정보관리체계에서 가장 중요한 것은?

형식적인 정보보호 괸리체계는 필요없어

우리가 정보보호 관리체계(ISMS)를 세우려면 여러가지 다양한 고민을 하게 됩니다. 그러면서 과연 이 정보보호관리체계를 왜 해야 하는지에 대하여 진지하게 더 고민을 해야 합니다.

그것은 무엇보다 자산에 대한 정의(Define)일 것입니다. 즉, 정보의 가치를 어떻게 산정을 하여 자산으로 분류하는가 일 것입니다. 무엇이 우리 조직에 중요한 자산이고 그 가치는 어떻게 산정을 하여 어떤 분류로 인하여 자산의 등급을 분류 할 것인가 입니다.

"정보를 수치화 하지 못하면 관리할 필요성도 없다" 이런 문구를 본적이 있습니다. 정말 가슴에 와 닿는 문구였습니다. 늘상 업무라는 것은 수치와 하기 어렵고 눈에 보이지 않는 자산은 더욱 수치화 하기 어렵습니다. 하지만 수치화가 되어야 관리가 된다는 사실입니다.


만약 정보보호관리체계를 준비한다면

왜 그럼 정보보호 관리체계가 도움이 될까요?  그건 바로 위에서 이야기한 부분들은 진지하게 고민을 한다는 것입니다. 한번도 자신의 조직에 자산이 무엇이고 어떻게 중요한 것인지를 분류를 해 본적이 없고 수치화가 안되어 정보의 가치를 알수 없었다는 것입니다.  만약 여러분들이 조직의 정보 가치를 파악하기 어렵다면 우선 개인의 정보 가치를 찾는 연습을 하면 도움이 되실겁니다.

자신에게 가장 중요한 개인적 자산을 무엇이며 그 정보를 지키기 위하여 나는 얼마만큼의 비용이 지불되는지 아니면 아예 관리가 안되는지..본인이 생각하는 그 정보의 가치는 100원인데 그것을 지키기 위한 비용은 150원이라면 그 정보는 지킬 가치가 없는 것이겠죠. 그렇게 나열된 정보를 가치를 기준으로 하여 여러가지 등급을 만들어 분류를 하는 것입니다. 1등급,2등급,대외비,등등.. 그런 작업을 하다보면 어느새 자신의 정보 가치중에 가장 중요한 것이 무엇이고 어디에 가장 많은 비용을 투입해야 하는지를 알게 될 것입니다.


언제나 규칙과 규정은 문서화

이렇게 우리는 연습장에 적듯이 적어 놓으면 안되겠죠..규칙과 규정은 늘 문서화 시켜야 합니다. 그렇게 해서 하나씩 준비를 해 나가는 과정입니다. 요즘은 paperless 를 주장하시는 분들도 있습니다. 그냥 컴퓨터나 파일 저장소에 저장 해 놓을려고 합니다.  하지만 아직까지는 문서화 해야 합니다. 출력을 해서 분류별로 구비를 하고 내가 필요할떄 언제든지 찾아서 참고 할수 있는 곳에 비치를 해야 하고 중요한 문건이면 시건 장치를 해서 관리를 해야 합니다. 국회의원분들이 감사할때 할일이 없어서 그 무거운 문서 보따리 들고 다니면서 감사하는 이유가 있겠지요. 경찰에서 사건하나 터지면 문서 꾸러미 꾸러미 만들어서 검찰에 넘기지요. 아직까지 우리나라는 paperless 하기엔 이르지 않나 하는 생각도 해 봅니다. 그건 보고체계 때문이 아닐까 싶네요..개인적인 생각에 ..


자칫 물리적 보안을 소홀히 할수도

정보보호관리체계는 주로 문서화 작업과 문서상 결함이 있는지의 의존도가 높습니다. 실사를 하기도 하지만 중요한것은 어느 수준의 관리체계가 수립이 되어 있는지를 문서로 판단하기 때문이죠. 그러다 보면 자칫 물리적 보안에 소홀히 할수도 있습니다. 그건 우리집 대문을 우리집 현관문을 잘 잠그고 관리하는 것과 같은 이치이겠지요...소화기는 제 위치에 배치가 되어 있는지., 제한구역과 통제구역에 출입자 관리는 제대로 되어 있는지..경비실 출입시 제제조치는 제대로 되는지등은 물리적 보안에 대한 가장 기본적인 형태입니다. 이러한 물리적 보안만 제대로 되어 있다고 해도 정보보호에 대한 임의적 유출은 방지 할수 있겠지요. 어떤 기사를 보니까 이제 USB는 물론이고 노트북 반출입까지 관리를 한다고 하니 누가 정보 유출을 생각하겠습니까?  정보유출은 허술하고 관리가 소홀한 부분에서 일어 난다는 사실을 항상 명심하셔야 합니다.