'정보보호관리체계'에 해당되는 글 37건

  1. 2012.08.03 정보통신망법 하위 고시 제.개정(안) 행정예고
  2. 2012.01.17 [2012보안전망] 정보보호는 "정보보호관리체계"부터 시작을..
  3. 2011.05.24 [강연-24] 정보보호관리체계(ISMS)의 이해 -BITEC (4)
  4. 2011.02.07 ISMS 인증서 발행 얼마나될까?
  5. 2011.01.28 대한민국 CEO여러분께 고(告)하는 글
  6. 2011.01.27 PIMS와 ISMS인증심사시 인증심사 관점
  7. 2011.01.24 ISMS(정보보호관리체계) 인증취득업체 사후관리 제안요청서(RFP)발주 (2)
  8. 2010.12.15 ISMS 인증심사 취득하면 어떠한 혜택이 있을까?
  9. 2010.09.19 정보보호관리체계(ISMS) 핵심은 바로 "체크리스트" (2)
  10. 2010.06.21 G-ISMS 정보보호 통제항목 및 인증지침
  11. 2010.06.09 ISMS 인증심사원 양성교육 모집하네요 (4)
  12. 2010.05.10 2010 정보보호관리체계(ISMS) 인증 모범사례집 기고가 나왔네요
  13. 2010.04.28 방통위, ISMS 인증 확대 위한 활성화 방안 본격 추진
  14. 2010.04.16 전자정부 ISMS 관련 자료
  15. 2010.03.08 ISMS(정보보호관리체계), 인증받으면 연 2억 경제 효과
  16. 2010.02.23 정보보호관리체계(ISMS) 인증 취득 기업에 대한 사후관리 질적수준 제고 용역 사업자 선정
  17. 2010.01.17 정보보호관리체계 인증 등에 관한 고시 ( K-ISMS기준) (2)
  18. 2009.12.17 전자정부 정보보호관리체계지침 (G-ISMS) 문서
  19. 2009.11.18 공공기관 정보보호관리체계 (G-ISMS) 의무화 (2)
  20. 2009.10.01 [칼럼-98] CISO 의무화 당위성에 대한 제언 (2)
  21. 2009.09.22 정보보호관리체계(ISMS) 인증심사는 어떻게 진행될까? (2)
  22. 2009.09.08 정보보호관리체계(ISMS) 행정기관 의무화는 당연한것 (2)
  23. 2009.08.29 정보보호관리체계(ISMS)인증 심사원 보수교육 후기
  24. 2009.06.09 ISO 27000 표준 시리즈 (ISMS) (6)
  25. 2009.03.22 정보보호심사원, 심사원수첩 받았습니다. (2)
  26. 2009.03.05 정보보호관리체계(ISMS) 홍보 브로셔 (2)
  27. 2009.01.23 정보보호관리체계(ISMS) 인증, 이젠 기업의 필수조건이 될터 (4)
  28. 2009.01.05 [입찰공고]정보보호관리체계(ISMS)ISO27001 인증획득 컨설팅 용역
  29. 2008.11.28 정보보호관리체계 인증 가이드 (2)
  30. 2008.07.09 ISMS 인증 심사 참여 하기 너무 어려워

정보통신망법 하위 고시 제,개정(안)이 행정예고 되었습니다. 관련 업무를 하시는 분들은 한번쯤 살펴 보실 필요가 있겠네요..








핵심적인 내용중에 몇가지입니다.


  • 안전진단제도 폐지

  • 안전진단의무업체 정보보호관리체계(ISMS) 인증 의무화

  • 사전 정보보호제도

  • ISMS인증심사원 -> 인증심사원, 선임심사원, 수석심사원으로 명칭변경

 

자세한 내용은  아래 고시안을 참고 하시면 됩니다.

 

 

정보통신망법_하위고시_제개정안.zip

 

정보통신망법_하위고시_제개정안_행정예고.zip

 


 

신고
Posted by 엔시스

정보보호관리체계(ISMS)가 시행된지 10여년이 된다. 하지만 지금까지 권고사항이 지나지 않았기 때문에 그 중요성을 알고 있음에도 불구하고 비용과 인력의 문제로 인하여 준비를 하지 못했지만  앞으로는 의무화가 되기 때문에 많은 관심을 가져야 한다. 필자는 이에  ISMS인증심사와 PIMS 인증심사를 하면서 느꼈던 관리체계의 필요성에 대하여 짚어 보고자 한다.  - 주인백


                                                                <출처: 전자신문 2012.01.17일자>


1. 정보보호관리체계란?

정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도  - 출처: KISA 홈페이지


2. 왜 필요한가?

최근 들어 "왜"라는 단어와 "본질"이라는 단어에 많은 관심을 가지고 있다. 그럼 왜 "관리체계"가 필요한가?에 대한 본질적인 부분을 우리는 고민을 해야 한다. 그 부분을 심사를 하면서 느꼈던 생각을 고려하여 몇가지로 정리 해 보기로 하자.

  • 기업과 조직의 입장
    • 우선 기업이나 조직의 입장에서 관리체계 도입의 필요성은 그냥 단순히 도입하면 좋을것 같으니까 도입하는것이 아닌 뚜렷한 목적이 있어야 한다. KISA가 말하는 목적은 다음과 같다.
      • 정보자산의 안전, 신뢰성 향상
      • 정보보호관리에 대한 인식제고
      • 국제적 신뢰도 향상
      • 정보보호서비스 산업의 활성화
  • 개인적인 입장
    • 괸리체계를 도입하여 실제 사이클대로 움직여 본다면 전체적인 맥락에서 우리 기업에서 우리조직에서 정보를 보호해야 할 자산을 식별 할수 있고, 위험도를 산정하여 중요도를 체크하여 체계적인 관리를 함으로 인하여  갑작스러운 사고나 장애에 대비하여 즉각적인 대응시나리오를 관리 하는 방법을 숙지 할 수 있다.

3.  관리체계에는 어떤 것들이 있는가?

  • 국제적
    • ISO27001 : ISMS에 대한 국제적인 표준으로써 전세계 선진기업이 합의한 좋은 사례를 활용하여 조직이 정보보호 경영을 실행하기 위한 프레임웤을 확인하고 이를 자사에 적용할 수 있게 하는 인증체계를 말한다.
  • 국내적
    • K-ISMS : 방통위와 KISA에서 주관하는 ISMS로 민간에 적용되며 정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조
    • “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조
    • 정보보호관리체계 인증 (제2010-3호) 법적근거를 가지고 있다.

                    ※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있    
                        도 록   하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함

    • G-ISMS : 공공기관에 적용되는 ISMS 제도


4. 연도별 인증서 발급현황

                                                               <출처: 한국인터넷진흥원>


2002년부터 발급을 시작해서 매년마다 점점 많은 수의 인증을 받고 있지만 총 10년에 걸쳐 126건 밖에 되지 않았다는 것은 그동안 얼마나 정보보호에 많은 무관심을 가지고 있는가에 대한 반증이기도 합니다. 그동안 ISMS 인증제도는 법적 의무사항이 아닌 권고 사항이었기 때문에 위와 같은 숫자가 나왔다고 하지만 보안에 대한 이슈는 점점 커지고 있어서 그 역할은 커지리라 생각이 듭니다.


5.  최근 시사점과 향후 방향

  • 정보통신망법 개정
    • 안전진단제도 폐지
      • ‘12년도 안전진단 예비대상자는 370여개 업체로, 전년대비 25.4% 증가

        (‘05) 142개 ➡ (’06) 160개 ➡ (’07) 207개 ➡ (’08) 232개 ➡ (’09) 247개 ➡ (’10) 272개 ➡ (’11) 292개 ➡ (’12) 370여개 예상

        안전진단 대상자가 점점 많아 짐으로 인하여 관리체계에 대한 법적 의무 시행 사업자도 증가할 전망.

  • '13년도 관리체계 의무화
    • 관리체계 의무화
      • 개인정보보호법 시행에서도 느꼈지만 13년도 시행이면 ISMS의 경우에는 올 12년도에 이미 컨설팅이나 사전 준비작업에 들어가야 한다. 그렇지 못할 경우 자체적으로 정책 수립에서부터 끝까지 마무리 작업을 해야 하는 부담을 가진다. 하지만 대부분 초기 관리체계 수립은 컨설팅을 많이 받음으로 한꺼번에 몰릴 가능성이 있다.
      • 또 한가지는 ISMS의 경우 관리체계 수립후 증적 사항을 수집하기 까지 오랜 시간이 걸린다. 컨설팅은 보통 빠르면 2-3개월에서 끝나지만 이에 따른 이행증적 사항은 6개월 정도 관리체계 사이클대로 움직일때 가능하다. 따라서 안전진단 해당 기업은 올해 부터 관심을 가져야 할 것이다.
  • 기업 관리체계 담당 인력 및 보안 컨설팅 인력 수요급증
    • 인력과 예산
      • 정보통신망법 개정으로 인하여 올 7월1일부터 시행이 되고 '13년도에는 ISMS제도가 의무화가 됨에 따라서 안전진단 대상 기업에서는 ISMS 전담 인력을 따로 구성하는 것이 좋다. 또한 초기 컨설팅을 위한 예산 마련도 중요하겠다.  특히 취업을 하지 못한 예비 취업자나 이직자 그리고 컨설팅에 관심이 있는 사람이라면 "관리체계"에 대한 관심도 가져 보는 것이 좋겠다.
      • 또한 이러한 관리쳬계 수립후에 이것을 체크리스트에 따라 인증하는 인증심사원에 대한 인력에 대한 부분도 수요가 늘어 날 것으로 전망된다. 따라서 기존 IT경력과 경험이 있는 그리고 인증 심사 스킬을 보유한 유능한 인증심사원등이 대거 등장하거나 많은 수요가 전망된다.

 

  • KISA의 역할강화
    • 기존 부서 역할증대
      • 지금현재 관리체계에 대한 대부분 업무을 추진 하는 기관은 방통위 산하 '한국인터넷진흥원'에서 추진하고 있다. 이러한 시대적 요구사항에 있어 KISA 해당 부서에 대한 역할 강화가 필요 할 것으로 보인다. 그동안 추진해 왔던 경쟁력과 경험을 바탕으로 하여 보다 더 확대 적용 되기 위한 힘을 실어 주어야 한다.


맺음말

한국에 인터넷이 사용된지 이제 불과 15여년밖에 되지 않았다. 그동안 많은 성장을 이루었고, 대한민국은 그중에서도 IT인프라 강국으로 도약이 되었다. 필자도 초고속 인터넷 사업에 인프라 구축 PM도 하였고, 그 이후 대규모 서버들이 들어있는 집적정보통신시설이 들어 서고 각 통신사 및 이통사 데이터 센터가 건립이 되었다. 이러한 데이터 센터는 이제 각 기업마다 관리 포인트가 늘어남에 따라 자체 데이터센터를 보유하게 되었고, 장애시에 대비하여 복구센터도 갖추게 되었다.

특히 이러한 인프라를 기반으로 성장하는 대한민국에 순기능에 따른 역기능 또한 만만치 않아 잇따른 보안사건사고가 발생을 하고 특히 '11년 작년의 경우에는 금융권에서 대거 개인정보 유출 및 금융 보안 사건사고가 일어나면서 많은 보안이슈가 제기되기도 하였다.

IT보안은 이제 IT융합으로 갈 것이고 산업전반에 걸쳐 보안의 중요성은 점점 커질수 밖에 없다. 또한 최근 SNS와 스마트폰을 이용한 모바일 보안이 이제는 엔드유저단인 '사용자 보안'으로 그 바톤이 넘어가게 되었다.

이러한 보안적 이슈를 잘 해결하고 대응을 하기 위한 가장 기초적인 작업이 '체계적인관리'에는 누구나 공감대가 형성이 되었다. 따라서 국내 정보보호관리체계중에 하나인 ISMS에 대한 중요도가 높아지고 정부는 지금까지 권고사항에 그쳤던 ISMS제도를 법적 의무화와 규제를 함으로 인하여 보안성을 높이려 할 것이다.

이러한 관점에서 보았을때, 이제는 IT보안을 바라보는 시야를 조금 크게 바라 볼 필요가 있고 기업이나 조직의 전체적인 틀(Frame)안에서 기획,설계,수립해 나가야 하는 시기이다.

본 포스팅은 혹시나 ISMS인증심사에 관심이 있는 사람을 대상으로 하여 ISMS,PIMS인증심사를 하면서 느낀점과 향후 대응책에 대하여 알아 보았다.  미래를 보는 눈을 가진 사람이 유능한 사람이다. @엔시스.

신고
Posted by 엔시스

지난 4월28일에 부산 글로벌IT센터에서 "정보보호관리체계(ISMS)의 이해" 라는 주제로 저녁 오후 7시부터 10시까지 강의를 하였습니다.

강의 공지 링크  -> 여기

아직까지 많은 분들이 관심은 가지고 있으나, 어떠한 내용인지를 잘 모르는 경우가 있으며, 그에 기초하여 조금 쉽게 접근하려고 했습니다.  내용은 다음과 같습니다.


○ 1교시
 - ISMS(정보보호관리체계)란 무엇인가?
 - ISMS(정보보호관리체계)의 연혁
 - ISMS(정보보호관리체계)의 정보보호 정책수립, 범위설정, 위험관리, 구현 및 사후관리

○ 2교시
 - 15개 보호조치기준 살펴보기

○ 3교시
 - ISMS(정보보호관리체계)인증심사준비 요령 및 인증심사원 활동 방법 제시
 - 질의응답


사실, 참석 하신 분들 중에서는 이미 감리를 하시는 분들도 계셨지만 그래도 잘 모르는 부분도 있으리라 생각이 되어 이런저런 이야기로 현재 ISMS 인증심사를 주관하고 있는 한국인터넷진흥원 (KISA) 입장에서 여러가지 인증심사를 하면서 느꼈던 점이나 주의점 등을 이야기 하였습니다.

                                                  <사진 - BITEC 에서 ISMS 강의 모습>

특히 이번에는 <15개 보호조치사항> 에 대한 부분을 자세히 살펴 봄으로 인하여 조금은 세부적인 사항으로 접근 할 수 있다고 볼수 있었습니다.

