언스 스캔
claudesec scan --compliance isms-p
| ClaudeSec 카테고리 | ISMS-P 영역 | 통제항목 수 |
|---|---|---|
| Access Control (access-control) | 2.5 인증 및 권한, 2.6 접근통제 | 13개 |
| Infrastructure (infra) | 2.10 시스템 보안관리, 2.12 재해복구 | 6개 |
| Cloud (cloud) | 2.6.7 인터넷 접속, 2.10 보안시스템 | 4개 |
| CI/CD (cicd) | 2.8 개발보안, 2.9 운영관리 | 5개 |
| Network (network) | 2.6 접근통제, 2.10 보안시스템 | 3개 |
| AI Security (ai) | 2.8 개발보안, 3.5.2 자동화결정 대응 | 2개 |
| Privacy (3.x) | 3.1-3.5 개인정보 처리단계별 | 10개 |
| 영역 | 전체 | 스캐너 매핑 | 커버리지 |
|---|---|---|---|
| 1. 관리체계 수립·운영 | 16 | 3 | 19% |
| 2. 보호대책 요구사항 | 64 | 27 | 42% |
| 3. 개인정보 처리단계별 | 22 | 10 | 45% |
| 합계 | 102 | 40 | 39% |
물리보안(2.3-2.4), 인적보안 일부(2.2), 외부자 보안(2.3)은 자동화 스캔이 어려워 수동 점검 영역입니다.