BUSINESS
CMMC · TISAX 인증 컨설팅
글로벌 공급망 정보보안 인증, 비씨앤씨㈜가 전문 컨설팅으로 함께합니다
CMMC 2.0
사이버보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification)
- 비씨앤씨㈜는 ISO/IEC 27001 정보보안 컨설팅 노하우를 바탕으로 고품질 인증 컨설팅을 제공합니다
- 비씨앤씨㈜는 CMMC RPO(Registered Provider Organization) 공인기관 심의절차중 입니다
- 미국 국방부(DoD) 방위산업기지(DIB) 공급망의 사이버보안 수준을 검증하는 인증제도
- 연방계약정보(FCI)와 비밀 미지정 통제정보(CUI) 보호를 위해 NIST SP 800-171 기반 통제를 요구
- Level 1(기초)~Level 3(전문가)의 3단계 성숙도 모델로 구성
- 미국 방위·방산 수출 및 관련 공급망 참여 기업의 필수 요건으로 확대
- 요구 통제 식별, 격차분석(Gap Analysis), 이행 및 인증 준비 컨설팅 제공
TISAX®
자동차산업 정보보안 평가(Trusted Information Security Assessment Exchange)
- 비씨앤씨㈜는 ISO/IEC 27001 정보보안 컨설팅 노하우를 바탕으로 고품질 인증 컨설팅을 제공합니다
- 독일 자동차산업협회(VDA)의 정보보안 평가 카탈로그(VDA ISA)를 기반으로 ENX 협회가 운영하는 자동차 산업 표준 정보보안 평가체계
- 완성차(OEM)와 부품 협력사 간 평가 결과를 상호 인정·공유하여 중복 심사를 제거
- 글로벌 완성차 공급망(현대차·폭스바겐·BMW 등) 진입을 위한 핵심 요건
- 정보보안·프로토타입 보호·개인정보보호 등 평가목표와 평가수준(AL 1~3)에 따라 단계적으로 심사
- 자동차 부품·소프트웨어 공급사의 글로벌 수주 경쟁력 확보 지원
TISAX 컨설팅 프로세스
1참가자 등록·범위 설정ENX 포털(TISAX 관리기구) 가입 및 평가목표·수준(AL)·범위 등록
2현황 진단(Gap 분석)VDA ISA 기준 자가평가 수행 및 개선점 식별
3보안 체계 이행·개선식별된 Gap 보완 조치 및 정보보안 체계 구축
4공인 심사기관 평가(본 심사)적격 심사기관을 통한 본 심사 수행
5시정조치·보완 심사지적사항 시정조치계획(CAP) 제출 및 보완 심사(최대 9개월)
6라벨 취득·공유ENX 포털 최종 라벨 등록(유효 3년) 및 고객사 공유
ISO인증
조직이 관련 인증 규격 또는 기준에서 요구하는 특정 경영시스템을 구축 및 이해하고 있음을 제 3자인 경영시스템 인증기관이 평가 및 확인하여 적합함을 실증하는 것.