사실, 지방에서 이러한 강의를 들을 수 있는 기회는 많지 않습니다. 그것도 무료로 말이죠. 자주 이런 기회가 있었으면 좋겠고, 조금 더 질적인 전달을 위하여 강의를 하는 사람 입장으로서는 보다 많은 인증심사와 제도를 이해하고 하여 강의에 참석하시는 분들에게 실질적인 도움을 주는게 바람직 할 것입니다.  하지만 최근엔 먹고 사느라고 인증심사에도 자주 참여 하지 못하다 보니 여러가지 사례가 조금 부족하지 않았나 하는 생각을 합니다. 하지만 매년에 한번이라도 참여는 하고 있으니 그 현장감을 잊지 않으려고 노력하고 있고, 이번 농협과 현대캐피털 같은 사고가 나지 않도록 인증심사원 관점에서 널리 보급하고 인식시키는 자부심으로 활동을 해야 할 것입니다. 

저는 그리고 강의 마지막에 이런 말을 했습니다.

"관리체계라는 것은 보안에만 적용되어 정보보호 관리체계만 있는 것은 아니다. 우리네 인생도 관리체계를 잘 세워 체계적관리하여 지속 가능하게 운영관리하면 그것 역시 인생의 관리체계인 것이다. 하나를 잘 알아서 보안에도 적용하고 인생에도 적용하면 꼭 성공하는 삶을 살수 있은 것이다." 라고.   @엔시스.


신고
Posted by 엔시스

ISMS 인증심사를 통하여 과연 지금까지 ISMS인증심사를 통과 하여 인증서 발행인 된 발행수는 얼마나 될까요? 한국인터넷 진흥원 홈페이지에 확인을 해 보니 지금까지 99개 업체가 인증서를 교부 받았네요.


                                                           <출처: 한국인터넷진흥원 홈페이지>


2002년부터 약 9년동안 99개 업체가 인증서를 교부 받았는데, 무조건적인 인증서 남발 보다는 정말 인증서를 받을 만한 곳에서 받는 것이 당연한 것이라 생각을 한다.

또한 이러한 요인중에 하나가 '정보보호관리체계'에 대한 인식은 하고 있으면서 막상 인증심사를 신청과 인증을 받기까지 여러가지 애로 사항이 있는게 아닌가 생각을 한다.

하지만 위 그림을 보면 알겠지만 연도가 지날수록 인증수는 점점 증가를 하고 있으며, 기존 인증 업체중에서 ISMS에 대한 부정적인 내용 보다는 긍정적인 측면이 더욱 강조가 되어, 다수의 기업체들이 많은 관심을 가지고 준비를 해야 한다. 또한 관련 기관에서도 문턱을 더욱 낮추고 있으며, 인센티브 제도를 늘이고 있기에 조금 더 관심을 가져 볼만하다.

기타 언급하고 싶은 것 중에 하나는 IT관련 인력에 대하여 시간이 지날수록 , 또한 보안에 관심을 가질수록 나이가 들어 가는 것은 어쩔수 없다. 이러한 유용한 인력을 다시 활용 할 수 있는 그 경험과 지식을 재 활용할 수 있는 인력의 활용적인 측면에 있어서도 나이가 든 시니어 급 보안인력들도 ISMS 에 적극 관심을 가지고 한번 연구 해 볼 가치가 있는 분야이기도 하다.

필자는 늘 관리체계를 접하면서 느끼는 생각은 그것이 꼭 '정보보호' '보안'에만 한정되지 않는다는 생각을 한다. 관리체계를 잘 수립하는 사람은 인생에 있어서도 자신의 인생의 관리체계를 잘 수립할 수있다고 생각을 하기 때문이다. 처음에 보안에 대한 영역으로 시작을 하였지만 자신에 인생에 대한 관리체계까지 수립을 할 수 있다면 그 얼마나 멋진 일인가? 세상을 긍정적으로 바라보고 긴 안목에서 다시금 신발끈을 조이는 것은 순전히 자신의 몫임을 기억 해야 할 것인다. @엔시스.


신고
Posted by 엔시스

" 보안은 비지니스다"  " 보안은 경영과 함께 한다"  "보안이 안된 기업은 하루 아침에 퇴출될 수있다"

이러한 보안에 대한 중요성을 일일이 열거 하지 않더라도 아직도 대한민국 정보보호의 수준은 미흡하기만 합니다. 그것은 빠른 성장과 기술의 발전으로 미쳐 사람의 인식이 변화 되지 않고 있기 때문입니다. 관련 분야에서는 보안이 중요하다고 외치고는 있지만 정작 경험해 보지 않고서는 인식의 변화는 쉽게 바꾸어지지 않습니다.

그 중심에는 조직의 최고 의사결정자인 CEO의 정보보호에 대한 마인드에 있습니다. 중요한 것은 알지만 그러나 쉽게 투자 하지 않는...늘 우선순위에서 밀려버리는 .....그리고 담당 업무 실무자도 정보보호에 대한 성과를 수치로 나타내지 못해 자신의 업무를 잘 하고  있음에도 성과가 드러나지 않는..

어쩌다 한번 정보 유출 사고가 난다면 실무담당자 처벌은 점점 강화되고 강력해지지만 보안을 담당하는 담당자들의 처후나 복지는 아직도 열악하기만 합니다. 새로 제정이 되려는 개인정보보호법에는 양벌규정도 있습니다. 담당자와 CEO가 함께 처벌 되는것이지요. 그러니 이제는 신경 좀 쓰셔야 합니다.

대한민국 CEO 여러분 ~~

감히 보안에 투자 하라고 말씀 드리겠습니다. 주제 넘지만  사업의 성장에만 주력을 하다보면 결국 내부에 집안 단속을 잘 못해 하루 아침에 사업에 커다란 위협이 될 수있습니다. 이러한 사항은 아마도 조직 내부에서 일어나는 것을 본다면 많은 공감을 하리라 생각합니다.
 
최고 의사결정 하시는 분이 정보보호에 대한 마인드를 조금이라도 더 가지고 대내외적인 부분을 신경을 쓴다면,  그것은 더 나은 조직에 발전을 가져 올 것입니다. 또한 그 기업에 대한 고객의 신뢰도도 더 높아질 것입니다.

그러한 대안중에 하나가 조직 경영과 밀접하게 접목 할수 있는 정보보호관리체계를 수립해 보시길 권해 드립니다. 정보보호수준제고를 하더라도 주먹구구식에서 빠져 나와 이제는 조직의 보안정책 수립과 자산의 식별, 그리고 위험도 산정을 통하여 자산의 중요성이 높은 것부터 위협으로부터 보호하는 위험관리가 되어야 하는 것입니다.


제가 알고 있는 지인분들 중에서 올해 ISMS 인증심사를 준비중인 분들이 몇분 계시는 듯합니다. 물론 정보의 중요성도 알고 보호적인 측면도 알지만 무엇보다 의사결정자의 마음을 열게 하는 것은 비용이 아닐까 생각합니다.  그 비용에 대한 부분이 문턱이 많이 낮아진게 아닌가 하는 생각을 합니다.  한국인터넷진흥원 홈페이지에서 한번 찾아 보았습니다.



                                                   <출처:  한국인터넷진흥원 홈페이지 >


위 사항을 보면 조직의 규모나 심사범위에 따라 다르겠지만 평균 700만원 정도 소요된다고 게시하고 있습니다. 이는 1회성이 아닌 3년동안 갱신 되는 사후관리 심사까지 포함한 금액이라는 것입니다..

또한 할인혜택이 많이 주어지고 있는데요...눈에 띄는 것이  위 빨간 네모안에 내용입니다. 상시 근로자수 50명 미만 또는 매출액 50억 미만으로 인정된사업자는 50% 할인 해 준다네요..

자...그러면 조금 욕심이 생기지 않나요?  평균 700만원에 50% 할인이면 350만원 정도 될것입니다. 해당기관에서 상당히 문턱을 낮춘 금액이라 생각이 듭니다. 정보보호관리체계를 수립하고 인증을 받는데 이 정도 금액이면 그리 비싼 금액은 아니라는 생각이 듭니다. 충분히 보안에 투자할 가치가 있다고 생각이 드네요.

하지만 가장 큰 문제는 해당 조직에서  ISMS 인증심사를 준비를 하기 위한 인력이나 스스로 준비를 할 수있는가에 대한문제입니다. 그러다 보니 컨설팅 업체에 도움을 받게 되는데 이 금액이 아마도 더 들어가지 않은가 싶네요..

앞으로 정보보호관리체계(ISMS ) 업무를 담당 할 수 있는 인력을 적극 배출해 내는 것이 주요 관건이라 하겠습니다. 물론 관련 업계는 이러한 컨설팅을 통하여 수익을 창출 하겠지만 근본적인 목적은 최초에는 컨설팅 도움을 받겠지만 그 이후에는 스스로 유지 관리 할 수있는 능력을 길러야 한다는 것입니다. 실무 담당자분들도 ISMS에 대해 연구할 수 있는 기회마련도 되어야 합니다. 이젠 체계적인 정보보호관리가 필요하다는 것입니다.

여러분 기업의 고객에게 신뢰를 주고 싶습니까?
그럼 정보보호관리체계 수립을 한번 계획해 보시기 바랍니다. 350만원이라는 금액이 많으면 많을수 있고, 어쩌다 영업을 위한 골프접대, 술접대보다는 고객에게 기업의 신뢰를 줄 수 있는 정보보호관리체계(ISMS)와 개인정보보호 관리체계(PIMS)에 투자하는 것이 더 효율적이지 않을까요? 뭐..제가 해당소속 기관에 있는 사람도 아니고 광고 하는것도 아니지만 단지 보안인식제고를 함께 하자는데 지금까지는 일반인상대, 보안실무자 상대였지만 오늘은 CEO분들을 상대로 글로써 표현하기에 이렇게 목소리 높여 외치게 되네요

대한민국 CEO 여러분 ~~

이젠 조직의 자산에 대한 보호와 고객의 정보인 개인정보를 보호하는데 투자를 아끼지 말아야 합니다. 곧 2월에 있으면 개인정보보호법 통과를 앞두고 관련 업계 및 관련 기관에서 상당히 준비를 많이 하고 있습니다. 실제 시행을 하기까지는 다소 시간이 걸리겠지만 미리 준비해 두시는게 좋겠습니다.

그 의지는 정보보호담당자가 아닌 바로 조직의 의사결정자인 CEO분들에게 있다는 사실을 기억하셔야 합니다. 아무리 실무담당자가 건의를 하고, 애로사항을 호소하여도 그대로 무시해 버린다면 양치기 소년이 될 것입니다. 그땐 진짜 해킹과 위협이 왔을땐 속수 무책이 될 것은 당연한 것입니다.

비록, 저는 네이버에서 보안 커뮤니티 보안인닷컴(http://www.boanin.com) 을 통하여 일반인들과 보안관련 그리고 비보안하시는 분들에게 보안인식제고를 외치고 있지만, 오늘은 감히 대한민국 ceo분들에게 당부에 말씀을 제 블로그을 통하여 한번 포스팅 해 보았습니다. 너무 주제 넘은게 아닌가 하는 생각도 해 보지만, CEO분들이니 너그러이 용서해 줄것으로 생각하며 포스팅을 마감해 봅니다. 이거 너무 오지랖이 넓은건지 보안에 대한 열정이 있는건지 이젠 저도 잘 모르겠네요..ㅎㅎ 
 @ 보안강국이 되는 그날까지 ~~

신고
Posted by 엔시스

관리체계를 수립하고 최종 KISA에서 인증하는 인증심사를 통과를 해야만 인증서가 발급이 됩니다. 제3자의 외부 전문가의 객관적 시각을 통하여 점검을 해 보는 것이죠.




인증 심사에서 주로 심사하는 관점은 3가지로 정리가 될 수 있습니다.

  • 관리과정의 적절성 - 관리과정의 전반적인 적절성과 체계성을 심사.
  • 위험관리 - 위험관리를 통하여 선택된 정보보호대책들이 정확히 구현 되고 사후 관리가 되었는지를 심사.
  • 법의 준거성 - 관리체계 수립시 관련 법률과 제도에 근거한 법의 준거성 측면에서 심사.


아마도 이러한 3가지 측면에서 인증심사를 진행 하게 됩니다. 특히 관리체계의 적적성이란 전문가들 사이에 의견도 달라지고 환경 변화에 따라 변할수 있기 때문에 , 관리체계를 위한 적절한 조직,절차, 방법들이 사용되고 이들이 체계적으로 관리되는지를 보는 것이죠.

따라서, 인증심사시 허점을 찾아내기 보다 전체적인 틀과 운영상태를 중요하게 심사하게 되고, 단기적, 중기적 , 장기적 마스터 플랜을 세워 어떻게 체계적으로 관리해 나갈 것인가에 대한 의지도 중요한 포인트 중에 하나일 것입니다.

예를들어 전산실의 물리적 보호조치가 미흡하여 결함사항이 도출이 되었다고 하면 , 이미 해당년도 예산은 결정이 되어 있고 , 당장 투입할 예산이 없는데도 결함사항을 주어 그것을 보완조치하라는 것은  피 인증 심사기관으로도 힘든 부분일 것입니다.

이럴땐 실무담당자에게 중장기적인 계획을 수립하는 방안을 검토하게끔 조언을 주고 차년도 사후관리 심사시에 적용될 수있는 방안을 권고를 하고 차후 사후관리 심사시에는 반드시 이행 여부를 확인하여 , 보안 관리를 점점 강화해 나갈수 있도록 하는 것이 관리체계의 근본적인 취지일 것입니다. 또한 그것이 심사원의 심사 스킬이 아닌가 생각을 해 봅니다.

무조건 허점을 찾아 단기간 보완조치 하기 힘든 것을 결함을 준다면 실무 담당자는 오히려 더 힘들게 할 수도 있고 관리체계의 어려움을 호소 할 수 있기에 , 그 취지에 벗어날 수 있지 않는가 하는 생각도 해 봅니다.

예외는 있습니다. 실무 담당자가 의사결정자에게 관리체계의 외부 심사원으로부터 심사를 받고 결함을 도출하여 힘을 실리게끔 지원 사격을 원하는 경우가 있습니다. 이럴땐 의사결정자의 마음을 움직여야 함으로 종료보고회의때 실무담당자에 힘도 실어주고 의사결정자의 정보보호에 대한 인식제고도 시킬 겸 적절하게 수위 조절 하여 긴급 보완조치를 취하여야 한다는 당위성을 설명해 주는 것도 좋은 방법중에 하나라 생각합니다.

