정보보호관리체계(ISMS) 인증심사원 양성 교육 안내


한국인터넷진흥원(KISA)에서는 정보보호관리체계(ISMS) 인증심사에 참여할 인증심사원 양성을 위하여 교육을 아래와 같이 진행하오니 여러분의 적극적인 참여를 부탁드립니다.


교육명 : 정보보호관리체계(ISMS) 인증심사원 양성 교육


대상 및 인원

ISMS 심사원 활동이 가능한 정보통신 및 정보보호 분야 종사자 50명

※ 참여 자격요건: 학사취득자는 정보통신 유관경력 6년 이상, 석사취득자는 3년 이상이 필요하며 이중 최소 2년 이상의 정보보호 실무경력 필요

※ 교육 수료 후 경력증명이 된 경우에 한하여 심사원 위촉 예정


일시

2010. 6. 21(월) ~ 25(금), 9:00 ~ 18:00(40시간)


장소

한국인터넷진흥원 KISA 아카데미 강의장(강남역 소재)

[첨부1]KISA아카데미오시는길 참조


신청기간 및 신청방법

2010. 6. 8(화) ~ 14(월)

[첨부2]ISMS심사원양성교육신청서를 작성하시어 아래 링크를 통해 첨부 및 신청

http://kisa.nahs.or.kr/isms2.html

문의처

KISA 기업보안관리팀
(Tel : 02-405-5233 / E-mail : securitycheck@kisa.or.kr)

교육운영 대행업체: 한국해킹보안협회 사무국 고승욱 팀장
(Tel : 02-3406-9225 / E-mail : ksw@nahs.or.kr)


기타

주차는 지원이 안 되오니 대중교통을 이용하여 주시기 바랍니다.

ISMS 심사원 양성 교육 교육비와 교재는 무료입니다.

80% 이상 출석하고 시험 실시 후 일정점수 이상이면 수료증이 발급됩니다.


교육프로그램

인증심사 실무에 필요한 내용으로 [첨부3]ISMS심사원양성교육프로그램 참조

 








한국인터넷진흥원에서 ISMS 인증심사원 양성 교육 교육생을 모집하고 있네요. 한번쯤 들어 두시면 좋을듯 싶습니다. 그런데 약간의 경력이 필요 하기에 아무나 신청할 수 있는 대상은 아닌듯 합니다. 아무튼 IT경력과 정보보호 경력이 되신다면 시간내어 교육을 받아 보시는게 좋겠습니다.

일주일씩 업무중에 시간을 뺀 다는게 쉽지는 않겠지만요..

ISMS 인증심사원에 대한 자세한 포스팅은 아래 링크를 참고 하시면 됩니다. 지금까지 ISMS 인증심사를 하면서 느낀점이나 제도 정책에 대한 개인적인 의견을 담아두었습니다.

http://www.sis.pe.kr/category/Security%20%20ISMS






Posted by 엔시스

방송통신위원회(위원장 최시중, 이하 방통위) 주최로 27일 삼성동 코엑스 그랜드볼룸에서 개최된 ‘기업 성공비지니스를 위한 정보보호 대응 전략’ 세미나 토론회에 참가한 배영식 방통위 사무관은 “ISMS 인증을 확대하기 위한 추진방안이 마련된다”고 밝혔다.


활성화 추진방안을 살펴보면, △기업정보보호 인식제고 홍보기능 강화, △인증취득 기업에 대한 인센티브 확대, △기업의 정보보호 수준평가 및 등급제 검토 , △기술지원 강화 등이다.

뉴스출처: http://www.boannews.com/media/view.asp?idx=20626




이젠 정보보호관리체계 수립은 필수


어제 "보보톡" 인터넷 방송에서도 이야기 했지만 향후 보안에 대한 전반적인 프로세스 및 체계를 잡으려면 정보보호관리체계를 수립하는 것이 시급하다.

실제, 심사에서도 몇번 참여를 해 보았지만 우린 너무 기술적인 부분에만 급급한 나머지 제대로된 체계를 잡지 못하고 주먹 구구식으로 보안 정책을 운영해 온 것이 사실이다.


