반응형

2010년 정보보호관리체계(ISMS) 인증 모범 사례집이 나왔네요. 지난 연말에 준비했던 것인데 지금 접하게 되었네요. 얼마전 언론 기사에서도 국내 ISMS 인증 심사제도를 확대 하겠다라는 부분이 있었다.

관련 포스팅

2010/04/28 - [Security ISMS] - 방통위, ISMS 인증 확대 위한 활성화 방안 본격 추진

본인도 몇번 참석 하지는 않았지만 누구보다 국내 ISMS 인증심사에 대한 정착을 위한 노력과 많은 분들이 관심을 가지고 노력을 하였으면 하는 바램을 가지는 사람중에 하나이다.

이번 모범 사례집에는 지금까지 ISMS인증심사로 참여 하면서 느꼈던 제3자의 시각으로 글을 한번 적어 보았습니다.





성격 급하신 분들을 위하여 웹에 간략히 정리 해 보면 

ISMS 인증심사를 효율적으로 하려면 
  • 인증 심사원 측면
    • 다양한 인력풀을 이용한 심사원 품질제고 - 다양한 인력풀을 이용한 보다 체계적이고 품질 높은 인증을 노력을 하여야 한다.
    • 심사원의 품위와 자질 향상 - 인증심사원의 품읭하 자질 향상에 노력을 해야 하고, 무리한 심사나 인증심사기관의 담당자로 하여금 불쾌감을 주는 일은 없어야 한다. 또한 15개 도메인과 446개 세부통제 항목을 잘 이해하고 있어야 한다.
    • 인증심사원의 신청기관에 대한 사전이해노력 필요 - 사전에 인증심사를 받고자 하는 기관에 심사원이 웹사이트등 사전 방문을 통하여 조금 이해하고 심사에 임하면 조직을 이해하는데 도움이 될 것이다.
  • 인증심사 신청기관측면
    • 철저한 사전준비로 심사에 임해야 - 인증심사에 철저하게 대비하여 대외적인 이미지에 영향을 끼치는 문제임으로 소홀함이 없어야 한다.
    • 12개월중 1개월만 보안하는 조직이 되어선 안돼 - 보통 최초심사는 5일 사후심사는 3일인데 심사를 전후하여 준비기간에만 반짝 준비하고 , 1달만 준비하는 관리체계가 되어선 안된다. 정보보호는 1년 365일 지속적인 라이프사이클을 가지고 해야 된다.

 

ISMS 인증심사로 기업 보안문화 정착

  • 경영자 (CEO)의지가 무엇보다 중요 - 반복적인 이야기 같지만 심사를 나가보면 이러한 문제를 호소하는 담당자들이 제법 있다. 무엇보다 CEO의 보안에 대한 의지가 중요하다.
  • 전 임.직원의 보안 생활화 - 보안이 불편한 것이 아닌 위험 수용을 위한 투자라고 생각하고 조직내에서 보안이 하나의 문화(文化)로 자리 잡아야 한다.
이러한 내용으로 기고를 하였습니다. 참고로 세부적인 내용은 첨부파일을 함께 첨부 하오니 자세한 내용은 첨부파일을 다운로드하여 구독해 보시면 ISMS에 관심 있는 분들은 많은 도움을 얻어 가실수 있을 것입니다.


 

,