어떠한 경우 동일한 사업장에 인증심사를 나가보면 작년보다는 올해에 위험관리가 잘 되어 있어 그 취약점을 점점 제거해 나가고 보안이 강화되는 것을 보면 인증심사원으로서는 뿌뜻함을 느끼게 되는 경험도 느끼게 됩니다.  @엔시스.


신고
Posted by 엔시스


정보보호관리체계(ISMS) 인증심사를 취득한 기업에 대한 사후관리를 위한 용역 사업 발주가 KISA 홈페이지에 올라와서 주요 내용을 살펴 보고자 합니다. 본 포스팅은 ISMS RFP 기준으로 작성됨을 알려 드립니다. 많은 기업들이 관심을 가지고 ISMS에 보다 많은 관심을 가졌으면 하는 바램이 드네요. -편집자 주


ISMS 인증심사 사후관리 용역발주

 

정보보호관리체계(이하 ISMS )란? 조직이나 기업에서 ISMS인증기준 체크리스트에 부합하는 15개 통제 도메인에 얼마나 부합하는지를 인증하는 관리적 보안의 주요 관리체계중에 하나로, 지난 2002년 부터 작년까지 사후 관리 심사를 받아야만 하는 기업이 71개 기업에 달한다.

이러한 사후관리 심사는 KISA에서 해야 하지만 심사인력의 한계로 외부심사원을 활용하여 심사를 추친하려고 하는 것이다. ISMS인증심사를 인증을 지속적으로 유지하기 위해선 매년 1회 사후관리 심사를 받아야 한다.

올해 사후관리심사 용역발주 주요 내용을 살펴 보겠습니다.

1. ISMS 인증심사 PM 양성교육


정보보호의 중요성이 날로 커지고 기업에서도 ISMS 인증심사에 대한 필요성을 인지하다보니 인증심사를 하는 심사팀장 즉 PM의 역량을 강화시키고, 정보보호관리체계의 실질적 PM으로 자질 확보가 중요하기에 시행하는게 아닌가 생각이 드네요.
상당히 고무적인 사항이고, 해당 PM Pool 을 형성하여 보다 다양한 인력을 활용하면 인증심사원의 자질 향상과 각자 노하우와 경험을 잘 활용할 수 있는 기회로 작용하지 않을까 하는 생각이 듭니다.

특히 인증심사는 심사원의 심사스킬도 중요한 부분이라 생각이 듭니다. 다양한 환경과 변화에 있는 부분을 어떻게 피 심사업체에게 잘 설명하면서 매끄럽게 진행 하는가에 대한 역량도 심사팀장의 역할이며, 인증심사원을 잘 리드해 나가고 isms인증심사의 품질을 높일수 있도록 역할을 다해야 하는 역량이 중요한 핵심일 것입니다. 이러한 것은 꼭 심사팀장 뿐만아니라 참여 심사원도 많은 참여를 통하여 스스로 자기역량 강화에 노력을 해야 할 것입니다. 

간단하게 언급해 보자면 이런게 아닐까 하는 생각이 드네요. 실제 제가 참여 할때 하는 방법이기도 합니다. 아직까지 경험이 많지 않아 부족하지만 열심히 노력 중에 있습니다.

아래 포스팅 참고 하시구요.

2009/09/22 - [Security ISMS] - 정보보호관리체계(ISMS) 인증심사는 어떻게 진행될까?

  • 심사원은 인증심사전에 피 심사기업에 대하여 한번쯤 조사를 해 본다. - 사전에 피 심사기관이 어떠한 사업을 하고 있으며 비니지스 모델은 어떤 것이며, 대략적인 무엇을 하는 회사인지를 알고 가면 좋겠습니다. 또한 연혁이나 사업분야를 홈페이지등에서 참고 하면 좋겠지요.
  • ISMS 인증심사기준을 한번씩 읽어 보고 가라 - 저의 경우에는 ISMS 인증심사기준표에 나와 있는 심사기준을 한번씩 전부 그 전날에 읽어 보고 갑니다. 그래야 인증심사 업무시 바로 적용 가능하기 때문이고, 심사를 많이 하신 분들은 이미 어느정도 머리속에 있지만 그렇지 못한 분들은 꼭 기억하시고 한번씩 준비하시고 참여 하는게 좋겠습니다.
  • 보다 폭 넓은 지식과 연구를 하라 - 보통 심사를 하게 되면 한 사람이 모든 것을 심사 할 수는 없지요. 따라서 몇번 참여 한 사람은 조금 다양한 부분을 맡아서 하면 좋을 듯합니다. 그래야 심사팀장이 되었을때 전체적으로 큰 그림을 그릴수 있지 않을까 생각이 듭니다. 자신의 업무가 인프라 관련된 부분이라고 매번 운영관리쪽만 하면 심사는 쉽겠지만 발전은 없을듯 합니다.
  • 선배 심사원의 심사스킬을 배운다 - 아무래도 많은 참여 경험이 있는 심사원의 심사스킬을 조금씩 배우는 것도 좋겠습니다. 심사원분들 중에서 경험과 지식이 많으신 분들이 많이 알려 주시기도 하죠.
  • 결함보고서 작성 연습 - 가상의 결함 보고서 작성을 많이 연습해 보면 심사팀장의 부담을 줄여 줄수 있고, 결국 결함보고서의 내용으로 결함을 도출 해 내기에 성의 있고, 깔끔한 작성과 해결 방안을 적절하게 제시하면서 작성하는 방법을 찾으면 좋겠습니다. 저도 많이 노력해야겠습니다.

기타 여러가지가 있지만 추후 더욱 많은 경험이 생기면 다시 한번 정리해 보도록 하겠습니다.

2. 웹 모의진단 및 주요 시스템 취약점 점검 수행




작년에 비해 용역단가가 올라 갔기 때문에 요구하는 사항도 조금 늘지 않았나 생각이 듭니다. 실제 owasp 2010 10대 취약성을 이용한 모의진단 및 주요 시스템 취약성 점검을 요구 하고 있습니다. 취약점 진단을 따로 수행 진행 해야 하기 때문에 전담 인력이 있는 업체가 있으면 유리 하겠군요..


3. 객관적이고 전문화된 사후관리 심사 수행





3단계에 걸쳐 SOP를 제시 할수 있어야 겠습니다. 아마도 이러한 부분은 기존에 많은 사후관리 심사를 해본 업체가 유리 하지 않을까 하는 생각이 드는데요. 아무튼, 가장 중요한 부분이겠지요. 특히 이러한 3단계 진행을 잘 하려면 심사경험이 풍부하고 심사팀장이 역량이 뛰어나면 훨씬 수훨하게 진행이 되지 않을까 싶네요.. 심사원과 심사팀장의 실질적인 심사비도 현실화가 되는지 모르겠네요.


다음은 사후관리심사 대상 업체 현황입니다.

* 사후관리심사업체 현황



현황을 보니 주로 10월과 11월에 집중적으로 분포 되어 있네요. 1년중 가장 많은 업무가 있는 시기이기도 하겠지요. 이러한 사항을 고려 한다면 혹시 ISMS 인증심사 인증을  준비하시는 분들은 2/4분기에 준비하면 조금 넉넉하게 심사 받을 수 있지 않을까 싶네요. 아무래도 바쁜 시기에는 그만큼 서로가 힘든 부분이 있겠지요.



통신업체와 정보보호업체로 구성되어 있습니다. 2월에도 제법 많이 분포되어 있네요..일정이 빠르게 진행이 될 듯 싶네요..




원격 대학으로 17개 대상 학교가 되어 있습니다.  가군, 나군, 다군으로 분류되어 있어 인증심사시에 공정성과 객관성을 유지하고 있으며, 71개 대상 기업을 심사한다는게 쉽지는 않을 듯 합니다. 여러 팀에서 동시에 높은 품질을 보장하는 심사가 이루어진다면 별 무리가 없겠지만 그렇지 않을 경우에는 심사적체가 생길 수 있겠습니다. 이러한 사항을 용역 보고서에서 해소 할 수 있도록 요구 하고 있습니다.


4. 사후관리 심사팀 구성원칙

-심사팀은 심사팀장 1명, 심사원 1명, 심사원보 1명 총 3명으로 구성 심사팀장 이외의 심사원 295명은 인증심사원 중에서 KISA가 선정가 기본원칙이구 기업 규모에 따라 변경 가능 하게 되어 있습니다.

-심사수수료는 "KISA  인증업무지침" 준용하여 (심사원 30만원 이상, 심사원보 :20만원 이상) - 심사수수료 올랐죠?
- 최근 2년 동안 사후관리 대상 기업에 정보보호컨설팅에 참여한 경력이 있는 심사원은 구성에서 제외


5. 컨소시엄 구성이 가능 - PM교육, 사후관리심사진행, 취약성점검 진행


작년에 비해 용역단가는 올라가고 조금은 체계적이고 , 인증심사원을 적극 활용하는 방안으로 용역이 발주 된듯 합니다. 관리적 보안 특히 , 정보보호관리체계(ISMS)는 수립과 인증은 아무나 할 수 있는 것이 아닌, 업계 경력과 노하우 그리고 각종 인프라에 대한 경험이 어울어져 주어진 체크리스트에 얼마나 부합하는지를 심사하는것으로써 정보보호전문기관인 KISA를 대변하여 인증심사를 할 수 있는 역량 있는 인력을 요구 할 듯 합니다. 개인적으로는 저도 많은 관심을 가지고 있으며, 아직 부족하지만 , 심사스킬도 높이도록 노력을 해야겠습니다. 기술적 보안도 중요하고 , 시큐어코딩이나 개발도 중요하지만 큰 틀에서 보안을 생각할 수 있는 좋은 기회인 듯 합니다. 나름 보안전문가로서 큰 로드맵과 기업의 의사결정자로 하여금 정보보호의 인식제고 및 중요성을 알리는 것 중에 하나라고 생각이 듭니다. 역량 있는 기업이 많이 입찰하여 국내 ISMS 제도 정착에 이바지 하였으면 하는 바램을 갖어 봅니다.

첨부파일  : ISMS 사후관리심사 진행 용역발주서(RFP)




신고
Posted by 엔시스

최근 커뮤니티 회원이나 메일링을 통하여 조직이나 사내 보안 규정에 대하여 규칙/지침을 수립할려고 하는데 이 규정이나 지침을 규정하는 상위법이 있는지를 질문하는 경우가 많습니다. 보통 답변은 ISMS에서 요구하는 규정이나 지침을 마련해 놓으면 왠만한 상위법에 규정에 나와 있는 것은 충족 한다고 답변해 드립니다.

하지만, ISMS가 무엇인지를 잘 모르는 분이나 또한 안다고 하여도 어떤 내용인지를 모르시는 분들이 있어서 ISMS 인증시 어떠한 혜택이 있는지에 대하여 우선 말씀 드리고자 합니다. 세부적인 보호조치에 대한 부분들은 http://isms.kisa.or.kr 에서 참고 하시기 바랍니다.



보험, 용역평가, 입찰과제선정시에 가점을 부여하고 있으며, 각 보험사에 보험적용시에 할인에 대한 혜택이 있습니다.

ISMS 인증시 세제 혜택이나 추가 인센티브를 더욱 확대 해 나가야 할 부분들이 있지 않은가 생각이 듭니다. 필자도 ISMS 인증심사를 나가 보면 회사 정책상 어쩔수 없어 ISMS 인증심사를 받긴 하지만 최초심사시에는 담당자 분들도 많이 힘들어 하는 경우가 많습니다. 또한 어떻게 해서든지 인증심사 기간만 지나면 된다라는 생각이 지배적일 수도 있습니다.

그것 보다는 ISMS 인증심사에 따른 혜택을 조금 더 확대하여 기업에 실질적인 혜택이 돌아갈수 있는 인센티브를 주는게 맞겠습니다. 그래야 조금 더 권고사항이 의무사항으로 바뀔수 있는 여지가 있지 않은가 하는 생각이 들고, 처음 시도했던 바와는 달리 잘 유지를 해 나가는 것 또한 필수라고 하겠습니다. 이것이 애물단지가 되어 버린다든지 기업이나 조직의 성장, 발전에 불편한 요소가 된다는 인식을 갖게 해서는 안될 것입니다.  아무튼 2011년 한해에는 정보보호관리체계(ISMS)에 많은 관심을 가지고, 이제 주먹구구식의 정보보호관리에서 조금 더 체계적인 관리를 해 보시는 것은 어떨런지요?


신고
Posted by 엔시스

오늘은 우연히 체크,체크리스트라는 책의 서평을 검색하면서 읽다가 '정보보호관리체계(ISMS)와 같은 유사성이 있어 ISMS의 관점에서 한번 포스팅 해보려고 합니다. -편집자 주



정보보호관리체계(ISMS)가 최근 주목을 받고 있습니다. 그것은 전자정부에 관리체계인 (G-ISMS)나 개인정보보호관리체계인(PIMS)의 모태가 되는 제도이기 때문입니다. 물론 그 안에 들어 있는 사상이나 방향은 조금씩 다르지만 지금까지 제도운영에 대한 노하우가 가장 많이 있기 때문입니다.

2002년부터 시행된 ISMS 인증제도는 앞으로 더 확대 되어야 하고 지금처럼 권고사항이 아닌 이젠 의무사항으로 되어 법제화가 되어야 할 것으로 생각이 듭니다. 물론 가야할 길은 많이 있겠지만 말이죠.

                                                                          <위키피디아의 ISMS 내용>

정보보호관리체계라는 것은 아무것도 없는 보이지 않은 조직과 기업의 보안에 틀을 제공하고 문서화하고 조직에 자산을 식별을 하여 위험도를 산정하여 위험도가 높은 것부터 보호조치를 취하는 아주 지극히 반드시 해야 하는 작업중에 하나입니다
하지만 현실적으로 쉽지 않은 부분들이 있고, 특정 위험평가부분에서는 어려운 부분도 있기때문에 스스로 해결하기보다는 외부에 도움을 받으려는 경우가 많습니다.

