정보보호관리체계(ISMS) 행정기관 의무화는 당연한것

Security ISMS 2009. 9. 8. 11:31

반응형

행정기관 정보보호관리체계(이하 ISMS) 인증 의무화

관련기사: http://www.etnews.co.kr/news/detail.html?&mc=m_014_00003&id=200909070175


7.7 DDoS 공격이후 그래도 많은 변화들이 일어나고 있다. 그중에 하나가 바로 침해사고나 보안 사고가 일어났을때 우왕좌왕하는 체계 잡힌 틀이 없는 경우가 많다.
 
                                           <이미지출처: 한국인터넷진흥원>

조금 늦은감은 있지만 공공기관이 정보보호 관리체계를 의무화 한다는 것은 상당히 고무적인 사항이다. 지금 본 블로거는 한국인터넷진흥원(KISA)에서 ISMS 인증심사원으로 활동하기에 늘 그런 사항이 아쉽게 느껴 졌기 때문이다.

그것은 지금 민간에서는 ISMS 인증이 의무사항이 아닌 권고 사항이었기 때문이다. 실제로 법률로 강제하는 사항이 아닌것이다.

하지만 다양한 사이버 위협이 대두됨에 따라 우선 공공기관부터 ISMS인증을 의무화 시키는 것은 당연한 것이다. 그것은 국민에 대한 서비스가 점점 오프라인이 아닌 사이버로 옮겨지고 있기 때문이다. 한번 사고가 나면 이제는 대형사고가 날수 밖에 없는 것이다.
만약, 증권거래소에 장애가 생기고 컴퓨터에 문제가 생기면 어떻게 하겠는가?

다시말해 ISMS 인증이라는 것은 한 조직이나 기업에 '정보보호에 대한 관리체계'를 수립하는 것으로서 틀을 마련하는것이다.  아무런 체계와 프로세스가 없던 것을 새로운 틀을 마련하는 것이다.


1. ISMS는 어떻게 운영되는가?

현재 ISMS는 한국인터넷진흥원(KISA)에서 일정수의 민간 인증심사원 인력풀을 운영하고 있다. 이러한 인력풀에서 적정한 기준에 따라 심사시에 TFT팀이 구성이 되어 심사를 하게 되고 해체 되는 것이다.


2. 그럼 공공기관은 어떻게 해야 되나?

지금 ISMS 심사기준 15개 통제 항목에 446개 세부통제 항목을 심사할수 있는 공공기관에 인력이 과연 있을지 의문이다. 

또한 공공기관에서 하는 업무를 민간에서 함부로 할수 있는 부분도 아닌것 같기도 하다. 하지만 과연 공공기관에서 그 수많은 기관에 ISMS를 어떻게 수립을 할수 있겠는가?

또 자체적으로 인증을 해주려는 인증심사 인력은 어떻게 구성을 해야 하는가?


3. ISMS 수립은 어떻게 하는가?

대부분 컨설팅 업체에 맡기는 경우가 많이 있다. 자체 수립이 가장 좋은 방법이긴 하나 업무적 부담과 자체수립이 불가한 경우가 많기 때문에 정보보호전문 컨설팅 업체에 의뢰를 하는 것이다. 그런데 공공기관 의무화를 하면 자체 ISMS 인증을 위한 체계 수립을 어떻게 할 것인가?

지금 정보보호 전담 조직과 부서가 없는 곳이 많은데 아마도 행정기관 실무자들은 많은 고민을 않고 있을 것이다.

분명 공공기관 ISMS 인증제도 의무화는 반길일인데 추후 어떻게 대응책을 마련 할 것인지에 대한 상황을 조금 더 지켜 보아야겠다.


4. 정착될때까지는 기존 ISMS 인증심사원이 인증 심사를 해야

컨설팅도 마찬가지로 민간에 의뢰하여 받겠지만 당분간 정착 될때까지는 기존 ISMS 인증 심사원의 인력 풀을 활용 할수 밖에 없다는 생각이 든다. 그렇지 않으면 행정기관에서 ISMS가 뭔지도 모르는 사람들이 있다고 한다면 수립을 하는 문제는 더더욱 어려운 문제이기 때문이다.


결론.

본 블로거가 ISMS인증심사를 참여 해 본 결과 정보보호 관리체계는 반드시 필요한 것이며 너무 거대한 체계수립이라고 생각이 든다면 조금은 가벼운 체계수립을 정부에서 마련을 하여 대기업에 적용하는 부분과 중소기업에서 적용하는 부분을 분리하여 운영하면 예산과 인력이 없은 중소업체에서도 그래도 ㅈ정보보호에 대한 뼈대는 세울수 있지 않을까 생각한다.

