반응형

정보보호관리체계수립(이하 ISMS)인증심사는 어떻게 이루어질까? 라는 궁금증이 있으신 분들이 많이 있는 것 같아 포스팅 해 봅니다.

여기서 말하는 인증심사는 심사원이 되어서 ISMS 인증심사를 신청한 기업에 직접 방문하여 심사하는 것을 말합니다.


현재 ISMS 인증심사원은 다음과 같이 분류되어 있습니다.
  • 심사원보
  • 심사원
  • 선임심사원
  • 심사팀장

처음 ISMS 인즘심사원 모집시에 서류를 통과하여 결정이 나면 5일간 오프라인 교육을 받고 시험을 쳐서 일정한 점수로 합격이 되어야만 합니다.

그 이후에 인력 풀이 가동이 되어 운영이 되고 있습니다. 역시 주관은 KISA에서 하고 있으며 심사를 나갈때 같은 업종이나 심사 받을 회사를 퇴직한지 1년이 지나지 않으면 참여 할 수 없는 내부 규정도 있습니다.

그럼 순서를 한번 살펴 보겠습니다.

1. ISMS 인증심사를 원하는 기업이 KISA에 요청을 한다.
2. ISMS 인력풀에 등록된 심사원님들을 대상으로 공지를 한다.
3. 관심이 있는 심사원은 지원을 한다.
4. 여러가지 여건과 상황을 고려하여 최종 TFT (심사단)을 구성한다.
5. 최종 선정이 끝나면 심사날짜로 스케쥴을 알려준다.

대략, 이렇게 이루어지고 있습니다. 그 다음 심사 절차입니다. 사전에 심사팀장은 심사기업과 사전 방문을 통하여 어떻게 진행할 것인지 환경은 어떤지 실무 담당자와 조율을 하게 됩니다. 그럼 각 역할을 살펴 보겠습니다.

1. 심사팀장

심사팀장은 심사원을 이끌어 PM역할을 하게 되고 이 심사에 대하여 끝마칠때까지 순조롭게 이루어질수 있도록 많은 신경과 관심을 갖어야 함으로 가장 많은 신경을 쓰시는 분입니다. 때로는 심사팀장의 역할이 가장 중요할때가 있습니다.

2. 심사원

심사팀장의 지시를 받고 자신에게 할당된 분야를 심사를 하게 됩니다. 가능하면 모든 창구를 심사팀장으로 하며 적절하게 조율을 하며 자신의 맡은바를 잘 수행하면 심사팀장은 조금 수훨하지만 그렇지 않을경우 심사팀장으로부터 조언을 받습니다.

3. 심사원보

처음 심사에 참여 하는 심사원이나 아직까지 심사원 심사일수를 채우지 못한 심사원으로 하는 역할과 업무는 심사원과 동일합니다.


심사는 어떻게 진행이 되는가? 우선 심사를 나가게되면 피 심사 기관에서는 일정한 공간을 마련하여 심사하기에 편안하게 할수 있도록 심사문서와 다과류, 그리고 음료수, 프린터,인터넷이 사용가능하도록 편리를 제공해 줍니다.

심사기관은 외부에서 방문하는 심사원이기에 최대한 예우를 갖추어 주기에 심사원들도 최대한 심사원의 품의과 이미지에 손상이 가지 않게 행동을 하는 것이 좋습니다.

그럼 그 이후에 일반적인 절차를 알아보겠습니다.