처음 기둥을 세울때에는 어쩔수 없다고 하더라도 최초심사이후, 사후관리, 갱신심사에서 그나마 조금씩 알아가는 담당자들을 보고 있을때면 심사 위원들로서는 조금은 보안이 강화되어 가는 느낌이 듭니다. 하지만 아직도 일선에서는 여러가지 애로사항들이 많이 있습니다.

최근 KISA ISMS 인증심사원 교육 자료에 따르면 2010년5월 기준 76개 업체가 인증심사를 통과 하였다고 되어 있습니다. 이제는 정보보호관리체계라는 하나의 또 다른 키워드와 시장이 형성이 되는 시점일 수도 있습니다. 이런 시점에서 인증심사원과 해당 조직에 ISMS 담당자들이 서로 정보를 공유하고 함께 나누어 갈수 있는 기회의 마련이 중요하겠습니다.

최근 인증기관인 KISA 홈페이지에는 세미나 또는 교육이후 다양한 자료를 공개 배포함으로 인하여 좋은 자료를 쉽게 접할수도 있게 된것도 고무적인 현상입니다.


ISMS의 핵심은 바로 체크리스트와 이행증적

정보보호관리체계(ISMS)와 맥을 같이 하는 책이 있어 소개하고자 합니다, 아직 저도 책을 읽어 보지는 않았지만 우연한 기회에 서평을 보게 되었고, 조만간 책을 한번 구입해서 읽어 볼 생각입니다., 그것은 바로 체크리스트라는 것입니다.

관련포스팅

습관화된 체크리스트가 성과를 낳는다.
체크체크리스트
위키피디아의 ISMS http://en.wikipedia.org/wiki/Information_security_management_system


조직에서 정보보호에 대한 보호조치나 대책 마련을 만들기 위해서는 어떠한 이유로 어떠한 사유로 어떠한 규정에 의하여 하여야 하는지에 대한 근거가 마련이 되어 있어야 합니다. 그렇지 않을 경우 왜 정보자산의 위험에 대한 보호조치에 투자가 되었는지를 설명할수 없기 때문입니다. 이러한 것은 바로 15개 도메인의 446개 세부통제항목을 가지고 있는 ISMS 체크리스트 가 적합 할 것입니다.


정보보호관리체계(ISMS)도 이제는 경영에 반영될수 있는 거버넌스로


인증심사를 다니다보면 '자산위험평가'를 한 '위험평가보고서'를  접하게 됩니다. 이러한 위험 평가보고서는 말 그대로 자산 목록에 대한 위험도를 산정하여 어떠한 자산이 위험에 우선순위에 있는지를 나타내주는 일종의 보고서라고 보시면 되겠습니다.

하지만 , 한가지 아쉬운 점이 있습니다. 그것은 바로 '경영진을 위한 위험평가보고서'가 없다는 것입니다. 지금 컨설팅업체에서 주는 위험평가 보고서는 실무진을 위한 평가보고서이지 경영진을 위한 것은 아니라는 이야기입니다. 여러가지 자산목록에 대하여 각종 위험도와 그래프 , 그리고 빽빽하게 적힌 4-50장 정도의 평가보고서를 읽고도 경영진은 도대체 어떠한 내용으로 무엇이 위험하고 왜 위험한지에 대한 1-2장짜리 보고서가 필요한 것입니다.

물론 이러한 부분은 컨설팅업체보다는 각 조직에 있는 ISMS 를 담당하는 부서에서 가공하여 경영진에게 보고 할수 있는 보고서를 만들면 금상첨화 일 것입니다. 하지만 지금 대부분 ISMS는 최초심사는 물론이고 사후관리까지 외부에 컨설팅을 받아야 하는시점이고, 스스로 위험평가를 어떻게 왜..그리고 무엇인지를 정확히 파악하고 있는 실무진도 드물다는 이야기겠지요.


1-2장짜리 경영진 눈높이의 위험평가보고서가 필요

이러한 '위험평가보고서'에서 1-2장짜리 경영진에 보고할수 있는 경영진의 눈높이로 보고서가 작성이 되어 경영진이 위험도가 높은 자산을 보호조치를 함으로 인하여 경영에 도움이 될수 있다는 사실을 구두로, 또는 어려운 평가보고서로 하는것이 아닌 평가보고서를 근간으로 하는 외부 심사를 받았는데 이러한 위험이 도출이 되고 향후 보호조치를 취하지 않았을때에는 경영에 막대한 피해를 입힐수 있다는 사실을 인지시켜야 하는 것이 해당 담당자의 몫이고 인증심사원들이 심사시에 조금 더 힘을 실어 줄수 있는 기회일 듯합니다.


맺음말

앞으로 ISMS 인증심사를 신청하는 조직은 점점 늘어 날 가능성이 있고, 또한 그 필요성이 대두가 되고 있기에 기존에 먼저 ISMS 인증심사를 통과한 조직에서는 이제 막 시작하려는 유사 조직에 시행착오나 ,격려, 그리고 개선점을 함께 공유하는 자세가 필요하고 개선점을 같이 도출하는 것이 바람직하여 시간이 흐를수록 더욱 건실한 제도운영이 되어야 할 것입니다.

무엇이든 스스로 통제하고 접근제어하기란 쉽지 않습니다. 어떠한 기준에 의거하여 만들어 놓은 것이 그 조직에 프로세스화 하고 체계화하여 추후 고도화에 접근을 하게 되는 것입니다. 처음엔 무엇이든 모두 어렵다고들 느낍니다. 하지만 어려운 것은 익숙하지 않아 그런것이지 무엇이든 익숙해지면 그 어려움은 사라질 것이라 생각합니다. 전문가, 즉 정보보호전문가의 길로 간다는 것은 바로 '관심'에서 출발 한다고 생각합니다.      첫번째로 관심이 없으면 출발조차 할수가 없겠지요.

인증심사원은 인증심사만 끝나면 일로써 잊어버리는 것이 아니라 주어진 하나하나 인증심사를 함으로 인하여 어떠한 경험이 되었고, 어떻게 하면 더 보안성을 강화 할수 있는 방법이 있는지를 고민하여 추후 또다른 심사시에 어려움을 겪고 있는 분들에게 좋은 조언이 될수 있고 참고가 될수 있는 새로운 지식을 주어야 하는 것이 인증심사원으로서 자질이라 생각이 듭니다.  또한 인증심사원으로서 갖추어야 할 자질과 품격 그리고 여러가지 결함보고서 작성능력이며, 심사가 원활히 이루어질수 있도록 협조하는것도 하나의 덕목이라 생각이 듭니다. 15개 ISMS 체크리스트를 근간으로 하여 해당 조직에 심사를 하는것이지 지도나 감사를 하는 것이 아니라는 생각을 가지고 늘 겸손하고 품격있는 자세로 심사를 하는 횟수가 거듭됨으로 인하여 더욱 성장 해 나가야 할 것입니다. 이러한 인증심사원들이 많이 양성이 되어 대한민국 정보보호에 대한 체계를 점점 잡아 갈때 보안은 한단계 업그레이드 될 것이라 생각이 됩니다. @엔시스.


신고
Posted by 엔시스

전자정부에서도 정보보호관리체계를 도입하여 시작을 하게 되는데요., 그에 따른 통제 항목과 인증지침에 대한 자료 입니다.

관련 포스팅

2009/11/18 - [Security ISMS] - 공공기관 정보보호관리체계 (G-ISMS) 의무화


일정부분이 K-ISMS 부분과 유사한 부분이 있으며, 기존에 공공기관에 체계적이지 못 하였다면 정보보호에 대한 관련 정책 수립이 이제는 조금 더 견고히 되는 제도가 되지 않을까 생각이 됩니다.






모든것이 바라보는 관점에 따라 틀릴수 있다고 생각합니다. 규제라고 생각을 하기보다는 조금은 내부적 정보에 대한 보호를 견고히 하고, 구성원들의 정보보호에 대한 교육과 인식을 바꾸는 기회가 되는 쪽에서 바라 보아야겠습니다. 그렇지 않으면 자칫 규제가 되어 버린다면 오히려 불편함을 초래 할 수 있기 때문입니다.  많은 구성원의 이해가 요구되는 사항이기도 합니다.

올해에는 영 시간이 나지 않아서, 심사에 참여 하고 있지는 못하지만 좋은 기회가 있으면 공공기관에 G-ISMS 심사에도 참여를 하여 더욱 내실을 기하는데에 일조 하였으면 하는 바램을 가져 봅니다.

이러한 관리체계 인증심사나 심사원은 기술적 스킬만 가지고 되는 것보다는 겸손하고 사람의 됨됨이 심사원으로서 자질과 스킬을 골고루 갖춘 분들이면 더욱 좋겠지요. 저도 많은 노력을 하고 있습니다.

참고 하실분들은 해당 참고 첨부파일을 참조 하시면 되겠습니다. 출처는 보안인닷컴 커뮤니티에서 한 회원분께서 올려 주셨습니다..




신고
Posted by 엔시스

정보보호관리체계(ISMS) 인증심사원 양성 교육 안내


한국인터넷진흥원(KISA)에서는 정보보호관리체계(ISMS) 인증심사에 참여할 인증심사원 양성을 위하여 교육을 아래와 같이 진행하오니 여러분의 적극적인 참여를 부탁드립니다.


교육명 : 정보보호관리체계(ISMS) 인증심사원 양성 교육


대상 및 인원

ISMS 심사원 활동이 가능한 정보통신 및 정보보호 분야 종사자 50명

※ 참여 자격요건: 학사취득자는 정보통신 유관경력 6년 이상, 석사취득자는 3년 이상이 필요하며 이중 최소 2년 이상의 정보보호 실무경력 필요

※ 교육 수료 후 경력증명이 된 경우에 한하여 심사원 위촉 예정


일시

2010. 6. 21(월) ~ 25(금), 9:00 ~ 18:00(40시간)


장소

한국인터넷진흥원 KISA 아카데미 강의장(강남역 소재)

[첨부1]KISA아카데미오시는길 참조


신청기간 및 신청방법

2010. 6. 8(화) ~ 14(월)

[첨부2]ISMS심사원양성교육신청서를 작성하시어 아래 링크를 통해 첨부 및 신청

http://kisa.nahs.or.kr/isms2.html

문의처

KISA 기업보안관리팀
(Tel : 02-405-5233 / E-mail : securitycheck@kisa.or.kr)

교육운영 대행업체: 한국해킹보안협회 사무국 고승욱 팀장
(Tel : 02-3406-9225 / E-mail : ksw@nahs.or.kr)


기타

주차는 지원이 안 되오니 대중교통을 이용하여 주시기 바랍니다.

ISMS 심사원 양성 교육 교육비와 교재는 무료입니다.

80% 이상 출석하고 시험 실시 후 일정점수 이상이면 수료증이 발급됩니다.


교육프로그램

인증심사 실무에 필요한 내용으로 [첨부3]ISMS심사원양성교육프로그램 참조

 








한국인터넷진흥원에서 ISMS 인증심사원 양성 교육 교육생을 모집하고 있네요. 한번쯤 들어 두시면 좋을듯 싶습니다. 그런데 약간의 경력이 필요 하기에 아무나 신청할 수 있는 대상은 아닌듯 합니다. 아무튼 IT경력과 정보보호 경력이 되신다면 시간내어 교육을 받아 보시는게 좋겠습니다.

일주일씩 업무중에 시간을 뺀 다는게 쉽지는 않겠지만요..

ISMS 인증심사원에 대한 자세한 포스팅은 아래 링크를 참고 하시면 됩니다. 지금까지 ISMS 인증심사를 하면서 느낀점이나 제도 정책에 대한 개인적인 의견을 담아두었습니다.

http://www.sis.pe.kr/category/Security%20%20ISMS






신고
Posted by 엔시스

2010년 정보보호관리체계(ISMS) 인증 모범 사례집이 나왔네요. 지난 연말에 준비했던 것인데 지금 접하게 되었네요. 얼마전 언론 기사에서도 국내 ISMS 인증 심사제도를 확대 하겠다라는 부분이 있었다.

관련 포스팅

2010/04/28 - [Security ISMS] - 방통위, ISMS 인증 확대 위한 활성화 방안 본격 추진

본인도 몇번 참석 하지는 않았지만 누구보다 국내 ISMS 인증심사에 대한 정착을 위한 노력과 많은 분들이 관심을 가지고 노력을 하였으면 하는 바램을 가지는 사람중에 하나이다.

이번 모범 사례집에는 지금까지 ISMS인증심사로 참여 하면서 느꼈던 제3자의 시각으로 글을 한번 적어 보았습니다.





성격 급하신 분들을 위하여 웹에 간략히 정리 해 보면 

ISMS 인증심사를 효율적으로 하려면 
  • 인증 심사원 측면
    • 다양한 인력풀을 이용한 심사원 품질제고 - 다양한 인력풀을 이용한 보다 체계적이고 품질 높은 인증을 노력을 하여야 한다.
    • 심사원의 품위와 자질 향상 - 인증심사원의 품읭하 자질 향상에 노력을 해야 하고, 무리한 심사나 인증심사기관의 담당자로 하여금 불쾌감을 주는 일은 없어야 한다. 또한 15개 도메인과 446개 세부통제 항목을 잘 이해하고 있어야 한다.
    • 인증심사원의 신청기관에 대한 사전이해노력 필요 - 사전에 인증심사를 받고자 하는 기관에 심사원이 웹사이트등 사전 방문을 통하여 조금 이해하고 심사에 임하면 조직을 이해하는데 도움이 될 것이다.
  • 인증심사 신청기관측면
    • 철저한 사전준비로 심사에 임해야 - 인증심사에 철저하게 대비하여 대외적인 이미지에 영향을 끼치는 문제임으로 소홀함이 없어야 한다.
    • 12개월중 1개월만 보안하는 조직이 되어선 안돼 - 보통 최초심사는 5일 사후심사는 3일인데 심사를 전후하여 준비기간에만 반짝 준비하고 , 1달만 준비하는 관리체계가 되어선 안된다. 정보보호는 1년 365일 지속적인 라이프사이클을 가지고 해야 된다.

