정보보호관리체계(ISMS)가 시행된지 10여년이 된다. 하지만 지금까지 권고사항이 지나지 않았기 때문에 그 중요성을 알고 있음에도 불구하고 비용과 인력의 문제로 인하여 준비를 하지 못했지만  앞으로는 의무화가 되기 때문에 많은 관심을 가져야 한다. 필자는 이에  ISMS인증심사와 PIMS 인증심사를 하면서 느꼈던 관리체계의 필요성에 대하여 짚어 보고자 한다.  - 주인백


                                                                <출처: 전자신문 2012.01.17일자>


1. 정보보호관리체계란?

정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도  - 출처: KISA 홈페이지


2. 왜 필요한가?

최근 들어 "왜"라는 단어와 "본질"이라는 단어에 많은 관심을 가지고 있다. 그럼 왜 "관리체계"가 필요한가?에 대한 본질적인 부분을 우리는 고민을 해야 한다. 그 부분을 심사를 하면서 느꼈던 생각을 고려하여 몇가지로 정리 해 보기로 하자.

  • 기업과 조직의 입장
    • 우선 기업이나 조직의 입장에서 관리체계 도입의 필요성은 그냥 단순히 도입하면 좋을것 같으니까 도입하는것이 아닌 뚜렷한 목적이 있어야 한다. KISA가 말하는 목적은 다음과 같다.
      • 정보자산의 안전, 신뢰성 향상
      • 정보보호관리에 대한 인식제고
      • 국제적 신뢰도 향상
      • 정보보호서비스 산업의 활성화
  • 개인적인 입장
    • 괸리체계를 도입하여 실제 사이클대로 움직여 본다면 전체적인 맥락에서 우리 기업에서 우리조직에서 정보를 보호해야 할 자산을 식별 할수 있고, 위험도를 산정하여 중요도를 체크하여 체계적인 관리를 함으로 인하여  갑작스러운 사고나 장애에 대비하여 즉각적인 대응시나리오를 관리 하는 방법을 숙지 할 수 있다.

3.  관리체계에는 어떤 것들이 있는가?

  • 국제적
    • ISO27001 : ISMS에 대한 국제적인 표준으로써 전세계 선진기업이 합의한 좋은 사례를 활용하여 조직이 정보보호 경영을 실행하기 위한 프레임웤을 확인하고 이를 자사에 적용할 수 있게 하는 인증체계를 말한다.
  • 국내적
    • K-ISMS : 방통위와 KISA에서 주관하는 ISMS로 민간에 적용되며 정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조
    • “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조
    • 정보보호관리체계 인증 (제2010-3호) 법적근거를 가지고 있다.

                    ※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있    
                        도 록   하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함

    • G-ISMS : 공공기관에 적용되는 ISMS 제도


4. 연도별 인증서 발급현황

                                                               <출처: 한국인터넷진흥원>


2002년부터 발급을 시작해서 매년마다 점점 많은 수의 인증을 받고 있지만 총 10년에 걸쳐 126건 밖에 되지 않았다는 것은 그동안 얼마나 정보보호에 많은 무관심을 가지고 있는가에 대한 반증이기도 합니다. 그동안 ISMS 인증제도는 법적 의무사항이 아닌 권고 사항이었기 때문에 위와 같은 숫자가 나왔다고 하지만 보안에 대한 이슈는 점점 커지고 있어서 그 역할은 커지리라 생각이 듭니다.


5.  최근 시사점과 향후 방향

  • 정보통신망법 개정
    • 안전진단제도 폐지
      • ‘12년도 안전진단 예비대상자는 370여개 업체로, 전년대비 25.4% 증가

        (‘05) 142개 ➡ (’06) 160개 ➡ (’07) 207개 ➡ (’08) 232개 ➡ (’09) 247개 ➡ (’10) 272개 ➡ (’11) 292개 ➡ (’12) 370여개 예상

        안전진단 대상자가 점점 많아 짐으로 인하여 관리체계에 대한 법적 의무 시행 사업자도 증가할 전망.

