반응형
한국정보보호진흥원은 2005년부터 연매출 100억원 이상, 또는 하루 방문자 수가 100만명이 넘는 누리집을 대상으로 1년에 한 차례씩 보안점검을 실시하고 있다. 이때 보안상 취약점이 드러난 업체에 대해서는 정보보호진흥원이 시정권고를 내리고 개선책을 내놓도록 하고 있다. 그러나 2005년 이후 안전점검을 받은 400여 업체들 가운데 시정권고를 받은 곳은 단 두 곳에 불과하다. 연도별 안전점검 대상은 2005년 142곳, 2006년 160곳, 2007년 207곳 등이다. 이 제도는 2003년 중국 해커들의 공격으로 한국에 서버를 둔 누리집이 차단되는 ‘인터넷 대란’이 일어난 뒤 그 대비책으로 도입됐다. - 출처 : 한겨레 2008.04.25
한국정보보호 진흥원은 안전진단을 시행해 오고 있다. 그런데 이것이 그냥 형식에 지나지 않는다는 이야기이다.
정보 보호 ‘안전진단’ 시늉만 - 한겨레 2008.04.25
사실 안전진단 대상 기업은 의무적으로 해야 하니 받긴 받아야 하지만 가능하면 가격이 저렴한 곳을 받으려고 하고, 진단 내용도 서류로 그치는 경우가 다반사이다. 실질적인 정보보호관리체계(isms)에서는 이런 정책서나 지침서등 서류를 강화하고 안전진단에서는 말 그대로
"안전진단"을 조금 자세하게 해야 할 것이다.
그리고 해당 기업은 "안전진단" 점검시에 어차피 의무적으로 싼 곳만 찾아서 형식적으로 하기 보단 정말 우리 싸이트에 어떠한 문제점이 없는지를 정확하게 진단을 받을 권리를 가져야 한다.
안전진단 대상이 되는 업체 자체가 형식적인 행사로 치부 해 버리니 안전진단을 수행하는 업체에 대하는 것도 형식적으로 끝날 가능성이 많다. 안전진단 업체에게 조금 더 비용을 더 주더라도 정말 안전한지에 대한 진단을 정확하게 받는 것이 무엇보다 중요 할 것이다. 옥션도 뚫리는 세상이다... 안전진단 정상적으로 잘 받았다고 안도 하지 말고 , 진정 안전진단에 대한 취지에 부합 하도록 대상업체나 진단 업체 모두 힘을 쏟아야 할 때이다.
반응형
'Security ISMS' 카테고리의 다른 글
| 나는 정보보호 직무중 어떤 일을 하고 있을까? (3) | 2008.07.07 |
|---|---|
| 모의해킹 발주시 체크포인트 (0) | 2008.05.08 |
| 정보보호 관리체계 정책 명세서 (0) | 2008.03.21 |
| 정보보호관리체계 인증 심사기준 397개항목 (0) | 2008.03.19 |
| 정보관리체계에서 가장 중요한 것은? (0) | 2008.03.17 |