 

ISMS 인증심사로 기업 보안문화 정착

  • 경영자 (CEO)의지가 무엇보다 중요 - 반복적인 이야기 같지만 심사를 나가보면 이러한 문제를 호소하는 담당자들이 제법 있다. 무엇보다 CEO의 보안에 대한 의지가 중요하다.
  • 전 임.직원의 보안 생활화 - 보안이 불편한 것이 아닌 위험 수용을 위한 투자라고 생각하고 조직내에서 보안이 하나의 문화(文化)로 자리 잡아야 한다.
이러한 내용으로 기고를 하였습니다. 참고로 세부적인 내용은 첨부파일을 함께 첨부 하오니 자세한 내용은 첨부파일을 다운로드하여 구독해 보시면 ISMS에 관심 있는 분들은 많은 도움을 얻어 가실수 있을 것입니다.


 

신고
Posted by 엔시스

방송통신위원회(위원장 최시중, 이하 방통위) 주최로 27일 삼성동 코엑스 그랜드볼룸에서 개최된 ‘기업 성공비지니스를 위한 정보보호 대응 전략’ 세미나 토론회에 참가한 배영식 방통위 사무관은 “ISMS 인증을 확대하기 위한 추진방안이 마련된다”고 밝혔다.


활성화 추진방안을 살펴보면, △기업정보보호 인식제고 홍보기능 강화, △인증취득 기업에 대한 인센티브 확대, △기업의 정보보호 수준평가 및 등급제 검토 , △기술지원 강화 등이다.

뉴스출처: http://www.boannews.com/media/view.asp?idx=20626




이젠 정보보호관리체계 수립은 필수


어제 "보보톡" 인터넷 방송에서도 이야기 했지만 향후 보안에 대한 전반적인 프로세스 및 체계를 잡으려면 정보보호관리체계를 수립하는 것이 시급하다.

실제, 심사에서도 몇번 참여를 해 보았지만 우린 너무 기술적인 부분에만 급급한 나머지 제대로된 체계를 잡지 못하고 주먹 구구식으로 보안 정책을 운영해 온 것이 사실이다.


왜 정보보호관리체계를 수립해야 하는지에 대해서는 더이상 언급하지 않겠다. 자세한 내용은 다음 카테고리를 참고 하면 되겠다.

http://www.sis.pe.kr/category/Security%20%20ISMS


그럼 무엇이 문제인가?  바로 보안인식의 문제이다. 정보보호관리체계가 중요하다는 것은 알지만 그에 상응하는 보안인식도 부족할뿐아니라 실제 담당하고 있는 담당자도 상당한 업무를 요하기 때문이다.

현실적으로 보면 담당자가 ISMS 하나만 담당하는 경우는 드물다. 대부분 전산 담당이나 관련 업무이외에 또 다른 업무를 담당을 하다보니 그져 형식에 그치고 실제 ISMS 인증 심사시에만 준비를 하여 제대로 된 라이프 사이클이 돌고 있지 않는다.

그리고 15개 통제항목에 446개 세부 통제항목을 일반 중소기업에서 적용하기에는 다소 무리한 측면이 있다. 중소기업에 커스터마이징된 관리체계가 필요 할꺼 같고, 이는 심사에 참여 하면서도 관련 담당자에게 말한적도 있다.

다만, 사회적 분위기가 전반적으로 보안에 대한 인식이 투자보다는 비용이라는 측면이 강하고 사전에 예방을 함으로 인하여 만일의 경우에 잃을수 있는 신뢰와 이미지에 대한 산출이 쉽지 않고 당장 눈앞에 놓인 해결해야 할 사안이 우선이다 보니 우선순위에서 자꾸 밀리는 경향이 있다.

이는 예산 삭감이라는 철퇴를 맞으면 보안에 대한 관심은 점점 멀어진다. 이렇다 보니 담당자는 힘들수 밖에 없고, 혹여 침해사고나 외부로부터의 공격을 당하면 담당자의 문책과 처벌이 되다보니 상당히 기피 하는 현상이 생기게 된다.


늦은감이 없지만 ISMS 인증제도는 법률적 근거로 의무화가  되어야


사람이라는 것은 당장 발등에 불이 떨어지지 않으면 잘 하지 않게 된다. 대부분 심사를 나가보면 현장에서 하는 말은

 누구인들 보안 하고 싶지 않아서 하는게 아니다. 정보보호관리체계 수립하여야 한다는 필요성도 안다. 하지만 공감대 형성이 안되어 있고, 인력과 예산이 없어 못하는 경우가 많다.
그 이면에는 아마도 ISMS가 의무화 사항이 아닌 권고 사항이라는 이야기들도 있다. 권고는 말 그대로 해도 그만. 안해도 그만.  일정한 규모와 조직을 갖춘 기업이나 공공기관들은 반드시 ISMS 인증심사를 의무화 해야 한다.

개인정보보호법도 정책적 논리에 의하여 힘겨루기를 하다가 결국 무산이 되어 버렸다. 조금 확장하여 논리를 펴자면 "천안함" 이 바다에서 눈에 보이듯이 침몰하면 그 중요성은 크다. 당장 피해나 현실이 눈에 보이고 꽃다운 젊은 청춘들의 목숨을 빼앗아 갔으니까.

하지만 보안인식의 결여는 그 보다 더 큰 사이버 재앙을 불러 올것이다. 눈에 보이지 않는 곳으로 말이다. 침해사고나 외부로부터 침입을 당하고 나서야 재발방지차원에서 정책을 집행하는 것은 이미 늦은 행동이다. 그 보다 사전에 미연에 방지를 하기 위해선 보다  보안을 체계적으로 수립하고 관리할수 있는 정보보호관리체계(ISMS) 인증 심사제도를 의무화하는 날이 오길 기대해 본다. @엔시스.

* 뽀나스 포스팅 하나.

2009/09/22 - [Security ISMS] - 정보보호관리체계(ISMS) 인증심사는 어떻게 진행될까?

관련기사 중에서 대한항공, ISMS 적용해 종합적 위험 관리 가능해져


신고
Posted by 엔시스


출처: 검색 구글 신공

구글로 검색하다가 발견된 자료입니다. 내용을 보니 이미 시간이 좀 지나간 자료인듯 합니다. 본문 내용은 KISA ISMS하고 동일 하네요..좀 더 새로운 ISMS를 적용하는 줄 알았는데 행안부라서...

본문 내용중에 2008년 기준 58개 정도 써티 나갔다고 하는데 지금 2010년 지금 약 77개 업체정도 됩니다. 참고 하시기 바랍니다..

혹시나 처음 접하시는 분들이 게실꺼 같아 자료 같이 공유합니다. 참고 하세요..^^;;





신고
Posted by 엔시스



ISMS (정보보호관리체계)  수립을 하면 연 2억 경제 효과가 나타 나는 것으로 보고 되었다. 사실, 정보보호관리체계를 수립한다는 것은 쉬운 일은 아니다.

처음에 수립하고 싶은 마음은 많지만 인력과 예산이 들어가는 부분이라 많이 망설이지만, 인증심사를 나가 보면 그래도 예산을 확보하여 처음부터 보호해야 할 자산이 무엇인지 , 수용가능한 위험은 어느정도 수준인지를 알수 있기에 정보보호 담당자나 기업 입장에서도 조금은 정리가 된다고 보면 좋겠다.

보통 ISMS는 심사 6개월 전부터 준비하여 컨설팅도 받고 인증심사까지 받지만 한번 체계적으로 정보보호에 대한 조직내에 정책과 지침을 정리를 해 놓는다면 그 다음해부터는 잘 이행만 하면 되는 것이다. 물론 다른 여러가지 변수들도 있겠지만 체계가 잡히지 않은 상황에서 대응 방법과 사전에 체계를 수립하면서 시나리오 형태로 준비하면서 체계적인 보고 체계와 책임과 역할을 규정해 놓는다면 훨씬 다양한 위협으로부터 안전하게 자산을 보호 할 수 있을 것이다.

가장 신경을 써야 하는 부분은 최초 인증에만 의미를 두는 것 보다는 지속적인 이행과정을 통하여 전사, 전직원 보안 마인드를 향상시키고 보안에 대한 생활화를 더 가깝게 이끌어 내는 것이 중요 할 것이다. 이번 보고서는 ISMS 인증심사로 인하여 경제적 효과를 정량적으로 가늠할수 있는 보고서가 될 것이며 정량적 데이터가 없어  ISMS 인증을 망설이는 기업에게 좋은 기초자료가 되는 듯 하다. 아직까지 KISA 홈페이지등 여러곳을 찾아 보았지만 보고서는 찾지 못했다. 추후 확보가 되면 한번 읽어 보고 후기 및 정보를 같이 공유 하도록 하겠습니다.  @ 엔시스.


* 인터넷 & 시큐리티 이슈 2호에 2번째 세션에 내용이 나와 있네요.. 고규만 선임님 잘 보겠습니다. 감사합니다. ^^



신고
Posted by 엔시스

정보보호관리체계(ISMS) 인증 취득 기업에 대한 사후관리에 대한 사업공고가 KISA 홈페이지에 올라 왔네요..정보보호관리체계 인증을 받은 기업이 점점 늘어 날수록 이에 대한 관리기관에서 관리도 해야 하기에 상당히 중요한 사업이라 생각이 듭니다.

특히, 사후관리는 ISMS 인증심사를 취득후 1년에 1번씩 이행점검을 심사하는 것이라 보면 되는데 23일까지 마감이고 25일날 사업설명회가 준비가 되어 있네요..

혹시 정보보호관련 사업을 하시는 분들은 한번쯤 설명회에 참석 하셔서 어떻게 제도 운영이 되는지 한번쯤 들어 보시는 것도 사업 다각화를 위하여 도움이 되지 않을까 생각합니다.

그나 저나 올해는 ISMS인증심사원으로 활동을 많이 해 보려고 하는데 여건이 잘 될지 모르겠네요..^^;;  그동안 ISMS에 대한 공부를 좀 했더니 이제 조금 감이 잡히는듯 합니다. 공부라고 해 봐야..시간적 여유를 두고 처음부터 끝까지 한번 정리 하는 것이지만요.

사실, 예전에 아무런 생각없이 따라가기 급급했거든요...왜 ISMS를 해야하는지..하면 무엇이 좋은지에 대한 구체적인 생각들이 제 나름대로 들기 시작했습니다.

아무튼, 어떤 기업이 사업자로 선정이 될지는 모르겠지만 올 한해 또 열심히 해 보아야겠습니다. ^^;;;

아래는 사업을 위한 RFP를 같이 첨부해 올립니다. 한번씩 읽어 보시면 좋겠습니다. 조금 더 자세한 내용은 키사 홈페이지를 참고 하시기 바랍니다..




신고
Posted by 엔시스

국내에서 정보보호관리체계는 두개로 나누어 볼수 있습니다. 하나는 한국인터넷진흥원( 이하 KISA)가 시행하는 K-ISMS가 있고 또 다른 하나는 BSI에서 시행하는 ISO27001 이 있습니다. 여기서는 K-ISMS 기준으로 설명 하겠습니다.
 

그런데 방통위고시 제2008-11호는 [정보보호관리체계 인증 등에 관한 고시] 로 되어 있습니다. 우선 그 목적을 보면 다음과 같습니다.

제1조(목적) 이 고시는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하“법”이라 한다) 제47조제2항 및 같은 법 시행령 제47조제2항․제48조제1항제3호․제5항․제50조제6항에 따른 정보보호관리체계 인증에 관한 정보보호관리기준․지정에 필요한 업무수행능력심사 등에 관한 세부사항과 그 밖에 정보보호관리체계 인증에 관하여 필요한 사항에 대하여 정하는 것을 목적으로 한다.   



세부사항을 정해 놓은 고시입니다. 상위 법에 근거한 세부 규정이라 볼수 있겠습니다. 자세한 내용은 첨부 파일을 참고 하시면 아주 세부적인 내용을 알수 있습니다.

특히, ISMS 인증심사나 인증심사원에 관심이 있는 분들은 잘 살펴 보시고 준비해 두었다가 한번 고려해 보시면 좋겠습니다. 이것은 제가 운영하는 카페나 기타 사적인 자리에서 자주 문의해 오는 사항이기도 하니 잘 숙지 해 두시면 많은 도움이 되겠습니다.
아래 파일 첨부합니다.


신고
Posted by 엔시스

내년 2010 년에는 전자정부 정보보호관리체계를 의무화 한다는 기사가 있었습니다.  본격적인 작업에 돌입이 되지 않나 싶네요.

정보보호관리체계에 관심이 있는 분들은 한번씩 참고 해 보시구요. 또한 공공조직에서 보안담당자들은 반드시 한번씩 일독 하기를 권해드립니다.



세부적으로 하나씩 읽어보니 기존에 ISMS와 유사한 느낌이 나는데 얼마나 효과가 있을지에 대해서는 한번 지켜봐야 겠습니다.

제가 늘 말했듯이 보안과 편리성과는 trade-off 관계에 있습니다. 따라서 정보보호관리체계를 귀찮은 일로 생각하시면 오산입니다. 어쩌면 제대로 된 관리체계를 수립해 놓고 제대로만 운영을 하면 더 수훨하게 관리 할수도 있습니다.

저는 관리체계를 보통 "집안 대청소"에 비유을 합니다.

어느날 아이들이 장난감과 교구 그리고 방을 완전 쓰레기 장으로 만들어 놓았습니다.  그럴때 아버지는 아이들을 데리고 책은 책꽂이에 장난감은 장난감 통에 그리고 옷을 옷걸이에 차곡차곡 정리를 합니다.

그러다가 쓸모 없는 물건이나 옷들이 있으면 쓰레기나 재활용에 버립니다. 그렇게 아이들과 같이 집안 대청소를 하고 나면 한결 잘 정리가 되고 물건이 있어야 할 자리에 있으면 그 다음부터는 관리 하기도 쉽습니다.

마찬가지로 정보보호(보안)도 기존에는 아주 주먹구구식으로 운영이 되어 왔습니다. 예를들면 화면보호기를 몇분동안 지정을 해야 하는지 패스워드는 몇자리로 해야 하는지, 정말 정보를 보호해야 할 자산은 무엇인지. 무엇이중요하고 무엇이 중요하지 않은지에 대한 기준과  규칙이 없었다는거죠..

그러한 규칙을 하나하나씩 인증심사 기준에 맞추어 체계적으로 수립해 나갈때 커다란 하나의 틀 안에서 관리를 하게 되니까 잘 고관리가 될수 있는 것입니다.