  • '13년도 관리체계 의무화
    • 관리체계 의무화
      • 개인정보보호법 시행에서도 느꼈지만 13년도 시행이면 ISMS의 경우에는 올 12년도에 이미 컨설팅이나 사전 준비작업에 들어가야 한다. 그렇지 못할 경우 자체적으로 정책 수립에서부터 끝까지 마무리 작업을 해야 하는 부담을 가진다. 하지만 대부분 초기 관리체계 수립은 컨설팅을 많이 받음으로 한꺼번에 몰릴 가능성이 있다.
      • 또 한가지는 ISMS의 경우 관리체계 수립후 증적 사항을 수집하기 까지 오랜 시간이 걸린다. 컨설팅은 보통 빠르면 2-3개월에서 끝나지만 이에 따른 이행증적 사항은 6개월 정도 관리체계 사이클대로 움직일때 가능하다. 따라서 안전진단 해당 기업은 올해 부터 관심을 가져야 할 것이다.
  • 기업 관리체계 담당 인력 및 보안 컨설팅 인력 수요급증
    • 인력과 예산
      • 정보통신망법 개정으로 인하여 올 7월1일부터 시행이 되고 '13년도에는 ISMS제도가 의무화가 됨에 따라서 안전진단 대상 기업에서는 ISMS 전담 인력을 따로 구성하는 것이 좋다. 또한 초기 컨설팅을 위한 예산 마련도 중요하겠다.  특히 취업을 하지 못한 예비 취업자나 이직자 그리고 컨설팅에 관심이 있는 사람이라면 "관리체계"에 대한 관심도 가져 보는 것이 좋겠다.
      • 또한 이러한 관리쳬계 수립후에 이것을 체크리스트에 따라 인증하는 인증심사원에 대한 인력에 대한 부분도 수요가 늘어 날 것으로 전망된다. 따라서 기존 IT경력과 경험이 있는 그리고 인증 심사 스킬을 보유한 유능한 인증심사원등이 대거 등장하거나 많은 수요가 전망된다.

 

  • KISA의 역할강화
    • 기존 부서 역할증대
      • 지금현재 관리체계에 대한 대부분 업무을 추진 하는 기관은 방통위 산하 '한국인터넷진흥원'에서 추진하고 있다. 이러한 시대적 요구사항에 있어 KISA 해당 부서에 대한 역할 강화가 필요 할 것으로 보인다. 그동안 추진해 왔던 경쟁력과 경험을 바탕으로 하여 보다 더 확대 적용 되기 위한 힘을 실어 주어야 한다.


맺음말

한국에 인터넷이 사용된지 이제 불과 15여년밖에 되지 않았다. 그동안 많은 성장을 이루었고, 대한민국은 그중에서도 IT인프라 강국으로 도약이 되었다. 필자도 초고속 인터넷 사업에 인프라 구축 PM도 하였고, 그 이후 대규모 서버들이 들어있는 집적정보통신시설이 들어 서고 각 통신사 및 이통사 데이터 센터가 건립이 되었다. 이러한 데이터 센터는 이제 각 기업마다 관리 포인트가 늘어남에 따라 자체 데이터센터를 보유하게 되었고, 장애시에 대비하여 복구센터도 갖추게 되었다.

특히 이러한 인프라를 기반으로 성장하는 대한민국에 순기능에 따른 역기능 또한 만만치 않아 잇따른 보안사건사고가 발생을 하고 특히 '11년 작년의 경우에는 금융권에서 대거 개인정보 유출 및 금융 보안 사건사고가 일어나면서 많은 보안이슈가 제기되기도 하였다.

IT보안은 이제 IT융합으로 갈 것이고 산업전반에 걸쳐 보안의 중요성은 점점 커질수 밖에 없다. 또한 최근 SNS와 스마트폰을 이용한 모바일 보안이 이제는 엔드유저단인 '사용자 보안'으로 그 바톤이 넘어가게 되었다.

이러한 보안적 이슈를 잘 해결하고 대응을 하기 위한 가장 기초적인 작업이 '체계적인관리'에는 누구나 공감대가 형성이 되었다. 따라서 국내 정보보호관리체계중에 하나인 ISMS에 대한 중요도가 높아지고 정부는 지금까지 권고사항에 그쳤던 ISMS제도를 법적 의무화와 규제를 함으로 인하여 보안성을 높이려 할 것이다.

