반응형

오늘은 우연히 체크,체크리스트라는 책의 서평을 검색하면서 읽다가 '정보보호관리체계(ISMS)와 같은 유사성이 있어 ISMS의 관점에서 한번 포스팅 해보려고 합니다. -편집자 주



정보보호관리체계(ISMS)가 최근 주목을 받고 있습니다. 그것은 전자정부에 관리체계인 (G-ISMS)나 개인정보보호관리체계인(PIMS)의 모태가 되는 제도이기 때문입니다. 물론 그 안에 들어 있는 사상이나 방향은 조금씩 다르지만 지금까지 제도운영에 대한 노하우가 가장 많이 있기 때문입니다.

2002년부터 시행된 ISMS 인증제도는 앞으로 더 확대 되어야 하고 지금처럼 권고사항이 아닌 이젠 의무사항으로 되어 법제화가 되어야 할 것으로 생각이 듭니다. 물론 가야할 길은 많이 있겠지만 말이죠.

                                                                          <위키피디아의 ISMS 내용>

정보보호관리체계라는 것은 아무것도 없는 보이지 않은 조직과 기업의 보안에 틀을 제공하고 문서화하고 조직에 자산을 식별을 하여 위험도를 산정하여 위험도가 높은 것부터 보호조치를 취하는 아주 지극히 반드시 해야 하는 작업중에 하나입니다
하지만 현실적으로 쉽지 않은 부분들이 있고, 특정 위험평가부분에서는 어려운 부분도 있기때문에 스스로 해결하기보다는 외부에 도움을 받으려는 경우가 많습니다.

처음 기둥을 세울때에는 어쩔수 없다고 하더라도 최초심사이후, 사후관리, 갱신심사에서 그나마 조금씩 알아가는 담당자들을 보고 있을때면 심사 위원들로서는 조금은 보안이 강화되어 가는 느낌이 듭니다. 하지만 아직도 일선에서는 여러가지 애로사항들이 많이 있습니다.

최근 KISA ISMS 인증심사원 교육 자료에 따르면 2010년5월 기준 76개 업체가 인증심사를 통과 하였다고 되어 있습니다. 이제는 정보보호관리체계라는 하나의 또 다른 키워드와 시장이 형성이 되는 시점일 수도 있습니다. 이런 시점에서 인증심사원과 해당 조직에 ISMS 담당자들이 서로 정보를 공유하고 함께 나누어 갈수 있는 기회의 마련이 중요하겠습니다.

최근 인증기관인 KISA 홈페이지에는 세미나 또는 교육이후 다양한 자료를 공개 배포함으로 인하여 좋은 자료를 쉽게 접할수도 있게 된것도 고무적인 현상입니다.


ISMS의 핵심은 바로 체크리스트와 이행증적

정보보호관리체계(ISMS)와 맥을 같이 하는 책이 있어 소개하고자 합니다, 아직 저도 책을 읽어 보지는 않았지만 우연한 기회에 서평을 보게 되었고, 조만간 책을 한번 구입해서 읽어 볼 생각입니다., 그것은 바로 체크리스트라는 것입니다.

관련포스팅

습관화된 체크리스트가 성과를 낳는다.
체크체크리스트
위키피디아의 ISMS http://en.wikipedia.org/wiki/Information_security_management_system


조직에서 정보보호에 대한 보호조치나 대책 마련을 만들기 위해서는 어떠한 이유로 어떠한 사유로 어떠한 규정에 의하여 하여야 하는지에 대한 근거가 마련이 되어 있어야 합니다. 그렇지 않을 경우 왜 정보자산의 위험에 대한 보호조치에 투자가 되었는지를 설명할수 없기 때문입니다. 이러한 것은 바로 15개 도메인의 446개 세부통제항목을 가지고 있는 ISMS 체크리스트 가 적합 할 것입니다.


정보보호관리체계(ISMS)도 이제는 경영에 반영될수 있는 거버넌스로


인증심사를 다니다보면 '자산위험평가'를 한 '위험평가보고서'를  접하게 됩니다. 이러한 위험 평가보고서는 말 그대로 자산 목록에 대한 위험도를 산정하여 어떠한 자산이 위험에 우선순위에 있는지를 나타내주는 일종의 보고서라고 보시면 되겠습니다.