아마도 이러한 측면에서 공공기관부터 정보보호에 대한 관리 틀을 다시 한번 수립해야 하지 않는가 하는 점에서 의무화는 당연하다고 생각합니다. 실제 인증 심사를 받기위한 관리체계라기 보다 정말 조직의 정보를 보호 한다는 차원에서 접근하면 그 의미도 남다르지 않을까 생각합니다. 정보보호, 보안관리자 여러분 화이팅 하시기 바랍니다. @엔시스.



신고
Posted by 엔시스


관련기사: http://www.ddaily.co.kr/news/news_view.php?uid=56449

행정기관용 정보보호관리체계 인증제도인 ‘G-ISMS(가칭)’가 신설돼, 조만간 시행된다.  

행정안전부는 최근 전자정부서비스를 제공하는 행정기관의 지속적인 정보보호수준을 점검·관리하기 위해 정보보호관리체계(ISMS) 인증제도를 운영중인 한국인터넷진흥원(KISA)과 함께 ‘G-ISMS’ 를 만들었다. 이르면 내년부터 전자정부서비스를 제공하는 행정기관을 대상으로 의무화한다는 방침이다.   



민간에서 이루었졌던 KISA ISMS 인증제도가 공공기관까지 적용되게 되었습니다. 이는 바람직한 내용이라 생각을 합니다. 필자가 ISMS 인증심사원 활동을 하면서 느낀 것은 바로 정보보호에 대한 체계가 바로 서 있지 않다라는 것입니다.

정보보호관리체계라는 것은 하나의 프로세스이며 잘 처음 수립하기가 어려워서 그렇지 한번 수립이 되면 그 기준에 따라 잘 이행을 하고 그에 따른 증적 사항을 남겨 놓으면 됩니다.

대부분 이러한 프로세스 정립이 안되어 있다 보니까 일시적인 보안 솔루션 도입에만 그치는 경우가 많습니다. 그리고 정보보호에 대한 대책을 강구 하였다라고 할수 있겠지만 이러한 경우 일정 시간이 지나면 여러가지 문제점들이 발생이 됩니다.

그것은 보안솔루션 도입도 중요하겠지만 실제 그것을 관리하고 운영하는 관리적인 보안이 더 중요할수도 있다는 것입니다. 따라서 꾸준히 관리하고 이행 점검을 해야 하는 것입니다.

이런 일련의 모든 활동을 문서와 절차에 따라 움직이는 프로세스를 정보보호관리체계(ISMS)라 하겠습니다.

우선 내년에 시험적으로 몇군데 하고 나서 의무화 한다는 방침이지만 보안적인 측면에서 보았을땐 아주 중요한 일이라 하겠습니다.


ISMS (정보보호관리체계)는 필자는 이렇게 비유하고 싶습니다.

흐트러지 창고나 방안을 어느날 시간적 여유를 가지고 차분히 앉아서 물건을 정리하면서 어떤것이 나에게 소중하고 어떤것이 버릴것인지를 판단하고 목록을 만들어 잘 정리하여 추후에도 그 목록과 창고에 들어서는 어떻게 돌아가는지를 잘 알수 있는 일련의 활동과 같은 상황이라 생각합니다.


흔히, 보통의 경우 어떠한 것이 우리 조직에 자산으로 잡혀 있는지 또는 어떠한 자산이 위험에 빠졌을때 그 우선순위가 있는지를 대부분 관리를 하지 않고 있습니다.

하지만 이러한 정보보호관리체계를 수립하게 되면 자산에 대한 위험도라든지, 위험평가등을 하여 위험순위가 높은것부터 구분하여 위협으로부터 위험을 감소시키는 대책을 세우는 것입니다. 그리고 KISA ISMS의 경우 15 통제항목에 446개 세부항목을 가지고 있어 주어진 체크리스트에 의하여 관리항목이 통제가 되고 있습니다.

이러한 일련의 정보보호에 대한 체계 수립과 활동이 공공분야 적용이 된다면 담당자는 조금 힘이 들지 몰라도 그 조직에 대한 보안성과 정보보호에 대한 관리는 한결 수훨하고 체계적으로 운영이 될 것입니다.

앞으로 더 활성화 되기를 기대하면서 공공기관 'G-ISMS' 제도가 정착되기를 기대해 봅니다.  @엔시스.


신고
Posted by 엔시스



정부가 연 매출액 8000억원 이상 기업에 대해서는 CISO를 의무화 하겠다는 발표를 하였다.


http://www.etnews.co.kr/news/detail.html?id=200909170263




CISO(Chief Infomation Security Officer) 의 당위성

여러기업을 가끔씩 다녀보면 보안이나 정보보호에 너무도 안이하게 대처하는 경우가 허다하다. 이런 경우에 대부분 관련 조직정비가 되어 있지 않거나 또는 관련 인력의 부재로 인한 요인이 대부분이다.

이러한 부분에서 보았을때 CISO의 의무화는 반길만한 정책이며 반드시 그렇게 되어야 한다. 너무 부정적으로 보는 시각 보다는 하나라도 한개씩 step by step 으로 이루어 나가야 한다.


어떠한 조직에 가더라도 관련 조직이 형성이 되어 있지 않으면 실제 기업내에서 보안에 대한 정책을 수립 할수가 없다. 설령 있다고 하더라도 형식적으로 운영되는 사례가 많고 실질적인 조직 자체의 실요성에 의문이 들 수 있다.

만약, CISO가 보안정책에 대한 모든 권한을 진두지휘하고 경영진이 회사에 비지니스를 잘 수행할수 있도록 하는 것은 당연한 것이다.,그렇게 함으로 인하여 조직내에 보안에 대한 관리체계를 수립을 하고 그 체계에 따라 실제 보안에 대한 실천이 이루어 졌는지 이행실적을 검토하고 하는 것이다.


이제는 CISO도 경영에 서포트가 아닌 경영 참여자로 위상 정립


정보통신망법에 근거하여 내년부터 CISO 의무화 규정이 삽입이 된다면 연 매출액 8000억원 이상 되는 대기업에선 무조건 CISO를 선임을 해야 한다. 그렇게 함으로 인하여 조직내에서 정보보호조직(부서)가 마련이 되고 기업내에 정보보호활동은 더 탄력을 받을수 있을 것이다.

또한 기존에 있던 정보보호조직도 그냥 전산계열에서 머물러 있어 전산에 대한 하나의 축으로만 인식되는 것을 정보보호의 중요성을 널리 알리는 전도사 역할도 하게 될 것이다.

이러한 측면에서 보았을때 CISO 의무화는 당연한 것이며, 이제는 CISO도 경영에 서포트 개념이 아닌 경영에 참여자로 보안활동을 비지니스와 연관하여 최고의 사업 선택을 할수 있도록 경영자에게 도움을 줄수 있는 경영 참여자로서의 위상을 정립시킬수 있도록 해야 한다.

본인이 ISMS인증심사원으로 활동하면서 해당 부서의 직원들을 인터뷰해 보면 하나 같이 똑 같은 하소연을 하는 경우가 많다. 그 대부분의 하소연은 다음과 같다. 아마 이 포스팅을 구독하고 있는 기업에 담당자들은 공감하리라 생각한다.

    • 조직내에서 보안부서는 힘이 없다. 쉽게 말해 어떤 업무를 진행하려해도 협조가 잘 안된다.
    • 협조가 안되다 보니까 보안부서는 귀찮은 존재로 전락해 버린다.
    • 그러다가 보안사고 터지면 모든 화살은 담당자와 상관에게 모든 문책이 온다.
    • 또한 보안 강화를 위한 예산 집행에서 우선 순위에서 밀리고 삭감이 된다.
    • 보안 부서는 소규모 인원이 전사(社)를 책임지다 보니 전문 인력 양성이 힘들다.
    • 외부 감사시(심사시) 보안부서에 힘을 줄수 있는 정책적 조언을 경영자에게 해달라.


등 여러가지 애로 사항들이 많이 있다. 듣고 보면 하나 같이 맞는 말이고 힘든 사정은 실제 현장에 나가서 실무 담당자의 이야기를 들어 보면 현실을 잘 알수 있다.


맺음말

이러한 사항을 해결 해 주어야 하는 사람이 바로 CISO 인 것이다. 이러한 측면에 있었을때 대기업에 보안 활동과 정보보호관리체계 수립은 필수이며 해당 조직이나 기업에서 어떤 물건이 우리의 자산으로 속하고 그 자산에서 어떤 것이 위험요소가 우위에 있으며 어떠한 대응활동과 사업연속성을 이끌어 나가야 하는지를 고민해야 하는 것이다.

그나마 이러한 조직도 없고 열악한 사무실 한 귀퉁이에서 자신의 서버가 해킹을 당해 해커의 놀이터가 되었는지 안되었는지 담당자도 모르고 조직내 개인정보가 관리가 안되어 전부 유출이 되었는데도 또는 사내 외부인이 들어와 대외적인 기밀문서를 이동저장 장치로 뺴어가도 모르는 그런 관리가 허술한 보안활동을 해서는 이제는 조직이 살아 남을수 없다는 사실을 기억 해야만 한다. 무조건 보안이 귀찮고 보안은 그져 관심 있는 담당자만 하는 것이라고 치부해서는 절대 안되는 것이며 이러한 사항은 앞으로 선임될 CISO가 해결해야할 숙제로 안고가야만 한다. 부디 이제 제도가 정착이 되어 우리나라 보안문화 발전과 정보보호 인식제고와 마인드가 한층 성숙되고 정보보호 후진국에서 빨리 벗어 났으면 하는 바램을 가져 본다.


신고
Posted by 엔시스

정보보호관리체계수립(이하 ISMS)인증심사는 어떻게 이루어질까? 라는 궁금증이 있으신 분들이 많이 있는 것 같아 포스팅 해 봅니다.

여기서 말하는 인증심사는 심사원이 되어서 ISMS 인증심사를 신청한 기업에 직접 방문하여 심사하는 것을 말합니다.


현재 ISMS 인증심사원은 다음과 같이 분류되어 있습니다.
  • 심사원보
  • 심사원
  • 선임심사원
  • 심사팀장

처음 ISMS 인즘심사원 모집시에 서류를 통과하여 결정이 나면 5일간 오프라인 교육을 받고 시험을 쳐서 일정한 점수로 합격이 되어야만 합니다.

그 이후에 인력 풀이 가동이 되어 운영이 되고 있습니다. 역시 주관은 KISA에서 하고 있으며 심사를 나갈때 같은 업종이나 심사 받을 회사를 퇴직한지 1년이 지나지 않으면 참여 할 수 없는 내부 규정도 있습니다.

그럼 순서를 한번 살펴 보겠습니다.

1. ISMS 인증심사를 원하는 기업이 KISA에 요청을 한다.
2. ISMS 인력풀에 등록된 심사원님들을 대상으로 공지를 한다.
3. 관심이 있는 심사원은 지원을 한다.
4. 여러가지 여건과 상황을 고려하여 최종 TFT (심사단)을 구성한다.
5. 최종 선정이 끝나면 심사날짜로 스케쥴을 알려준다.

대략, 이렇게 이루어지고 있습니다. 그 다음 심사 절차입니다. 사전에 심사팀장은 심사기업과 사전 방문을 통하여 어떻게 진행할 것인지 환경은 어떤지 실무 담당자와 조율을 하게 됩니다. 그럼 각 역할을 살펴 보겠습니다.

1. 심사팀장

심사팀장은 심사원을 이끌어 PM역할을 하게 되고 이 심사에 대하여 끝마칠때까지 순조롭게 이루어질수 있도록 많은 신경과 관심을 갖어야 함으로 가장 많은 신경을 쓰시는 분입니다. 때로는 심사팀장의 역할이 가장 중요할때가 있습니다.

2. 심사원

심사팀장의 지시를 받고 자신에게 할당된 분야를 심사를 하게 됩니다. 가능하면 모든 창구를 심사팀장으로 하며 적절하게 조율을 하며 자신의 맡은바를 잘 수행하면 심사팀장은 조금 수훨하지만 그렇지 않을경우 심사팀장으로부터 조언을 받습니다.

3. 심사원보

처음 심사에 참여 하는 심사원이나 아직까지 심사원 심사일수를 채우지 못한 심사원으로 하는 역할과 업무는 심사원과 동일합니다.


심사는 어떻게 진행이 되는가? 우선 심사를 나가게되면 피 심사 기관에서는 일정한 공간을 마련하여 심사하기에 편안하게 할수 있도록 심사문서와 다과류, 그리고 음료수, 프린터,인터넷이 사용가능하도록 편리를 제공해 줍니다.

심사기관은 외부에서 방문하는 심사원이기에 최대한 예우를 갖추어 주기에 심사원들도 최대한 심사원의 품의과 이미지에 손상이 가지 않게 행동을 하는 것이 좋습니다.

그럼 그 이후에 일반적인 절차를 알아보겠습니다.

1. 심사팀장과 심사원은 심사기관에 도착하여 따로 마련된 공간에 모이게 됩니다.
2. 피 심사기관의 실무담당자와 인사를 하며 명함과 자기소개를 하게 됩니다.
3. 소개가 끝나면  피 심사기관 담당자가 ISMS인증 심사 범위에 대하여 간략한 소개를 합니다.
4. 소개후 심사팀장은 심사원의 역량과 업무를 고려하여 적절하게 심사기준에 맞추어 역할을
    분담을 하며 착수회의를 합니다.
5. 착수회의 전에 보통 피 기관 CEO나 CIO, 또는 기관장을 뵙게 되고 기관장은 심사를 잘 부탁한다는 격려의 말씀을 해 주십니다.
6. 착수회의는 일반적으로 어떻게 심사를 할 것이며 어떤 부분을 중점적으로 보고 심사방향을 
    정할수도 있습니다.
7. 각자 심사를 진행합니다.
8. 보통 최초심사시(5일) 1-3일정도 문서 검토를 하고 이행 증적 사항을 점검하며 담당자와 인터뷰도 진행을 합니다.
9. 사후심사는 (3일)는 1-2일 오전에 주로 합니다.
10. 심사 후반부에는 실제 샘플조사나 실사를 나가게 됩니다. 주로 전산시스템이나 사무실 공간, 시스템 실사등을 하게 됩니다.
11. 심사 하루전날 정도에는 결함사항을 도출합니다.
12. 실제 피 심사기관 담당자에게 결함 사항에 대한 사항을 어느정도 인식하도록 설명을 해 줍니다.
13. 마지막날에는 종료회의를 하고 결함사항에 대하여 이의 사항이 없는지 회의를 하고 마칩니다.
14. 종료회의가 마치면 심사를 종료하고 피 심사기관은 결함 사항을 30일 내에 조치하고 보고를 해야 합니다.