1. 심사팀장과 심사원은 심사기관에 도착하여 따로 마련된 공간에 모이게 됩니다.
2. 피 심사기관의 실무담당자와 인사를 하며 명함과 자기소개를 하게 됩니다.
3. 소개가 끝나면  피 심사기관 담당자가 ISMS인증 심사 범위에 대하여 간략한 소개를 합니다.
4. 소개후 심사팀장은 심사원의 역량과 업무를 고려하여 적절하게 심사기준에 맞추어 역할을
    분담을 하며 착수회의를 합니다.
5. 착수회의 전에 보통 피 기관 CEO나 CIO, 또는 기관장을 뵙게 되고 기관장은 심사를 잘 부탁한다는 격려의 말씀을 해 주십니다.
6. 착수회의는 일반적으로 어떻게 심사를 할 것이며 어떤 부분을 중점적으로 보고 심사방향을 
    정할수도 있습니다.
7. 각자 심사를 진행합니다.
8. 보통 최초심사시(5일) 1-3일정도 문서 검토를 하고 이행 증적 사항을 점검하며 담당자와 인터뷰도 진행을 합니다.
9. 사후심사는 (3일)는 1-2일 오전에 주로 합니다.
10. 심사 후반부에는 실제 샘플조사나 실사를 나가게 됩니다. 주로 전산시스템이나 사무실 공간, 시스템 실사등을 하게 됩니다.
11. 심사 하루전날 정도에는 결함사항을 도출합니다.
12. 실제 피 심사기관 담당자에게 결함 사항에 대한 사항을 어느정도 인식하도록 설명을 해 줍니다.
13. 마지막날에는 종료회의를 하고 결함사항에 대하여 이의 사항이 없는지 회의를 하고 마칩니다.
14. 종료회의가 마치면 심사를 종료하고 피 심사기관은 결함 사항을 30일 내에 조치하고 보고를 해야 합니다.


심사는 대부분 이러한 틀에서 벗어나지 않으며 최초심사는 5일 사후심사는 3일정도 소요하고 있습니다.


심사원의 역할

심사원은 심사원으로서의 품의와 자세를 유지하고 피 심사기관에 감독이나 감사하러 온 것이 아니기에 가능한 정중하고 심사 종료할때까지 흐트러짐이 없어야 겠습니다. 또한 심사원 중에 가장 큰역할은 결함보고서를 잘 적어야 합니다.

결함보고서는 KISA에서 일정한 양식이 있지만 가능하면 깔끔하고 간단 명료하고 구체적으로 작성하는 것이 좋습니다. 아마도 여러번 참여하면서 익혀야 할 스킬중에 하나가 아닌가 하는 생각을 해 봅니다. 또한 결함보고서 작성시에는 결함에 따른 이행 가능한 구체적인 대안 제시도 같이 해주면 좋겠습니다.

심사원의 복장

심사원은 정보보호관리체계 수립에 대한 심사기준에 따라 제대로 계획을 수립하고 이행을 하고 있는지를 심사하는것으로 복장은 가능하면 첫날은 정장으로 하여 예의를 갖추는게 좋겠습니다. 심사하러 가는데 청바지에 간편한 차림은 자칫 심사원으로서의 품위를 떨어뜨릴수 있기에 복장에도 신경을 쓰는 것이 좋겠습니다.

심사원의 자세

심사를 하다보면 심사기준에 대하여 심사원과 실무진과 의견을 달리하는 부분이 있게 마련입니다. 이러한 부분에서 심사원은 언성을 높인다든지 아니면 실무자에게 불쾌감을 주는 행동과 언행은 하지 말아야 합니다. 또한 무조건 자기 주장이 옳은 것 보다는 왜 그렇게 되었는지, 그러면 향후에 조금 더 나은 대응방안과 또한 실제 이행할수 있는 계획인지를 꼼꼼히 살펴보고 중립적인 자세로 심사를 해야 합니다. 다소 마인트 콘트롤이 필요한 부분이기도합니다.



맺으면서.

정보보호관리체계(ISMS) 인증심사에 대하여 간략하게 나마 살펴 보았습니다. 정보보호관리체계를 수립한다는 것은 그리 간단한 일이 아니며, 반드시 신경을 써야 하는 부분이고 이러한 것을 일정한 심사기준에 따라 심사를 한다는 것은 중요한 역할중에 하나입니다. 또한 심사원은 심사원으로서의 자세와 품위를 지키는 것이 중요하며 보안서약서에 서약을 하고 피 심사기관에서 심사하면서 획득한 지식에 대해서는 서약한 내용대로 지켜야 할 것입니다.

또한, 피 심사기관을 관리 감독하러 가는 것이 아니기에 최대한 배려와 ISMS에 대하여 잘 모르는 부분은 권고 또는 대응방안을 알려 주어 추후 ISMS를 더 효율적으로 운영할수 있도록 도와 주는 마음에 자세가 중요하겠습니다. 지금은 ISMS가 의무사항이 아니지만 관리체계를 수립한다는 것은 하나의 완성된 프로세스를 정립하는 것이기에 보다 효율적이고 기업에서 능률적인 프로세스로 발전 정립해 나갔으면 하는 바램을 갖어 봅니다.  @엔시스.



,