반응형


관련기사: http://www.ddaily.co.kr/news/news_view.php?uid=56449

행정기관용 정보보호관리체계 인증제도인 ‘G-ISMS(가칭)’가 신설돼, 조만간 시행된다.  

행정안전부는 최근 전자정부서비스를 제공하는 행정기관의 지속적인 정보보호수준을 점검·관리하기 위해 정보보호관리체계(ISMS) 인증제도를 운영중인 한국인터넷진흥원(KISA)과 함께 ‘G-ISMS’ 를 만들었다. 이르면 내년부터 전자정부서비스를 제공하는 행정기관을 대상으로 의무화한다는 방침이다.   



민간에서 이루었졌던 KISA ISMS 인증제도가 공공기관까지 적용되게 되었습니다. 이는 바람직한 내용이라 생각을 합니다. 필자가 ISMS 인증심사원 활동을 하면서 느낀 것은 바로 정보보호에 대한 체계가 바로 서 있지 않다라는 것입니다.

정보보호관리체계라는 것은 하나의 프로세스이며 잘 처음 수립하기가 어려워서 그렇지 한번 수립이 되면 그 기준에 따라 잘 이행을 하고 그에 따른 증적 사항을 남겨 놓으면 됩니다.

대부분 이러한 프로세스 정립이 안되어 있다 보니까 일시적인 보안 솔루션 도입에만 그치는 경우가 많습니다. 그리고 정보보호에 대한 대책을 강구 하였다라고 할수 있겠지만 이러한 경우 일정 시간이 지나면 여러가지 문제점들이 발생이 됩니다.

그것은 보안솔루션 도입도 중요하겠지만 실제 그것을 관리하고 운영하는 관리적인 보안이 더 중요할수도 있다는 것입니다. 따라서 꾸준히 관리하고 이행 점검을 해야 하는 것입니다.

이런 일련의 모든 활동을 문서와 절차에 따라 움직이는 프로세스를 정보보호관리체계(ISMS)라 하겠습니다.

우선 내년에 시험적으로 몇군데 하고 나서 의무화 한다는 방침이지만 보안적인 측면에서 보았을땐 아주 중요한 일이라 하겠습니다.


ISMS (정보보호관리체계)는 필자는 이렇게 비유하고 싶습니다.

흐트러지 창고나 방안을 어느날 시간적 여유를 가지고 차분히 앉아서 물건을 정리하면서 어떤것이 나에게 소중하고 어떤것이 버릴것인지를 판단하고 목록을 만들어 잘 정리하여 추후에도 그 목록과 창고에 들어서는 어떻게 돌아가는지를 잘 알수 있는 일련의 활동과 같은 상황이라 생각합니다.


흔히, 보통의 경우 어떠한 것이 우리 조직에 자산으로 잡혀 있는지 또는 어떠한 자산이 위험에 빠졌을때 그 우선순위가 있는지를 대부분 관리를 하지 않고 있습니다.

하지만 이러한 정보보호관리체계를 수립하게 되면 자산에 대한 위험도라든지, 위험평가등을 하여 위험순위가 높은것부터 구분하여 위협으로부터 위험을 감소시키는 대책을 세우는 것입니다. 그리고 KISA ISMS의 경우 15 통제항목에 446개 세부항목을 가지고 있어 주어진 체크리스트에 의하여 관리항목이 통제가 되고 있습니다.

이러한 일련의 정보보호에 대한 체계 수립과 활동이 공공분야 적용이 된다면 담당자는 조금 힘이 들지 몰라도 그 조직에 대한 보안성과 정보보호에 대한 관리는 한결 수훨하고 체계적으로 운영이 될 것입니다.

앞으로 더 활성화 되기를 기대하면서 공공기관 'G-ISMS' 제도가 정착되기를 기대해 봅니다.  @엔시스.


,