심사는 대부분 이러한 틀에서 벗어나지 않으며 최초심사는 5일 사후심사는 3일정도 소요하고 있습니다.


심사원의 역할

심사원은 심사원으로서의 품의와 자세를 유지하고 피 심사기관에 감독이나 감사하러 온 것이 아니기에 가능한 정중하고 심사 종료할때까지 흐트러짐이 없어야 겠습니다. 또한 심사원 중에 가장 큰역할은 결함보고서를 잘 적어야 합니다.

결함보고서는 KISA에서 일정한 양식이 있지만 가능하면 깔끔하고 간단 명료하고 구체적으로 작성하는 것이 좋습니다. 아마도 여러번 참여하면서 익혀야 할 스킬중에 하나가 아닌가 하는 생각을 해 봅니다. 또한 결함보고서 작성시에는 결함에 따른 이행 가능한 구체적인 대안 제시도 같이 해주면 좋겠습니다.

심사원의 복장

심사원은 정보보호관리체계 수립에 대한 심사기준에 따라 제대로 계획을 수립하고 이행을 하고 있는지를 심사하는것으로 복장은 가능하면 첫날은 정장으로 하여 예의를 갖추는게 좋겠습니다. 심사하러 가는데 청바지에 간편한 차림은 자칫 심사원으로서의 품위를 떨어뜨릴수 있기에 복장에도 신경을 쓰는 것이 좋겠습니다.

심사원의 자세

심사를 하다보면 심사기준에 대하여 심사원과 실무진과 의견을 달리하는 부분이 있게 마련입니다. 이러한 부분에서 심사원은 언성을 높인다든지 아니면 실무자에게 불쾌감을 주는 행동과 언행은 하지 말아야 합니다. 또한 무조건 자기 주장이 옳은 것 보다는 왜 그렇게 되었는지, 그러면 향후에 조금 더 나은 대응방안과 또한 실제 이행할수 있는 계획인지를 꼼꼼히 살펴보고 중립적인 자세로 심사를 해야 합니다. 다소 마인트 콘트롤이 필요한 부분이기도합니다.



맺으면서.

정보보호관리체계(ISMS) 인증심사에 대하여 간략하게 나마 살펴 보았습니다. 정보보호관리체계를 수립한다는 것은 그리 간단한 일이 아니며, 반드시 신경을 써야 하는 부분이고 이러한 것을 일정한 심사기준에 따라 심사를 한다는 것은 중요한 역할중에 하나입니다. 또한 심사원은 심사원으로서의 자세와 품위를 지키는 것이 중요하며 보안서약서에 서약을 하고 피 심사기관에서 심사하면서 획득한 지식에 대해서는 서약한 내용대로 지켜야 할 것입니다.

또한, 피 심사기관을 관리 감독하러 가는 것이 아니기에 최대한 배려와 ISMS에 대하여 잘 모르는 부분은 권고 또는 대응방안을 알려 주어 추후 ISMS를 더 효율적으로 운영할수 있도록 도와 주는 마음에 자세가 중요하겠습니다. 지금은 ISMS가 의무사항이 아니지만 관리체계를 수립한다는 것은 하나의 완성된 프로세스를 정립하는 것이기에 보다 효율적이고 기업에서 능률적인 프로세스로 발전 정립해 나갔으면 하는 바램을 갖어 봅니다.  @엔시스.



신고
Posted by 엔시스

행정기관 정보보호관리체계(이하 ISMS) 인증 의무화

관련기사: http://www.etnews.co.kr/news/detail.html?&mc=m_014_00003&id=200909070175


7.7 DDoS 공격이후 그래도 많은 변화들이 일어나고 있다. 그중에 하나가 바로 침해사고나 보안 사고가 일어났을때 우왕좌왕하는 체계 잡힌 틀이 없는 경우가 많다.
 
                                           <이미지출처: 한국인터넷진흥원>

조금 늦은감은 있지만 공공기관이 정보보호 관리체계를 의무화 한다는 것은 상당히 고무적인 사항이다. 지금 본 블로거는 한국인터넷진흥원(KISA)에서 ISMS 인증심사원으로 활동하기에 늘 그런 사항이 아쉽게 느껴 졌기 때문이다.

그것은 지금 민간에서는 ISMS 인증이 의무사항이 아닌 권고 사항이었기 때문이다. 실제로 법률로 강제하는 사항이 아닌것이다.

하지만 다양한 사이버 위협이 대두됨에 따라 우선 공공기관부터 ISMS인증을 의무화 시키는 것은 당연한 것이다. 그것은 국민에 대한 서비스가 점점 오프라인이 아닌 사이버로 옮겨지고 있기 때문이다. 한번 사고가 나면 이제는 대형사고가 날수 밖에 없는 것이다.
만약, 증권거래소에 장애가 생기고 컴퓨터에 문제가 생기면 어떻게 하겠는가?

다시말해 ISMS 인증이라는 것은 한 조직이나 기업에 '정보보호에 대한 관리체계'를 수립하는 것으로서 틀을 마련하는것이다.  아무런 체계와 프로세스가 없던 것을 새로운 틀을 마련하는 것이다.


1. ISMS는 어떻게 운영되는가?

현재 ISMS는 한국인터넷진흥원(KISA)에서 일정수의 민간 인증심사원 인력풀을 운영하고 있다. 이러한 인력풀에서 적정한 기준에 따라 심사시에 TFT팀이 구성이 되어 심사를 하게 되고 해체 되는 것이다.


2. 그럼 공공기관은 어떻게 해야 되나?

지금 ISMS 심사기준 15개 통제 항목에 446개 세부통제 항목을 심사할수 있는 공공기관에 인력이 과연 있을지 의문이다. 

또한 공공기관에서 하는 업무를 민간에서 함부로 할수 있는 부분도 아닌것 같기도 하다. 하지만 과연 공공기관에서 그 수많은 기관에 ISMS를 어떻게 수립을 할수 있겠는가?

또 자체적으로 인증을 해주려는 인증심사 인력은 어떻게 구성을 해야 하는가?


3. ISMS 수립은 어떻게 하는가?

대부분 컨설팅 업체에 맡기는 경우가 많이 있다. 자체 수립이 가장 좋은 방법이긴 하나 업무적 부담과 자체수립이 불가한 경우가 많기 때문에 정보보호전문 컨설팅 업체에 의뢰를 하는 것이다. 그런데 공공기관 의무화를 하면 자체 ISMS 인증을 위한 체계 수립을 어떻게 할 것인가?

지금 정보보호 전담 조직과 부서가 없는 곳이 많은데 아마도 행정기관 실무자들은 많은 고민을 않고 있을 것이다.

분명 공공기관 ISMS 인증제도 의무화는 반길일인데 추후 어떻게 대응책을 마련 할 것인지에 대한 상황을 조금 더 지켜 보아야겠다.


4. 정착될때까지는 기존 ISMS 인증심사원이 인증 심사를 해야

컨설팅도 마찬가지로 민간에 의뢰하여 받겠지만 당분간 정착 될때까지는 기존 ISMS 인증 심사원의 인력 풀을 활용 할수 밖에 없다는 생각이 든다. 그렇지 않으면 행정기관에서 ISMS가 뭔지도 모르는 사람들이 있다고 한다면 수립을 하는 문제는 더더욱 어려운 문제이기 때문이다.


결론.

본 블로거가 ISMS인증심사를 참여 해 본 결과 정보보호 관리체계는 반드시 필요한 것이며 너무 거대한 체계수립이라고 생각이 든다면 조금은 가벼운 체계수립을 정부에서 마련을 하여 대기업에 적용하는 부분과 중소기업에서 적용하는 부분을 분리하여 운영하면 예산과 인력이 없은 중소업체에서도 그래도 ㅈ정보보호에 대한 뼈대는 세울수 있지 않을까 생각한다.

한 걸음 더 나아가 공공기관에서 'ISMS' 인증제도를 의무화 한다고 하니 실무자들은 힘이 들고 또 다른 업무로 인하여 어렵겠지만 전체 국가 사회적인 측면으로 보았을땐 상당히 고무적인 일이라 생각을 한다. 그래야만 평소 행정기관에서 놓치고 있던 '정보보호 사각' 지대를 발견 할 수 있다. 실제로 ISMS 인증 심사를 하다보면 그렇게 해서 수정보완되는 경우가 많기 때문이다.

제도적으로 잘 정착이 되어 튼튼한 행정기관의 보안관리에 대한 체계가 하루 빨리 정비가 되고 보안에 대한 문화 인식이 확대 되었으면 하는 바램을 가져 본다. @엔시스.


신고
Posted by 엔시스


지난 27일 서울에 정보보호관리체계(ISMS) 인증심사원 보수교육에 다녀왔습니다. 여름 휴가를 내고 갔었지만 결국 휴가를 교육을 받으면서 보내게 되었네요.

당일치기로 다녀 오는 것이라 새벽부터 분주하게 준비를 하였습니다. 새벽 4시30분에서 첫 기차 KTX를 타고 서울로 향하였습니다.

KTX 타면서 느끼는 것이지만 이젠 새마을호가 점점 멀어져 보이기만 합니다. 그것은 소유되는 시간이 4시간 30분정도 소요되는데 KTX는 2시간 50분이면 되니까..

점점 2시간 50분도 길어지는 느낌이 드네요..사람이 참 어쩔수 없나 봅니다. 예전엔 무궁화호는 어떻게 타고 다녔는지 모르겠습니다.

세미나장소



서초역 근처에 있는 장소인데 건물이 상당히 깔끔하고 깨끗한 느낌을 받았습니다. 주변에도 공터도 좀 있고 그러더군요..

ISMS 인증심사원 보수교육 프로그램입니다.



이번 교육은 실제 컨설팅 업무를 하는 실무자로 하여금 심사시 유의해야 할 사항과 실제 심사시에 고려해야 할 사항들은 컨설팅 실무자 관점에서 이야기 해 주었습니다.

특히 '위험평가' 분석을 간단하게나마 실습을 해 봄으로 인하여 위험 평가 분석방법에 대한 감을 유지할수 있었습니다.

또한 안랩에서 전실장님은 지난 7.7 DDoS에 대한 전반적인 개요와 여러가지 좋은 말씀들을 해 주셨습니다..

또한 문승주 대표님은 ISMS 인증심사에서 심사기법과 주안점을 말씀해 주셨는데 실제 심사하면서 느낀 점이라든지 또는 인증심사원이 심사하는 그 밖에 일어나는 일들에 대한 전후 프로세스에 대한 이야기를 해 주셔서 인증심사에 대한 이해도를 높일수 있었습니다.

마지막 KISA 고규만 선임은 인즘 심사시에 결함 보고서를 어떻게 하면 잘 적을수 있는지 또는 결함 어떤 시각에서 볼 것인가에 대한 실무자 관점에서 잘 설명해 주었습니다.


이번 ISMS이 하루짜리 교육이었지만 비록 먼 부산에서 하루만에 올라갔다 내려온 교육이었지만 다음과 같은 점을 배우고 느낄수 있었습니다.

  • 새로운 사람들은 만날수 있었습니다.
  • 위험 평가분석 프로세스와 절차 그리고  실습.
  • 인즘심사 주안점과 기타 ISMS 관련 정보를 습득.
  • 결함보고서 작성시 주의점과 케이스 바이 케이스로 사례 중심
  • 기존에 알고 있는 분들은 또 같은 자리에서 만날수 있었음
  • 역시 이 바닥은 좁다.- 몇다리 건너면 다 안다.

 어떠한 자격증이던 인증증서이던지 간에 이러한 유지 할수 있는 보수교육이 이루어져야 합니다. 심사원은 자격유지를 위한 감을 유지 할수 있고 또 심사에 참여 하는 사람들은 조금 더 유의를 하여 심사에 참여 할 수 있습니다.

아무튼 피곤한 하루였지만 또 그렇게 휴가를 교육으로 하루 날려 버렸습니다. 올해엔 아무래도 휴가를 가지 못할꺼 같다는 생각이 자꾸 드네요...가족에게 미안할 따름입니다.

신고
Posted by 엔시스

정보보호 관리체계(ISMS)에 관심 있으신 분들은 일독을 권합니다. 참고 하시기 바랍니다.
감사합니다..



신고
Posted by 엔시스




현재 저는 정보보호관리체계 (KISA-ISMS) 인증심사원 풀에 등록이 되어 있습니다.  보통 인증심사를 나가게 되면 각종 규정된 통제분야에 대하여  심사를 하다보니까 그 많은 규정을 기억할수 없습니다...

그래서 작년부터 심사원 수첩을 받아서 잘 사용하고 있습니다..실제 인증심사를 나가게 되니까 절대 필요한 것이 심사원 수첩이더군요..각종 자료를 검토하면서 통제 항목 하나하나를 규정에 맞는지를 심사하게 되기 때문입니다.



실제 정보보호관리체계 인증심사는 각 기업에서 다양한 환경에서 심사를 하기 때문에 표준화된 규정이 있긴 하지만 예외적인 조항이 늘 있게 마련입니다..


이러한 부분을 얼마나 가깝게 주어진 통제항목의 표준에 맞추느냐를 같이 고민하고 컨설팅 하는것이지 정보보호관리체계 인증심사원이 감사나 감독하는 것이 아닙니다...

작년에 주어진 수첩은 더 괜찮은 것이었는데 올핸 조금 저렴한 것으로 한거 같네요..하지만 속지를 같지 보내주시니 도움이 더 되겠습니다...

위 그림은 인증심사원 수첩이고 그 옆에는 속지이며 첫 페이지 내용은 좌측 하단과 같습니다..그리고 마지막으로 우측 하단에는 KISA에서 안내 말씀까지 보내 주셨습니다...

2008/12/07 - [정보보호관리체계] - 정보보호관리체계 인증 심사 다녀 왔습니다.