이러한 관점에서 보았을때, 이제는 IT보안을 바라보는 시야를 조금 크게 바라 볼 필요가 있고 기업이나 조직의 전체적인 틀(Frame)안에서 기획,설계,수립해 나가야 하는 시기이다.

본 포스팅은 혹시나 ISMS인증심사에 관심이 있는 사람을 대상으로 하여 ISMS,PIMS인증심사를 하면서 느낀점과 향후 대응책에 대하여 알아 보았다.  미래를 보는 눈을 가진 사람이 유능한 사람이다. @엔시스.

Posted by 엔시스



안전진단제도 보완책 나와

일정한 규모의 사업을 하고 매출을 하고 있으면 의무적으로 정보보호안전진단이라는 것을 받아야 했습니다. 그런데 이것이 형식적인 부분이 많고 기간이 거의 다 되어서야 한꺼번에 몰리다 보니 문제점들이 많이 지적이 되었습니다.


또한 안전진단제도는 누구나 모두 진단을 하는것이 아니라 안전진단 업체로 지정된 회사만이 할수 있기 때문에 배야할 업체는 많고 진단하는 업체는 모자라고 해서 실효성 부분이 대두되기 시작하였습니다.

처음에는 8개 업체에서 그다음에 18개 업체로 늘이고 이번에 2개 업체가 더 지정이 되어 20개 업체가 되었습니다...
살펴보면

< 안전진단 수행기관 인정 법인 목록- 총 20개사 >
씨에이에스, 한국전산감리원, 에이쓰리씨큐리티컨설팅, 안진회계법인, 한국통신인터넷기술, 넷시큐어테크놀러지, KT, 안철수연구소, 한국IT감리컨설팅, 씨큐아이닷컴, 롯데정보통신, STG시큐리티, 인젠시큐리티서비스, 인포섹, 인젠, 한영회계법인, 정보보호기술, 이글루시큐리티, KCC시큐리티, 엔코딩패스
 

그런데 안전지단제도가 강화가 된다는 기사가 나왔네요..

[정보보호안전진단②]제도, 올해는 어떻게 바뀌나

특히 안전진단 심사원이 일정한 교육을 받아야 하고 시험에 합격을 해야만 하는게 눈에 띄네요..실질적으로 내실있는 안전진단을 하겠다는 관련기관의 의지인듯 싶네요..




매년 안전진단 받느니 차라리 ISMS 인증심사 받으면 어떨까?

ISMS 인증을 획득한 경우도 당해 연도만 면제하게 돼 있어, 3년의 효력이 있는 ISMS를 받고도 다음해에는 또다시 안전진단을 받아야 했다. 하지만 이번 개정안에서는 당해연도만 면제하게 돼 있었던 것을 인증유효기간인 3년 전부 면제하도록 했다. 또한 주요정보통신기반시설 취약점 분석평가를 받은 경우도 면제가 가능하게끔 면제를 확대했다.

해당 기사에서는 ISMS 인증심사를 받게 되면 지금까지는 당해 연도만 면제 되었는데 ISMS 인증 심사 효력이 있는 3년내내 면제가 되도록 하는군요.

여러가지 측면으로 보았을때 정보보호관리체계(ISMS) 을 수립을 한다면 여러가지로 중복되는 부분에서 제도적으로 면제 받을수 있고 체계적인 수립도 할수있어 앞으로 어느정도 규모를 갖춘 기업들은 그 수효가 늘어 날 것으로 전망이 됩니다.

이러한 사항은 한국정보보호진흥원(KISA) 홈페이지 입찰공고에서도 볼수 있습니다. 지금 안전진단제도 고도화 및 ISMS 인증제도 고도화를 위하여 관련 프로젝트를 입찰공고를 낸 상태이고,  올해 같은 경우도 사후관리제도를 수행할 업체를 제안 받고 있는 것도 같은 맥락으로 볼수 있습니다.

따라서 정보보호에 관심이 있는 사람 및 사업자라면 정보보호관리체계(ISMS)에 관심을 가져야 할 것이고, 이것은 향후 조금 더 정보호호에 롱런을 하고 싶은 사람들에게는 좋은 기회로 작용하겠습니다.

그것은 지금 약간의 예측 시나리오는 적어 보면 다음과 같습니다..