ISO인증컨설팅
기업의 유지를 위한 경영시스템 인증을 통하여 고객의 니즈를 충족하고 정보화, 세계화를 준비할 수 있도록 지원하고 제공하는 사업
ISO인증컨설팅의 종류
ISO/IEC 27001:2022
정보보안 경영시스템(ISMS)
- 2022년 개정판(ISO/IEC 27001:2022)은 보안통제(부속서 A)를 4개 영역·93개 항목으로 재구성하였으며, 기존 2013년판 인증 기업은 전환심사가 필요합니다
- ISO/IEC 27001 인증은 귀사가 최상의 정보보안 프로세스를 구현하고 있음을 객관적으로 입증합니다
- 새로운 비즈니스를 창출하고 기존 고객 기반을 유지
- ISO27001 인증은 귀사가 사이버 보안 관리에 만전을 기하고 있음을 증명하며 계약 체결 시 신용도를 보장합니다
- ISO27001 인증서는 글로벌 공급망에서 널리 요구되며, 일본·인도 등 해외 시장 진입 시 보안 규제 준수를 입증하는 핵심 요건으로 활용됩니다
- 전 세계적으로 인정된 보안 효과를 나타내는 지표를 제공함으로써 ISO27001 인증은 반복되는 감사의 필요성을 없애고 외부 감사 일수 감소
- ISO27001은 ISMS의 요구 사항을 정의하는 유일하게 감사 가능한 국제 표준으로, 정보 자산의 효과적인 관리를 위해 허용되는 글로벌 벤치마크로서 비용이 많이 드는 벌금과 재정적 손실을 예방
ISO/IEC 27701
개인정보보호 경영시스템(PIMS)
- ISO/IEC 27001(정보보안) 체계를 확장하여 개인정보(PII) 보호 요구사항을 통합한 국제 표준 개인정보보호 경영시스템(PIMS)
- GDPR(EU 일반개인정보보호규정) 등 글로벌 개인정보보호 규제에 대한 대응 역량을 객관적으로 입증
- 개인정보 처리자(Controller)와 수탁자(Processor)의 역할별 통제사항을 체계적으로 관리
- 글로벌 고객·파트너에게 개인정보보호에 대한 신뢰성과 책임성을 보장
- 다양한 국가의 개인정보보호 법규를 충족하기 위한 논리적이고 효과적인 관리 프레임워크를 제공
- 변화하는 개인정보보호 요구사항과 기대를 체계적으로 처리하는 경영시스템을 입증
ISO/IEC27017 & ISO/IEC27018
클라우드 정보보호 관리체계(CLD, PII)
- 클라우드 서비스 도입의 가장 큰 걸림돌인 보안과 신뢰성을 담보할 수 있는 객관적 평가 기준 필요
- 지금까지 정보보호관리체계는 조직의 보안관리 및 IT 운영의 보안지표로 활용되었으나 클라우드 컴퓨팅 서비스는 기존의 조직 내 IT환경과는 다른 관점의 보안관리와 평가기준 필요
- 클라우드 사업자가 보안과 신뢰성을 확보하고 있음을 제3자 인증을 통해 검증
- ISO/IEC 27001 체계 위에 클라우드 보안에 대한 보안통제 구축 효과성을 평가
- 정보보호를 위한 투자, 보안 시스템의 운영, 관리의 체계성, 보안 수준 강화를 위한 고도화 계획 평가
- 클라우드 서비스 사업자는 국내 뿐만 아니라 해외 고객에게 클라우드 정보보호에 대한 신뢰와 만족도를 높일 수 있음
- 금융, IT 서비스, 교육, 언론 등 다양한 분야의 클라우드 보안 컨설팅 사업수행 경험을 바탕으로 맞춤형 컨설팅 서비스 제공
- 축적된 관련 사업 수행 경험을 기반으로 클라우드 보안인증 획득 및 보안수준 향상을 위한 올인원 서비스 제공
- 계정/사용자 관리, 데이터 보호, 네트워크 설정, 로깅 및 모니터링에 대한 가이드라인 제공
ISMS-P
정보보호 및 개인정보보호 관리체계 인증
- 과학기술정보통신부·개인정보보호위원회가 운영하고 한국인터넷진흥원(KISA)이 인증하는 국내 통합 인증제도
- 정보보호 관리체계(ISMS)와 개인정보보호 영역을 통합한 인증기준에 대응
- 정보통신망 서비스 제공자 등 인증 의무대상 기업의 취득을 지원
- 개인정보 내부관리계획 이행 점검, 의무대상 여부 진단, 결함사항 사전 점검·개선 및 인증심사 대응 컨설팅
- 정보통신망법·개인정보보호법 등 국내 법규 준수 및 대외 신뢰도 제고