작년에 인증심사에 참여 한 적이 있으며 많은 것을 느끼고 배웠습니다...저 자신도 인증심사를 하고 있지만 또 제3의 눈으로 배우고 있는 것입니다. 그래서 사람은 자꾸 보고 느끼고 해야 배우는거 같습니다..

올해에도 열심히 인증심사원 활동을 하시라고 보내준 수첩을 보면서  정보보호관리체계 수립에 대해 다시한번 생각해 보고 조금 더 중소기업에 맞는 조금은 맞춤형 정보보호관리체계 수립이 시급 하다고 생각을 해 보았습니다.

사실, 정보보호관리체계를 중소기업이 수립하기는 그리 쉽지 않기 때문이죠... 아무튼 올해에도 많이 활성화 되었으면 좋겠고 저 스스로 많이 공부하겠습니다..

블로그 운영 목적이 그것이고 여러분들도 많은 보안에 대한 관심과 실천을 해 주셨으면 하는 바램이 듭니다...^^;;;

정말  보안공부는 해도 해도 끝이 없네요...^^ 즐거운 하루 보내세요.


신고
Posted by 엔시스

한국정보보호진흥원에서 시행하고 있는 정보보호관리체계 홍보브로셔입니다..관심 있으신 분들은 참고 하시면 좋겠습니다. 출처는 한국정보보호진흥원에서 배포 하고 있습니다..



신고
Posted by 엔시스



안전진단제도 보완책 나와

일정한 규모의 사업을 하고 매출을 하고 있으면 의무적으로 정보보호안전진단이라는 것을 받아야 했습니다. 그런데 이것이 형식적인 부분이 많고 기간이 거의 다 되어서야 한꺼번에 몰리다 보니 문제점들이 많이 지적이 되었습니다.


또한 안전진단제도는 누구나 모두 진단을 하는것이 아니라 안전진단 업체로 지정된 회사만이 할수 있기 때문에 배야할 업체는 많고 진단하는 업체는 모자라고 해서 실효성 부분이 대두되기 시작하였습니다.

처음에는 8개 업체에서 그다음에 18개 업체로 늘이고 이번에 2개 업체가 더 지정이 되어 20개 업체가 되었습니다...
살펴보면

< 안전진단 수행기관 인정 법인 목록- 총 20개사 >
씨에이에스, 한국전산감리원, 에이쓰리씨큐리티컨설팅, 안진회계법인, 한국통신인터넷기술, 넷시큐어테크놀러지, KT, 안철수연구소, 한국IT감리컨설팅, 씨큐아이닷컴, 롯데정보통신, STG시큐리티, 인젠시큐리티서비스, 인포섹, 인젠, 한영회계법인, 정보보호기술, 이글루시큐리티, KCC시큐리티, 엔코딩패스
 

그런데 안전지단제도가 강화가 된다는 기사가 나왔네요..

[정보보호안전진단②]제도, 올해는 어떻게 바뀌나

특히 안전진단 심사원이 일정한 교육을 받아야 하고 시험에 합격을 해야만 하는게 눈에 띄네요..실질적으로 내실있는 안전진단을 하겠다는 관련기관의 의지인듯 싶네요..




매년 안전진단 받느니 차라리 ISMS 인증심사 받으면 어떨까?

ISMS 인증을 획득한 경우도 당해 연도만 면제하게 돼 있어, 3년의 효력이 있는 ISMS를 받고도 다음해에는 또다시 안전진단을 받아야 했다. 하지만 이번 개정안에서는 당해연도만 면제하게 돼 있었던 것을 인증유효기간인 3년 전부 면제하도록 했다. 또한 주요정보통신기반시설 취약점 분석평가를 받은 경우도 면제가 가능하게끔 면제를 확대했다.

해당 기사에서는 ISMS 인증심사를 받게 되면 지금까지는 당해 연도만 면제 되었는데 ISMS 인증 심사 효력이 있는 3년내내 면제가 되도록 하는군요.

여러가지 측면으로 보았을때 정보보호관리체계(ISMS) 을 수립을 한다면 여러가지로 중복되는 부분에서 제도적으로 면제 받을수 있고 체계적인 수립도 할수있어 앞으로 어느정도 규모를 갖춘 기업들은 그 수효가 늘어 날 것으로 전망이 됩니다.

이러한 사항은 한국정보보호진흥원(KISA) 홈페이지 입찰공고에서도 볼수 있습니다. 지금 안전진단제도 고도화 및 ISMS 인증제도 고도화를 위하여 관련 프로젝트를 입찰공고를 낸 상태이고,  올해 같은 경우도 사후관리제도를 수행할 업체를 제안 받고 있는 것도 같은 맥락으로 볼수 있습니다.

따라서 정보보호에 관심이 있는 사람 및 사업자라면 정보보호관리체계(ISMS)에 관심을 가져야 할 것이고, 이것은 향후 조금 더 정보호호에 롱런을 하고 싶은 사람들에게는 좋은 기회로 작용하겠습니다.

그것은 지금 약간의 예측 시나리오는 적어 보면 다음과 같습니다..

  • 지금 ISMS 인증심사를 받은 기업이 제법됩니다. KISA 홈페이지에 가서 지금까지 인증 받은 업체 배너 링크 갯수만도 약 4-50 업체정도 되죠.
  • 이러한 업체는 사후심사, 갱신심사등을 정기적으로 받아야만 하고, 그런데 각 ISMS 인력 풀을 가동하여 운영하기가 그리 쉽지는 않습니다.
  • 결국 아웃소싱으로 돌릴것이고 해당 업체는 인증심사원을 수배 할 것입니다. 심사원이 부족할시에는 한번이라도 심사에 참여 한 사람이 필요 할 것입니다.
  • 보안의 요구가 더 강해지기 때문에 기업의 신뢰성 차원에서 정보보호관리체계 수립은 반드시 필요하겠습니다. 따라서 그 수요는 더욱 증가 할 것입니다..


기업이 경쟁력 있기 살아 남기 위해서는 여러가지 안전장치가 마련이 되어야 합니다. 그중에서 보안은 이제 필수가 되어버린지 오래이지만 아직도 그 실천은 미흡하기만 합니다.  그런데 이제는 기업이 경쟁하기 위해서는 다른 기업이 하면 내 기업도 해야 하는시대가 도래가 되었습니다.

같은 동종업계에 있으면서 경쟁사가 보안 투자를 하는데 우리 조직과 기업만이 나몰라라 할수는 없는 것입니다. 그런 측면에서 볼때 ISMS 인증은 이젠 기업의 필수 조건이 될 것입니다. @엔시스

신고
Posted by 엔시스

입  찰  공  고

<공고번호 제NFRI2008-30호>

1. 입찰명 : 정보보호관리체계(ISMS)ISO27001 인증획득 컨설팅 용역
* 별도 현장설명회는 없음.
2. 용역수행기간 : 계약일로부터 3개월

3. 추정금액 : 130,000,000원(부가세 및 인증심사 비용 포함)

4. 제안서 접수 : ① ~ '09. 1. 12(월)11:00
               ②장소 : 대전광역시 유성구 어은동 52  국가핵융합연구소 조달계약팀
5. 프리젠테이션 : ① 일시 : '09. 1. 13(화) 14:00
                 ②장소 : 대전광역시 유성구 어은동 52 국가핵융합연구소 6층 회의실
6. 입찰방법 : 협상에 의한 계약(업체평가 점수가 가장 높은 업체부터 협상을 통하여 업체 제안가격이 예정가격이하일 경우 계약)

7.입찰참가자격 :①지식경제부 지정 정보보호컨설팅 전문업체로서 제안서 제출 및 프리젠테이션에 참석한 업체
                  ② ISO27001 및 KISA ISMS 인증을 획득한 업체
                  ③ 최근 2년간 ISO27001 인증 컨설팅을 수행한 업체
                  ④ 입찰공고일로부터 3영업일 이내 사업 참여의사 공문(대표직인날인) 발송 업체
                  ⑤연구소 계약구매요령 14조 및 국가를 당사자로 하는 계약에 관한 법률  시행령 12조의 해당 자격요건을 갖춘 업체로, 제안요청서 내용을 충족     할 수 있는 업체
                  
8. 낙찰자 결정 : ① 업체평가 점수가 가장 높은 업체부터 업체 제안가격이 예정가격 이하 일  경우 계약 (기술 80%, 가격 20%의 비중으로 평가하고 종합평점 결과 최고  점수를 얻은 업체를 우선 협상대상자로 선정한 후 협상에 의하여 낙찰자를  선정)
                 ② 우선협상대상자 안내 및 협상 예정 일시 등 : 추후 별도 통지

9.입찰등록서류:입찰참가신청서(연구소양식), 사업자등록증 사본, 사용인감계, 인감증명서,  법인등기부등본 및 정관(법인에 한함),  시,국세 완납증명서, 입찰보증금, 가격 제안서(연구소 서식, 산출내역서 포함, 별도 밀봉 후 사용인감 날인 제출), 평가계획서에서 요구한 서류
                   → 제안서 접수일 까지 등록

10. 입찰보증금 : 입찰금액의 5/100의 현금, 이행보증보험증권 또는 입찰유의서에 정한 증서를 등록마감일시까지 연구원에 납부하여야 함. 단, 낙찰자가 입찰일로부터 10일 이내에 계약을 체결하지 않을 때에는 입찰보증금은 연구소에 귀속함.

11. 유의사항 : ①프리젠테이션에 불참하는 업체는 입찰에 참여할 수 없음.
             ②입찰참가자는 우리 연구소의 입찰에 필요한 모든 사항에 대하여 입찰 전에 완전히 숙지하고 입찰에 참가하셔야 하며, 이를 숙지하지 못한 책임은 모두 입찰자에게 있음.
              ③제안서는 사실대로 작성하셔야 하고, 이를 위반한 경우 연구소는 이 계약을 해제 또는 해지할 수 있음.
              ④이 입찰과 관련된 제안서 등 입찰등록서류는 우편으로 접수하지 아니하며   제출된 제안서는 일체 반납하지 않음.
              ⑤이 입찰과 관련되어 제출된 자료는 반환하지 않으며, 이 제안과 관련된 모든 비용은 제안업체가 부담하여야 함. 아울러, 연구소는 제안서 평가 결과의 세부내용과 협상 결과를 공개하지 않음.
              ⑥기타 입찰공고에서 제외된 사항은 연구소규정, 관련법률 및 연구소에서 정함을 따르는 것을 원칙으로 함.

12. 기타 사항
  ㅇ연락처 : 연구소 조달계약팀(042-870-1543), 전산정보팀(042-870-1591)
  ㅇ공고내용은 국가핵융합연구소 홈페이지(www.nfri.re.kr) 정보마당 공지사항을 참조하시기 바랍니다. (조달청 나라장터 확인시)

위와 같이 공고함.

2008년 12월 30일


국 가 핵 융 합 연 구 소 장

========================================================================================================================

입찰공고가 국가핵융합연구소 홈페이지에 올라왔네요..정보보호컨설팅 업체는 참고해 보시면 되겠습니다.

신고
Posted by 엔시스


정보보호에 대한 관심을 많이 가지도 보면 결국 체계적인 정책 수립이 필요하게 됩니다..이에 한국정보보호진흥원에서는 정보보호관리체계(ISMS) 인증을 하고 있어 인증을 받게 되면 대외적인 이미지 제고와 실제 기업내 정보보호에 대한 전반적인 뼈대를 세울수 있다는 점에서 관심을 가져도 좋을 듯합니다.

꼭 한번 참고 하시기 바랍니다..



신고
Posted by 엔시스

현재 정보보호관리체계(ISMS) 인증 심사원으로 등록이 되어 있습니다. 지난 해 8월에 ISMS 인증 심사원을 지원을 하여 5일간 교육을 받고 시험을 쳐서 합격하여 인증 심사원이 되었습니다..물론 KISA에서도 위촉장도 줍니다.

여기서 말하는 정보보호관리체계(ISMS)란 한 조직에 특정 범위나 전사적으로 정보보호관리체계에 대한 수립을 얼마나 잘 했는지를 KISA(한국정보보호진흥원)에서 심사 인증해 주는 제도입니다. 의무사항은 아니며 ISMS 인증을 받게 되면 정보보호관리체계를 주어진 기준에 따라 체계적으로 수립 했다는 인증을 해 주는 것이니까 대외적 이미지 제고에 상당한 도움이 되며 고객 신뢰도 측면에도 유리하게 됩니다. 그리고 경쟁 업체에서 ISMS 인증 심사는 받았는데 우리 회사가 받지 않으면 벌써 경쟁에서 떨어지는 것이기에 많은 활성화가 될 것입니다.

조금 더 정확히 말하면 인증심사원보가 되겠습니다. 인증심사원보는 4번 이상 인증심사를 하면 심사원이 되는데...그런데 인증 심사원 인력 풀 중에 실제 참여 인력이 몇명 되지 못한다는 점입니다.

그것은 동종 업체 종사자는 심사 지원에서 제외되고 또한 프리렌서가 아닌 이상 조직에 몸 담고 있는 사람들은 최초 심사시에 5일 씩 할애 하기가 어렵습니다. 휴가를 내고 가거나...아무튼...

그렇다 보니 사실 심사원보를 보통 2-3명씩 선택하고 심사원이 참여하고 선임 심사원인 KISA에서 참여하여 각 4-5명정도가  ISMS 인증 심사를 신청한 업체를 방문하여 심사를 하게 됩니다..

이런 차원에서 1년 이내에 한번도 심사를 하지 못하면 인증 심사원 자격을 유지 할 수 없다고 하는데 조금 더 유연한 대처가 필요 할꺼 같습니다. ISMS 인증심사가 자주 있는 것도 아니고 여러가지 상황으로 참여 하기에도 조금 힘이 들고, 인력 풀도 많이 있습니다.  하지만 짧은 기간동안에 인증심사원들에게  골고루 심사를 할 수 있게 하는 기회를 줄 수 있다는 것은 사실상 현재로는 힘이 드는 것이지요..

따라서 3년 자격 갱신안에 4번 참여 한다는 기존 원칙으로 바꾸어 졌으면 하는 바램을 가져 봅니다. 그것이 힘들게 양성한 인증심사원제도의 효율성을 반영하는 운영제도라 생각합니다.  @엔시스



신고
Posted by 엔시스