왜 정보보호관리체계를 수립해야 하는지에 대해서는 더이상 언급하지 않겠다. 자세한 내용은 다음 카테고리를 참고 하면 되겠다.

http://www.sis.pe.kr/category/Security%20%20ISMS


그럼 무엇이 문제인가?  바로 보안인식의 문제이다. 정보보호관리체계가 중요하다는 것은 알지만 그에 상응하는 보안인식도 부족할뿐아니라 실제 담당하고 있는 담당자도 상당한 업무를 요하기 때문이다.

현실적으로 보면 담당자가 ISMS 하나만 담당하는 경우는 드물다. 대부분 전산 담당이나 관련 업무이외에 또 다른 업무를 담당을 하다보니 그져 형식에 그치고 실제 ISMS 인증 심사시에만 준비를 하여 제대로 된 라이프 사이클이 돌고 있지 않는다.

그리고 15개 통제항목에 446개 세부 통제항목을 일반 중소기업에서 적용하기에는 다소 무리한 측면이 있다. 중소기업에 커스터마이징된 관리체계가 필요 할꺼 같고, 이는 심사에 참여 하면서도 관련 담당자에게 말한적도 있다.

다만, 사회적 분위기가 전반적으로 보안에 대한 인식이 투자보다는 비용이라는 측면이 강하고 사전에 예방을 함으로 인하여 만일의 경우에 잃을수 있는 신뢰와 이미지에 대한 산출이 쉽지 않고 당장 눈앞에 놓인 해결해야 할 사안이 우선이다 보니 우선순위에서 자꾸 밀리는 경향이 있다.

이는 예산 삭감이라는 철퇴를 맞으면 보안에 대한 관심은 점점 멀어진다. 이렇다 보니 담당자는 힘들수 밖에 없고, 혹여 침해사고나 외부로부터의 공격을 당하면 담당자의 문책과 처벌이 되다보니 상당히 기피 하는 현상이 생기게 된다.


늦은감이 없지만 ISMS 인증제도는 법률적 근거로 의무화가  되어야


사람이라는 것은 당장 발등에 불이 떨어지지 않으면 잘 하지 않게 된다. 대부분 심사를 나가보면 현장에서 하는 말은

 누구인들 보안 하고 싶지 않아서 하는게 아니다. 정보보호관리체계 수립하여야 한다는 필요성도 안다. 하지만 공감대 형성이 안되어 있고, 인력과 예산이 없어 못하는 경우가 많다.
그 이면에는 아마도 ISMS가 의무화 사항이 아닌 권고 사항이라는 이야기들도 있다. 권고는 말 그대로 해도 그만. 안해도 그만.  일정한 규모와 조직을 갖춘 기업이나 공공기관들은 반드시 ISMS 인증심사를 의무화 해야 한다.

개인정보보호법도 정책적 논리에 의하여 힘겨루기를 하다가 결국 무산이 되어 버렸다. 조금 확장하여 논리를 펴자면 "천안함" 이 바다에서 눈에 보이듯이 침몰하면 그 중요성은 크다. 당장 피해나 현실이 눈에 보이고 꽃다운 젊은 청춘들의 목숨을 빼앗아 갔으니까.

하지만 보안인식의 결여는 그 보다 더 큰 사이버 재앙을 불러 올것이다. 눈에 보이지 않는 곳으로 말이다. 침해사고나 외부로부터 침입을 당하고 나서야 재발방지차원에서 정책을 집행하는 것은 이미 늦은 행동이다. 그 보다 사전에 미연에 방지를 하기 위해선 보다  보안을 체계적으로 수립하고 관리할수 있는 정보보호관리체계(ISMS) 인증 심사제도를 의무화하는 날이 오길 기대해 본다. @엔시스.

* 뽀나스 포스팅 하나.

2009/09/22 - [Security ISMS] - 정보보호관리체계(ISMS) 인증심사는 어떻게 진행될까?

관련기사 중에서 대한항공, ISMS 적용해 종합적 위험 관리 가능해져


Posted by 엔시스