반응형

행정기관 정보보호관리체계(이하 ISMS) 인증 의무화

관련기사: http://www.etnews.co.kr/news/detail.html?&mc=m_014_00003&id=200909070175


7.7 DDoS 공격이후 그래도 많은 변화들이 일어나고 있다. 그중에 하나가 바로 침해사고나 보안 사고가 일어났을때 우왕좌왕하는 체계 잡힌 틀이 없는 경우가 많다.
 
                                           <이미지출처: 한국인터넷진흥원>

조금 늦은감은 있지만 공공기관이 정보보호 관리체계를 의무화 한다는 것은 상당히 고무적인 사항이다. 지금 본 블로거는 한국인터넷진흥원(KISA)에서 ISMS 인증심사원으로 활동하기에 늘 그런 사항이 아쉽게 느껴 졌기 때문이다.

그것은 지금 민간에서는 ISMS 인증이 의무사항이 아닌 권고 사항이었기 때문이다. 실제로 법률로 강제하는 사항이 아닌것이다.

하지만 다양한 사이버 위협이 대두됨에 따라 우선 공공기관부터 ISMS인증을 의무화 시키는 것은 당연한 것이다. 그것은 국민에 대한 서비스가 점점 오프라인이 아닌 사이버로 옮겨지고 있기 때문이다. 한번 사고가 나면 이제는 대형사고가 날수 밖에 없는 것이다.
만약, 증권거래소에 장애가 생기고 컴퓨터에 문제가 생기면 어떻게 하겠는가?

다시말해 ISMS 인증이라는 것은 한 조직이나 기업에 '정보보호에 대한 관리체계'를 수립하는 것으로서 틀을 마련하는것이다.  아무런 체계와 프로세스가 없던 것을 새로운 틀을 마련하는 것이다.


1. ISMS는 어떻게 운영되는가?

현재 ISMS는 한국인터넷진흥원(KISA)에서 일정수의 민간 인증심사원 인력풀을 운영하고 있다. 이러한 인력풀에서 적정한 기준에 따라 심사시에 TFT팀이 구성이 되어 심사를 하게 되고 해체 되는 것이다.


2. 그럼 공공기관은 어떻게 해야 되나?

지금 ISMS 심사기준 15개 통제 항목에 446개 세부통제 항목을 심사할수 있는 공공기관에 인력이 과연 있을지 의문이다. 

또한 공공기관에서 하는 업무를 민간에서 함부로 할수 있는 부분도 아닌것 같기도 하다. 하지만 과연 공공기관에서 그 수많은 기관에 ISMS를 어떻게 수립을 할수 있겠는가?

또 자체적으로 인증을 해주려는 인증심사 인력은 어떻게 구성을 해야 하는가?


3. ISMS 수립은 어떻게 하는가?

대부분 컨설팅 업체에 맡기는 경우가 많이 있다. 자체 수립이 가장 좋은 방법이긴 하나 업무적 부담과 자체수립이 불가한 경우가 많기 때문에 정보보호전문 컨설팅 업체에 의뢰를 하는 것이다. 그런데 공공기관 의무화를 하면 자체 ISMS 인증을 위한 체계 수립을 어떻게 할 것인가?

지금 정보보호 전담 조직과 부서가 없는 곳이 많은데 아마도 행정기관 실무자들은 많은 고민을 않고 있을 것이다.

분명 공공기관 ISMS 인증제도 의무화는 반길일인데 추후 어떻게 대응책을 마련 할 것인지에 대한 상황을 조금 더 지켜 보아야겠다.


4. 정착될때까지는 기존 ISMS 인증심사원이 인증 심사를 해야

컨설팅도 마찬가지로 민간에 의뢰하여 받겠지만 당분간 정착 될때까지는 기존 ISMS 인증 심사원의 인력 풀을 활용 할수 밖에 없다는 생각이 든다. 그렇지 않으면 행정기관에서 ISMS가 뭔지도 모르는 사람들이 있다고 한다면 수립을 하는 문제는 더더욱 어려운 문제이기 때문이다.


결론.

본 블로거가 ISMS인증심사를 참여 해 본 결과 정보보호 관리체계는 반드시 필요한 것이며 너무 거대한 체계수립이라고 생각이 든다면 조금은 가벼운 체계수립을 정부에서 마련을 하여 대기업에 적용하는 부분과 중소기업에서 적용하는 부분을 분리하여 운영하면 예산과 인력이 없은 중소업체에서도 그래도 ㅈ정보보호에 대한 뼈대는 세울수 있지 않을까 생각한다.

한 걸음 더 나아가 공공기관에서 'ISMS' 인증제도를 의무화 한다고 하니 실무자들은 힘이 들고 또 다른 업무로 인하여 어렵겠지만 전체 국가 사회적인 측면으로 보았을땐 상당히 고무적인 일이라 생각을 한다. 그래야만 평소 행정기관에서 놓치고 있던 '정보보호 사각' 지대를 발견 할 수 있다. 실제로 ISMS 인증 심사를 하다보면 그렇게 해서 수정보완되는 경우가 많기 때문이다.

제도적으로 잘 정착이 되어 튼튼한 행정기관의 보안관리에 대한 체계가 하루 빨리 정비가 되고 보안에 대한 문화 인식이 확대 되었으면 하는 바램을 가져 본다. @엔시스.


,