반응형

내년 2010 년에는 전자정부 정보보호관리체계를 의무화 한다는 기사가 있었습니다.  본격적인 작업에 돌입이 되지 않나 싶네요.

정보보호관리체계에 관심이 있는 분들은 한번씩 참고 해 보시구요. 또한 공공조직에서 보안담당자들은 반드시 한번씩 일독 하기를 권해드립니다.



세부적으로 하나씩 읽어보니 기존에 ISMS와 유사한 느낌이 나는데 얼마나 효과가 있을지에 대해서는 한번 지켜봐야 겠습니다.

제가 늘 말했듯이 보안과 편리성과는 trade-off 관계에 있습니다. 따라서 정보보호관리체계를 귀찮은 일로 생각하시면 오산입니다. 어쩌면 제대로 된 관리체계를 수립해 놓고 제대로만 운영을 하면 더 수훨하게 관리 할수도 있습니다.

저는 관리체계를 보통 "집안 대청소"에 비유을 합니다.

어느날 아이들이 장난감과 교구 그리고 방을 완전 쓰레기 장으로 만들어 놓았습니다.  그럴때 아버지는 아이들을 데리고 책은 책꽂이에 장난감은 장난감 통에 그리고 옷을 옷걸이에 차곡차곡 정리를 합니다.

그러다가 쓸모 없는 물건이나 옷들이 있으면 쓰레기나 재활용에 버립니다. 그렇게 아이들과 같이 집안 대청소를 하고 나면 한결 잘 정리가 되고 물건이 있어야 할 자리에 있으면 그 다음부터는 관리 하기도 쉽습니다.

마찬가지로 정보보호(보안)도 기존에는 아주 주먹구구식으로 운영이 되어 왔습니다. 예를들면 화면보호기를 몇분동안 지정을 해야 하는지 패스워드는 몇자리로 해야 하는지, 정말 정보를 보호해야 할 자산은 무엇인지. 무엇이중요하고 무엇이 중요하지 않은지에 대한 기준과  규칙이 없었다는거죠..

그러한 규칙을 하나하나씩 인증심사 기준에 맞추어 체계적으로 수립해 나갈때 커다란 하나의 틀 안에서 관리를 하게 되니까 잘 고관리가 될수 있는 것입니다.

아마도 이러한 측면에서 공공기관부터 정보보호에 대한 관리 틀을 다시 한번 수립해야 하지 않는가 하는 점에서 의무화는 당연하다고 생각합니다. 실제 인증 심사를 받기위한 관리체계라기 보다 정말 조직의 정보를 보호 한다는 차원에서 접근하면 그 의미도 남다르지 않을까 생각합니다. 정보보호, 보안관리자 여러분 화이팅 하시기 바랍니다. @엔시스.



,