Discovery & Collection

• 컨설팅 수행 범위에 따른 수행계획서 작성 및 검토
• 경영비전과 전략/조직/정책/업무/IT환경 분석
• 인증범위 정의
• 업무수행 관련 자료 수집
• 고객 자료 요청
  - 정보보호 정책, 지침
  - 조직도, 역할과 책임 정의
  - 직무기술서(업무 분장표)
  - BCP(업무연속성계획)
  - 개인정보처리 업무
• 정보자산 식별·요청 및 현행화 여부 검토
• 고객 경영, 정보시스템 운영환경 조사
• 고객사 관련 법률, 규정, 규제 등 조사
• 정보보호정책 적용성 분석

Gap Analysis

• 국제·국내 통제모델, 규격서 관련 통제평가 분석서 작성
  - ISO 27001
  - ISO 27017·27018
  - CSA CCM(Cloud Control Matrix)
  - 금융 클라우드서비스 정보보안 및 금융 추가보호조치
  - ISMS-P
  - ISO 27799, HIPAA
  - GDPR, BS 10012: 2017 등
• 사전 질의서 작성 및 배포
• 통제평가
  - 운영현황 인터뷰
  - 증빙자료 검토
  - 보안 현장실사
• 취약점 분석·평가
  - 정보자산 취약점 진단
  - 모의해킹 진단
• 개인정보흐름분석(필요시)

Risk Assessment and Treatment Plan

• 고객사의 위험관리 방법, 매뉴얼, 지침 등 검토
• 고객사 환경에 적합한 위험관리 프로세스 결정
• 국제표준 기반의 ISO 27005:2018^주1) 위험관리 절차, 위험평가 방법 적용 여부 협의 및 결정
• 위험평가 및 이행조치계획서 Template 준비
• 분야별 위험평가 및 이행조치계획서 작성
  - ISO 27001·27017·27018·29000 등
  - 의료·건강정보 항목 중요도 기준 수립 및 결정
  - GDPR, BS 10012: 2017
  - 개인정보 항목 중요도 기준 수립 및 결정
  - 정보자산 부문 위험평가
  - 클라우드서비스 위험평가
• 위험평가 보고서 작성
  - 분야별 위험평가 결과
  - 위험 이행조치 계획

※ 주1) ISO 27005:2018 (국제표준 정보보안 위험평가관리)

To-Be Model Implementation

• 개선과제 도출
• 관리보안 프로세스/물리적/기술적 체계 미래모델 설계
• 변화관리 및 중장기 추진계획 수립
• 통제평가 보고서 작성
  - ISO 27001
  - ISO 27017·27018
  - CSA CCM(Cloud Control Matrix)
  - 금융 클라우드서비스 정보보안 및 금융 추가보호조치
  - ISMS-P
  - GDPR, BS 10012: 2017 등
• 정보시스템 취약점진단 결과보고서 작성
• 모의해킹진단 보고서 작성
• 준거성 평가 보고서 작성
  - SAS70기반 국제표준 감사보고서 기준 작성
  - ISO 27799, HIPAA 해당

Performance Review

• 개선사항에 대한 이행계획 수립, 이행조치 계획에 따른 이행여부 검토 및 자문지원
• 인증심사 지원 및 준비
• 보안감사 계획 및 보안감사 항목 체계 마련
• 보안감사 보고서 작성
• 지속적 개선활동을 위한 자문지원
• 정보보호 관리체계 수립 자문 지원
  - 정책, 조직, 프로세스, 양식 마련 등
• 추진과제 이행 계획에 따른 모니터링 및 자문지원