  • 지금 ISMS 인증심사를 받은 기업이 제법됩니다. KISA 홈페이지에 가서 지금까지 인증 받은 업체 배너 링크 갯수만도 약 4-50 업체정도 되죠.
  • 이러한 업체는 사후심사, 갱신심사등을 정기적으로 받아야만 하고, 그런데 각 ISMS 인력 풀을 가동하여 운영하기가 그리 쉽지는 않습니다.
  • 결국 아웃소싱으로 돌릴것이고 해당 업체는 인증심사원을 수배 할 것입니다. 심사원이 부족할시에는 한번이라도 심사에 참여 한 사람이 필요 할 것입니다.
  • 보안의 요구가 더 강해지기 때문에 기업의 신뢰성 차원에서 정보보호관리체계 수립은 반드시 필요하겠습니다. 따라서 그 수요는 더욱 증가 할 것입니다..


기업이 경쟁력 있기 살아 남기 위해서는 여러가지 안전장치가 마련이 되어야 합니다. 그중에서 보안은 이제 필수가 되어버린지 오래이지만 아직도 그 실천은 미흡하기만 합니다.  그런데 이제는 기업이 경쟁하기 위해서는 다른 기업이 하면 내 기업도 해야 하는시대가 도래가 되었습니다.

같은 동종업계에 있으면서 경쟁사가 보안 투자를 하는데 우리 조직과 기업만이 나몰라라 할수는 없는 것입니다. 그런 측면에서 볼때 ISMS 인증은 이젠 기업의 필수 조건이 될 것입니다. @엔시스

Posted by 엔시스







출처: http://itnews.inews24.com/php/news_view.php?g_serial=364518&g_menu=020200


안전진단 대상자 중요 리스트이며, 기사의 논쟁이 된 부분은 정보보호 컨설팅 업체와 안전진단 업체가 동일시 되었을때의 소위 말하는 "짜고 치는 고스톱" 이 아니냐는 문제가 제기 된다는 것이다. 즉, 안전진단을 받았다고 하여도 해킹을 당하는 경우가 있으며 심지어 동일한 업체일수록 권고 사항이 하나도 없다는 내용입니다.

이에 본인의 생각은 아무래도 각자 입장의 차이기 있어 바라보는 시각에 따라 다르겠지만 , 근본적인 문제의 소지를 없어려고 한다고 동일한 업체 보다는 각각 다른 업체를 선정하여 보다 정확한 진단을 받아야 하는게 맞겠다.

최근 한 업체로부터 연락을 받았는데, 업체 역시도 안전진단 자체에 대하여 그냥 형식적인 절차로만 생각을 하고 있었다. 의무적으로 받아야 하니 받는 것이다.

다소 무리가 있더라도 제도적인 부분이 잘 정착이 되어 형식에 지나지 않은 안전진단 제도가 되는 것이 아니라 그 목적과 취지에 맞는 안전진단 제도가 되기를 바랄뿐이다.


Posted by 엔시스

안전진단을 수검 하기 위한 안내 자료입니다..해당 되시는 업체에서는 참고 하시면 좋겠습니다.. 한꺼번에 몰리는 것을 방지 하기 위하여 미리미리 사전에 준비하여 차분히 수검 하면 좋을 듯합니다...



Posted by 엔시스

안전진단의 회계 연도가 12월 31일로 바뀌어 짐에 따라 한꺼번에 안전진단을 받을려고 한다는 기사를 본적이 있다..

기왕하는 안전진단이면 계획을 수립하여 차근차근 준비를 하면 한번 할때 여러가지로 점검도 할수 있는 계기가 되고, 또한 어떤 기준에 의하여 안전진단이 진행 되는지 정도를 더 상세하게 접할수 있을 것이다.

하지만, 급하게 이루어지는 안전진단은 그 목적에 부합하지 않을 수도 있고, 그냥 형식적으로 이루어 질수도 있다. 결국 형식에 치우쳐 돈만 가지고 그 형식을 넘어설려고 하고 해당 안전진단 업체도 형식적으로 할수도 있다..이에 안전진단 표준 업무 절차를 첨부하니 참고 하실 분은  참고 하기 바란다..

Posted by 엔시스