한 걸음 더 나아가 공공기관에서 'ISMS' 인증제도를 의무화 한다고 하니 실무자들은 힘이 들고 또 다른 업무로 인하여 어렵겠지만 전체 국가 사회적인 측면으로 보았을땐 상당히 고무적인 일이라 생각을 한다. 그래야만 평소 행정기관에서 놓치고 있던 '정보보호 사각' 지대를 발견 할 수 있다. 실제로 ISMS 인증 심사를 하다보면 그렇게 해서 수정보완되는 경우가 많기 때문이다.

제도적으로 잘 정착이 되어 튼튼한 행정기관의 보안관리에 대한 체계가 하루 빨리 정비가 되고 보안에 대한 문화 인식이 확대 되었으면 하는 바램을 가져 본다. @엔시스.


반응형

'Security ISMS' 카테고리의 다른 글

정보보호관리체계(ISMS) 인증심사는 어떻게 진행될까?  (2) 2009.09.22
정보보호관리체계(ISMS) 인증 전담 인력이 있어야  (0) 2009.09.15
정보보호관리체계(ISMS)인증 심사원 보수교육 후기  (0) 2009.08.29
ISO 27000 표준 시리즈 (ISMS)  (6) 2009.06.09
정보보호관리체계(ISMS), 모범 사례집  (0) 2009.04.29
,

[칼럼-94] 정보보호 기술자 노임단가 기준없어 억울

Lecture&Column 2009. 9. 2. 17:00

반응형

최근 보안에 대한 이슈가 대두되면서 '정보보호'와 '보안'에 많은 관심들을 가지고 있다. 또한 인터넷의 편리한 기능이 있는 반면에 역기능도 대두 됨에 따라 자연히 인터넷의 편리성 보다는 역기능이 더 부각되어 보여 지는 경우가 있다.

그것은 직접적으로 피해가 오기 때문이다. 이러한 정보보호에 대한 기술자, 또는 보안을 업으로 하여 먹고 사는 사람들이 일을 하면 일에 대한 산정 기준이 있어야 하지만 아직까지 가야할 길이 멀기만 하다.


관련 기사 :

푸대접에 우는 보안전문가들


이렇듯 늘 일이 터질때마다 인력 양성하고 대책 마련을 하라고 하지만 아직까지 보안에 대한 인식조차 많지 않은 상황에서 어느정도 대우를 해 주는 분위기와 환경을 조성해 주는 것이 시급 하다.

일을 하고 있으면서 보안관리자라고 하면 '놀고 있는 사람' 정도로 치부해서는 안되는 것이다. 정말 아무것도 잘 모르는 사람은 그렇게 말하고 있다고 하는 소리를 들은 적도 있다. 그렇게 말한 사람은 너무 무지에서 오는 오해이다.


정보보호전문 기술자 임금 기준 마련되어야


보안전문가는 아무나 할 수 있는 것이 아니다. 무슨 일이든 마찬가지이겠지만 전문가에 대한 분야는 전문가가 가는 것이 맞는 것이다.

그렇다라고 한다면 일률적인 잣대로 소프트웨어 인력 임금 단가로 매겨지는 것이 아닌 '정보보호 전문 기술자'로서  임금 기준을 산정하는 기준안 마련이 되어야 한다.                             

이제는 보안을 무시해서는 어떠한 비지니스 사업도 할 수 없다. CEO의 보안마인드부터 바꾸어야 하는 시대에 도래 한 것이다.

이런고로 실무에 있는 보안담당자는 열정하나로 열심히 노력을 하여도 실제 공공이나 기타 프로젝트에 투입이 되어도 적절한 임금 노임단가를 받을 수 없다면 기업입장에선 아무래도 수익을 많이 창출하는 인력 관리에 신경을 쓸 것이다. 보안인력은 뒷전에 둘수도 있다.

적정한 노임단가가 마련이 되어 고생하는 만큼의 댓가를 받을수 있는 분위기와 자정 노력이 있어야 한다. 그렇지 않고서는 훌륭한 '보안전문가'의 양성은 남의 이야기요..그져 해커라고 하면 남에 서버나 침투하는 왜곡된 시각으로 바라보는 것 이상의 그 무엇도 도움이 되는 것이 없다.  @엔시스.

반응형

'Lecture&Column' 카테고리의 다른 글

[기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수  (3) 2009.09.16
[칼럼-95] 사이버 보안관 3000명 양성에 대한 제언  (8) 2009.09.14
[강연-7] 행안부 개인정보보호 순회 교육 강연  (0) 2009.08.31
[칼럼-93] 국가공인 정보보호자격증 SIS, 체계적인 관리 허술해  (6) 2009.08.14
[기고-3] 좀비 된 뒤 울지 말고 준비된 PC로  (4) 2009.08.05
,

티스토리툴바