정보보호관리체계 인증 심사 다녀 왔습니다.

최근 며칠간 블로그에 신경을 잘 못 쓰게 되었네요..그건 며칠간 정보보호 관리체계 인증 심사를 하러 갔다가 왔습니다. 지금까지 남아 있던 연차를 이용하여 다녀 왔습니다...

덕분에 많은 것을 느꼈고, 많은 것을 배웠습니다..인증 심사는 A기업으로(이니셜과 상관 없음) 상당히 조직적으로 잘 되어 있었고 심사하는 사람들은 정해진 표준에 의하여 현재 그 표준대로 계획하고 실현하고 이행하고 있는지를 살펴 보는 것이기에 부담 없이 진행 하려고 했던거 같습니다.

하지만 심사 받는 사람들은 어디 그런가요?  하나라도 덜 지적을 받으려고 애쓰게 되는게 당연하게 됩니다..심사를 하는 입장이었지만 반대로 원래 자신의 업무로 돌아 오면 우리는 어떻게 해야 할지에 대한 타산지석의 기회로도 느꼈습니다.,


정보보호 관리체계 인증심사 (ISMS)

여기서 정보보호관리체계(이하 ISMS)에 대하여 말씀을 드리겠습니다. ISMS는  기업의 민감한 정보를 안전하게 보존할수 있도록하는 체계적 경영시스템이라 보시면 됩니다..따라서 ISMS 인증 심사를 통과 하였다고 한다면 일단 대외적인 이미지 제고를 할수 있습니다..

아무런 정보보호에 대한 체계적인 수립이 되어 있지 않은 것과 체계적인 수립이 되어 이행되고 있는 것과는 상당한 차이점이 있기 때문입니다..일정한 규모를 갖춘 기업이라면 한번쯤 관리체계가 수립되어야 할 것입니다...그중에 KISA에서 진행하고 있는 ISMS에 관심을 갖어 보시는게 좋을 듯합니다.


ISMS 인증심사를 하면 좋은 점

우선 우리가 정보보호 하면 보호 해야 할 자산에 대하여 구분하는게 상당히 중요합니다..따라서 ISMS 인증 심사를 준비하면 그런 정보 자산에 대한 분류를 할수 있습니다..정보 자산에 대한 분류가 되어 있지 않으면 우리는 무엇을 보호 해야 하고 무엇을 보호하지 말아야 하는 것을 알수가 없게 되는 것이죠..

그렇기 떄문에 체계적인 정보보호 관리체계 수립이야 말로 진정한 뼈대를 만드는 작업이라 하겠습니다.  한번 만들기 힘들어 그렇기 만들어 놓기만 하면 개정 해 나가면서 기업에 맞게 수정 보완해 나갈수 있습니다..

그리고 관리의 체계적인 수립은 업무 수행시에 그 지침과 절차에 따라 하면 되기 때문에 상당히 편리 합니다..그리고 우왕좌왕 하지 않게 됩니다..

간단하게 예를 하나 든다면 [보안시스템 운영지침[ 있다고 한다면 보안시스템 운영지침에 따른 각종 용어의 정의와 어떤 정책을 어떻게 운영할 것인지에 대한 지침에 명시가 되어 있다고 한다면 확실히 체계적인 관리가 될수 있겠죠..

그런다면 그 증적자료를 잘 관리하고 있다가 신뢰할수 있는 외부 인증기관에 인증을 받는다면 기업에 대한 대외적인 이미지 제고는 물론 내부적인 통제에도 상당한 도움이 될수 있습니다..물론 이런 부분에 있어서 타 부서와 경영진에 대한 협조는 반드시 있어야 하고 노력을 많이 해야 하는 부분이긴 합니다.,왜냐하면 보안하면 사실 불편한 부분이 많기 때문입니다.


정보보호하면 자칫 기술적 부분만 생각하기 쉬워.

ISMS 인증심사를 하면서 느꼈던 제일 큰 것은 정보보호 하면 흔히 "기술적 보호"를 많이 생각하게 되는데 사실 그게 맞을수 있습니다. 하지만 그런 기술적 부분보다도 더 큰 관리적인 부분이 체계적으로 수립이 되어야 한다는 것을 더 절실하게 느낄수 있는 계기가 되었습니다.

그건 얼마나 계획을 잘 수립하여 이행하고 있는지에 대한 반증이기도 합니다..아무리 훌륭한 기술적 보호를 위한 솔루션이 도입이 되어 있다고 하여도 그져 주먹구구식의 시스템 도입은 다음은 위한 체계적인 관리가 되지를 않습니다.

따라서 지침과 절차에 따라 도입을 하고 관리를 하고 그대로 증적자료를 남기면 이행하는 것이 더 중요 하다고 하겠습니다..비록 준비하시는 분들은 많은 애로사항이 있었겠지만 제 3자의 객관적 시각으로 본 여러가지 지적 사항에 대하여 수용을 하고 더 나은 관리체계를 위하여 수정 보완하려는 모습을 보았습니다..

또한 어떠한 부분에 대하여 인증심사원의 다양한 경험을 통하여 서로 컨설팅 해 주는 관점으로 접근하기 때문에 지적 받는 부분에 대하여 민감한 반응을 보이기 보단 열린 마음으로 다음에 일어날 보안에 대한 위협의 조언이라 생각하고 적극적인 자세로 임하는게 좋습니다.

표준이 여러 기업의 사용환경에 따라 딱 들어 맞는것은 아니지만 인증 심사원의 재량으로 다양한 노하우와 경험을 토대로 해당 담당 직원의 인터뷰를 통하여 업무의 적절성을 이해하면서 충분히 공감이 갈수 있도록 같이 고민하고 조언하는 인증심사원의 자세도 상당히 중요합니다..

왜냐하면 인증심사원은 해당 기업의 상위 감독기관도 아니고 그렇다고 감사기관도 아니기에 자칫 오해의 소지가 있어 여러가지 어려운 상황을 가져올수 있기 때문입니다..

그런 의미에서 본다면 자신의 업무에서 다양한 경험과 또 많은 인증심사로 인하여 다양한 경험을 녹여 해당 기업에 컨설팅을 해 주는게 무엇보다 중요하겠습니다..지적사항 발견 보다 같이 공감하고 조치를 취하고 정보보호 관리체계대로 이행하는게 무엇보다 중요하기 때문입니다.


정보보호관리체계(ISMS) 인증심사를 하면서 느낀점

이번 인증심사를 계기고 반드시 ISMS는 필요한 것이며, 일반 기업에서 아무것도 없는 상황에서 그냥 주먹구구식으로 남이 하니까 하는 시스템 도입에서부터 그져 형식적인 문서관리까지 한번쯤 고민해 보아야 할 사항이라고 느꼈습니다..

중소기업의 경우 조직이 잘 갖추어진 대기업에 비해 많이 열악하지만 규모가 조금 작은 관리체계라도 하나 만들어 중소기업에 특화된 관리체계를 만들어 보는것도 좋다고 생각을 했습니다..사실 큰 관리체계를 전부 중소기업에 적용한다는 것도 무리가 있기 때문입니다...

향후에 ISMS 인증에 대하여 관심이 있으신 분들은 한번쯤 관심을 가지고 공부를 해 보시는 것도 좋겠다는 생각을 해 보았습니다.혹시 같이 연구 해 보실 분들은 댓글 달아 주시기 바랍니다..