'엔시스.'에 해당되는 글 2건

  1. 2011.01.27 PIMS와 ISMS인증심사시 인증심사 관점
  2. 2010.02.21 KISA에서 학술지를 창간하는군요

관리체계를 수립하고 최종 KISA에서 인증하는 인증심사를 통과를 해야만 인증서가 발급이 됩니다. 제3자의 외부 전문가의 객관적 시각을 통하여 점검을 해 보는 것이죠.




인증 심사에서 주로 심사하는 관점은 3가지로 정리가 될 수 있습니다.

  • 관리과정의 적절성 - 관리과정의 전반적인 적절성과 체계성을 심사.
  • 위험관리 - 위험관리를 통하여 선택된 정보보호대책들이 정확히 구현 되고 사후 관리가 되었는지를 심사.
  • 법의 준거성 - 관리체계 수립시 관련 법률과 제도에 근거한 법의 준거성 측면에서 심사.


아마도 이러한 3가지 측면에서 인증심사를 진행 하게 됩니다. 특히 관리체계의 적적성이란 전문가들 사이에 의견도 달라지고 환경 변화에 따라 변할수 있기 때문에 , 관리체계를 위한 적절한 조직,절차, 방법들이 사용되고 이들이 체계적으로 관리되는지를 보는 것이죠.

따라서, 인증심사시 허점을 찾아내기 보다 전체적인 틀과 운영상태를 중요하게 심사하게 되고, 단기적, 중기적 , 장기적 마스터 플랜을 세워 어떻게 체계적으로 관리해 나갈 것인가에 대한 의지도 중요한 포인트 중에 하나일 것입니다.

예를들어 전산실의 물리적 보호조치가 미흡하여 결함사항이 도출이 되었다고 하면 , 이미 해당년도 예산은 결정이 되어 있고 , 당장 투입할 예산이 없는데도 결함사항을 주어 그것을 보완조치하라는 것은  피 인증 심사기관으로도 힘든 부분일 것입니다.

이럴땐 실무담당자에게 중장기적인 계획을 수립하는 방안을 검토하게끔 조언을 주고 차년도 사후관리 심사시에 적용될 수있는 방안을 권고를 하고 차후 사후관리 심사시에는 반드시 이행 여부를 확인하여 , 보안 관리를 점점 강화해 나갈수 있도록 하는 것이 관리체계의 근본적인 취지일 것입니다. 또한 그것이 심사원의 심사 스킬이 아닌가 생각을 해 봅니다.

무조건 허점을 찾아 단기간 보완조치 하기 힘든 것을 결함을 준다면 실무 담당자는 오히려 더 힘들게 할 수도 있고 관리체계의 어려움을 호소 할 수 있기에 , 그 취지에 벗어날 수 있지 않는가 하는 생각도 해 봅니다.

예외는 있습니다. 실무 담당자가 의사결정자에게 관리체계의 외부 심사원으로부터 심사를 받고 결함을 도출하여 힘을 실리게끔 지원 사격을 원하는 경우가 있습니다. 이럴땐 의사결정자의 마음을 움직여야 함으로 종료보고회의때 실무담당자에 힘도 실어주고 의사결정자의 정보보호에 대한 인식제고도 시킬 겸 적절하게 수위 조절 하여 긴급 보완조치를 취하여야 한다는 당위성을 설명해 주는 것도 좋은 방법중에 하나라 생각합니다.

어떠한 경우 동일한 사업장에 인증심사를 나가보면 작년보다는 올해에 위험관리가 잘 되어 있어 그 취약점을 점점 제거해 나가고 보안이 강화되는 것을 보면 인증심사원으로서는 뿌뜻함을 느끼게 되는 경험도 느끼게 됩니다.  @엔시스.


Posted by 엔시스

KSIA에서 학술지를 창간하는군요. 평소 정책 제언이나 제안 그리고 관심있던 내용을 조금 더 구체적이고 객관적인 형태인 논문을 통하여 자신의 의견을 전달 할 수 있는 통로가 마련된 셈이네요..

기고요령

  1. 논문기고자의 자격제한은 없으며, 주제는 인터넷 및 정보보호와 관련된 내용이어야 합니다. (다음 내용은 주요 작성분야이며, 필자의 의도에 따라 주제는 다양하게 할 수 있음)
    • 인터넷 및 정보보호 관련 법제도, 정책, 산업전망, 이용자보호
    • 인터넷 및 정보화 역기능의 사회경제적 파급효과, 사회문화적 영향
    • 인터넷주소 및 정보보호 기술 정책 방향
    • 국제기구(IGF, ICANN, ITU 등) 및 외국의 인터넷 & 정보보호 논의 현황과 대응방안
    • 기타 인터넷 및 정보보호 관련 분야
  2. 작성언어는 한글 또는 영어로 작성할 수 있습니다.
  3. 원고는 수시로 접수하며, 논문투고신청서(다운로드)와 함께, 전자우편(journal@kisa.or.kr)으로 제출합니다. (전자우편으로만 접수) 제출할 논문은 한글프로그램 또는 MS-Word를 사용할 수 있습니다. (국문은 한글, 영문은 MS-Word 권장) 원고분량은 한글의 경우 A4 20페이지 내외를 권장합니다. (국문초록은 600단어, 영문초록은 200단어 이내, 키워드는 영문으로 5~7개 이내).
  4. 창간호 원고마감 : 2010년 3월 15일(월)까지
  5. 본 저널의 원고투고 지침 및 논문 작성요령을 참고하시어 많은 투고 바랍니다.

기 타

  1. 제출된 논문은 편집위원회 심사를 거쳐 게재를 결정합니다. (제출된 논문은 반환되지 않음)
  2. 채택된 논문에 대해서는 소정의 원고료를 지급합니다.
  3. 자세한 사항은 학술지 담당자(02-405-6516, journal@kisa.or.kr)로 문의해 주시기 바랍니다.



관심 있으신 분들은 참여 해 보시면 좋겠습니다. 평소 정보보호에 관심이 많은 본인도 한번 정리하는 차원에서 주제를 정하여 고민좀 해 보아야 겠습니다.  그냥 일반적인 글 쓰기 보다 논문을 적는다는 것은 자료 수집과 검증 그리고 틀에 많게 논리적으로 글쓰는 연습이기에 여러가지 자기 주장을 객관적으로 표출하는 수단에서 가장 좋은 형태입니다.

제가 블로그를 시작할때쯤은 대학원을 다니고 있던터라 논문에 대한 압박이 있어 글쓰기를 잘 하기 위한 방편으로 블로그 글쓰기를 하기도 하였는데 왠지 논문하면 딱딱하고 어려울꺼 같지만 글로 자기주장을 표출 하는 가장 좋은 방법이기에 한번 도전은 해 보고 싶네요..늘 문제는 시간과 노력이겠지요.

자세한 사항은 키사 홈페이지나 첨부파일 참고 하시면 되겠습니다...





Posted by 엔시스