하지만 , 한가지 아쉬운 점이 있습니다. 그것은 바로 '경영진을 위한 위험평가보고서'가 없다는 것입니다. 지금 컨설팅업체에서 주는 위험평가 보고서는 실무진을 위한 평가보고서이지 경영진을 위한 것은 아니라는 이야기입니다. 여러가지 자산목록에 대하여 각종 위험도와 그래프 , 그리고 빽빽하게 적힌 4-50장 정도의 평가보고서를 읽고도 경영진은 도대체 어떠한 내용으로 무엇이 위험하고 왜 위험한지에 대한 1-2장짜리 보고서가 필요한 것입니다.

물론 이러한 부분은 컨설팅업체보다는 각 조직에 있는 ISMS 를 담당하는 부서에서 가공하여 경영진에게 보고 할수 있는 보고서를 만들면 금상첨화 일 것입니다. 하지만 지금 대부분 ISMS는 최초심사는 물론이고 사후관리까지 외부에 컨설팅을 받아야 하는시점이고, 스스로 위험평가를 어떻게 왜..그리고 무엇인지를 정확히 파악하고 있는 실무진도 드물다는 이야기겠지요.


1-2장짜리 경영진 눈높이의 위험평가보고서가 필요

이러한 '위험평가보고서'에서 1-2장짜리 경영진에 보고할수 있는 경영진의 눈높이로 보고서가 작성이 되어 경영진이 위험도가 높은 자산을 보호조치를 함으로 인하여 경영에 도움이 될수 있다는 사실을 구두로, 또는 어려운 평가보고서로 하는것이 아닌 평가보고서를 근간으로 하는 외부 심사를 받았는데 이러한 위험이 도출이 되고 향후 보호조치를 취하지 않았을때에는 경영에 막대한 피해를 입힐수 있다는 사실을 인지시켜야 하는 것이 해당 담당자의 몫이고 인증심사원들이 심사시에 조금 더 힘을 실어 줄수 있는 기회일 듯합니다.


맺음말

앞으로 ISMS 인증심사를 신청하는 조직은 점점 늘어 날 가능성이 있고, 또한 그 필요성이 대두가 되고 있기에 기존에 먼저 ISMS 인증심사를 통과한 조직에서는 이제 막 시작하려는 유사 조직에 시행착오나 ,격려, 그리고 개선점을 함께 공유하는 자세가 필요하고 개선점을 같이 도출하는 것이 바람직하여 시간이 흐를수록 더욱 건실한 제도운영이 되어야 할 것입니다.

무엇이든 스스로 통제하고 접근제어하기란 쉽지 않습니다. 어떠한 기준에 의거하여 만들어 놓은 것이 그 조직에 프로세스화 하고 체계화하여 추후 고도화에 접근을 하게 되는 것입니다. 처음엔 무엇이든 모두 어렵다고들 느낍니다. 하지만 어려운 것은 익숙하지 않아 그런것이지 무엇이든 익숙해지면 그 어려움은 사라질 것이라 생각합니다. 전문가, 즉 정보보호전문가의 길로 간다는 것은 바로 '관심'에서 출발 한다고 생각합니다.      첫번째로 관심이 없으면 출발조차 할수가 없겠지요.

인증심사원은 인증심사만 끝나면 일로써 잊어버리는 것이 아니라 주어진 하나하나 인증심사를 함으로 인하여 어떠한 경험이 되었고, 어떻게 하면 더 보안성을 강화 할수 있는 방법이 있는지를 고민하여 추후 또다른 심사시에 어려움을 겪고 있는 분들에게 좋은 조언이 될수 있고 참고가 될수 있는 새로운 지식을 주어야 하는 것이 인증심사원으로서 자질이라 생각이 듭니다.  또한 인증심사원으로서 갖추어야 할 자질과 품격 그리고 여러가지 결함보고서 작성능력이며, 심사가 원활히 이루어질수 있도록 협조하는것도 하나의 덕목이라 생각이 듭니다. 15개 ISMS 체크리스트를 근간으로 하여 해당 조직에 심사를 하는것이지 지도나 감사를 하는 것이 아니라는 생각을 가지고 늘 겸손하고 품격있는 자세로 심사를 하는 횟수가 거듭됨으로 인하여 더욱 성장 해 나가야 할 것입니다. 이러한 인증심사원들이 많이 양성이 되어 대한민국 정보보호에 대한 체계를 점점 잡아 갈때 보안은 한단계 업그레이드 될 것이라 생각이 됩니다. @엔시스.


,