반응형
ISMS 인증심사를 나가보면 보통 자신의 업무는 하고 있고 ISMS 인증심사를 위한 업무를 따로 하는 경우가 비일비재 하다.
ISMS전담인력 있어야
사실, ISMS 인증 업무만 하기에도 제대로된 ISMS운영을 위해서는 담당자가 1년을 주기로 하여 혼자 운영하면서 책임자에게 보고 하면서 준비를 하는것이 좋다.
하지만 현실은 ISMS 인증심사를 받기위하여 준비하는 것부터 기본적인 본인업무까지 하여 보통 많은 업무 부하가 걸리는 것을 인터뷰를 해 보면 많이 느낄수 있다.
물론, 대기업처럼 인력이 조직화되어 있고, 예산이 넉넉하다면 좋겠지만 대부분 기업들이 ISMS 정보보호관리체계를 수립후에 운영하는 것 조차 힘든 경우가 많이 있다.
처음엔 컨설팅 회사에 많이 의존을 하지만 인터뷰를 해 보면 사후심사때에는 그래도 부족하지만 최초심사때 보다는 조금은 무언가를 알수 있다고 하는 경우가 많다. 이렇듯 하나씩 알아가는데 시간과 노력이 필요하다.
ISMS 인력양성 키워야
정보보호관리체계 수립을 하게 되면 우선 아무런 기준없이 조직의 정보보호에 대한 기획과 예산을 하던 것을 자산의 분류와 위험도를 평가하여 취약성 점검을 하고 위험분석을 하여 정보보호체계를 수립하는 것이다.
이것은 그 조직을 잘 알고 있어야 하고 초기에는 외부 컨설팅 회사의 도움으로 진행 할수 있지만 그 이후에는 조직 담당자가 스스로 운영해야 하는데 현실은 그렇지 못한 경우가 많다.
따라서 가능하면 정부나 관련기관에서 ISMS 전담 인력을 양성 할수 있는 교육의 기회를 확대하는 것이 좋겠다. 그렇지 않고서는 제도 운영을 위한 운영이되어 그 효울성은 떨어질 가능성이 있다.
ISMS 인증 업체 담당자 정보공유
정보보호 관리체계를 통과한 업체 담당자들과 네트워크화 하여 정보공유 및 사례를 발굴하고 세미나등 의견을 공유 할수 있는 기회가 많이 마련이 되어야 할 것이다. 잠깐 면피를 하기 위하여 운영하는 제도가 아니기 때문이다. 국내 KISA ISMS 인증심사를 받는 곳은 모두 72곳이 된다. ISMS 인증 심사를 해 보면 정보보호관리체계 수립은 일종의 프로세스 정립이고 그 기준에 따라 얼마나 이행을 하였는가를 확인 하는 자리이다.
반응형
'Security ISMS' 카테고리의 다른 글
| 공공기관 정보보호관리체계 (G-ISMS) 의무화 (2) | 2009.11.18 |
|---|---|
| 정보보호관리체계(ISMS) 인증심사는 어떻게 진행될까? (2) | 2009.09.22 |
| 정보보호관리체계(ISMS) 행정기관 의무화는 당연한것 (2) | 2009.09.08 |
| 정보보호관리체계(ISMS)인증 심사원 보수교육 후기 (0) | 2009.08.29 |
| ISO 27000 표준 시리즈 (ISMS) (6) | 2009.06.09 |
