정보보호관리체계(ISMS)가 시행된지 10여년이 된다. 하지만 지금까지 권고사항이 지나지 않았기 때문에 그 중요성을 알고 있음에도 불구하고 비용과 인력의 문제로 인하여 준비를 하지 못했지만  앞으로는 의무화가 되기 때문에 많은 관심을 가져야 한다. 필자는 이에  ISMS인증심사와 PIMS 인증심사를 하면서 느꼈던 관리체계의 필요성에 대하여 짚어 보고자 한다.  - 주인백


                                                                <출처: 전자신문 2012.01.17일자>


1. 정보보호관리체계란?

정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도  - 출처: KISA 홈페이지


2. 왜 필요한가?

최근 들어 "왜"라는 단어와 "본질"이라는 단어에 많은 관심을 가지고 있다. 그럼 왜 "관리체계"가 필요한가?에 대한 본질적인 부분을 우리는 고민을 해야 한다. 그 부분을 심사를 하면서 느꼈던 생각을 고려하여 몇가지로 정리 해 보기로 하자.

  • 기업과 조직의 입장
    • 우선 기업이나 조직의 입장에서 관리체계 도입의 필요성은 그냥 단순히 도입하면 좋을것 같으니까 도입하는것이 아닌 뚜렷한 목적이 있어야 한다. KISA가 말하는 목적은 다음과 같다.
      • 정보자산의 안전, 신뢰성 향상
      • 정보보호관리에 대한 인식제고
      • 국제적 신뢰도 향상
      • 정보보호서비스 산업의 활성화
  • 개인적인 입장
    • 괸리체계를 도입하여 실제 사이클대로 움직여 본다면 전체적인 맥락에서 우리 기업에서 우리조직에서 정보를 보호해야 할 자산을 식별 할수 있고, 위험도를 산정하여 중요도를 체크하여 체계적인 관리를 함으로 인하여  갑작스러운 사고나 장애에 대비하여 즉각적인 대응시나리오를 관리 하는 방법을 숙지 할 수 있다.

3.  관리체계에는 어떤 것들이 있는가?

  • 국제적
    • ISO27001 : ISMS에 대한 국제적인 표준으로써 전세계 선진기업이 합의한 좋은 사례를 활용하여 조직이 정보보호 경영을 실행하기 위한 프레임웤을 확인하고 이를 자사에 적용할 수 있게 하는 인증체계를 말한다.
  • 국내적
    • K-ISMS : 방통위와 KISA에서 주관하는 ISMS로 민간에 적용되며 정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조
    • “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조
    • 정보보호관리체계 인증 (제2010-3호) 법적근거를 가지고 있다.

                    ※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있    
                        도 록   하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함

    • G-ISMS : 공공기관에 적용되는 ISMS 제도


4. 연도별 인증서 발급현황

                                                               <출처: 한국인터넷진흥원>


2002년부터 발급을 시작해서 매년마다 점점 많은 수의 인증을 받고 있지만 총 10년에 걸쳐 126건 밖에 되지 않았다는 것은 그동안 얼마나 정보보호에 많은 무관심을 가지고 있는가에 대한 반증이기도 합니다. 그동안 ISMS 인증제도는 법적 의무사항이 아닌 권고 사항이었기 때문에 위와 같은 숫자가 나왔다고 하지만 보안에 대한 이슈는 점점 커지고 있어서 그 역할은 커지리라 생각이 듭니다.


5.  최근 시사점과 향후 방향

  • 정보통신망법 개정
    • 안전진단제도 폐지
      • ‘12년도 안전진단 예비대상자는 370여개 업체로, 전년대비 25.4% 증가

        (‘05) 142개 ➡ (’06) 160개 ➡ (’07) 207개 ➡ (’08) 232개 ➡ (’09) 247개 ➡ (’10) 272개 ➡ (’11) 292개 ➡ (’12) 370여개 예상

        안전진단 대상자가 점점 많아 짐으로 인하여 관리체계에 대한 법적 의무 시행 사업자도 증가할 전망.

  • '13년도 관리체계 의무화
    • 관리체계 의무화
      • 개인정보보호법 시행에서도 느꼈지만 13년도 시행이면 ISMS의 경우에는 올 12년도에 이미 컨설팅이나 사전 준비작업에 들어가야 한다. 그렇지 못할 경우 자체적으로 정책 수립에서부터 끝까지 마무리 작업을 해야 하는 부담을 가진다. 하지만 대부분 초기 관리체계 수립은 컨설팅을 많이 받음으로 한꺼번에 몰릴 가능성이 있다.
      • 또 한가지는 ISMS의 경우 관리체계 수립후 증적 사항을 수집하기 까지 오랜 시간이 걸린다. 컨설팅은 보통 빠르면 2-3개월에서 끝나지만 이에 따른 이행증적 사항은 6개월 정도 관리체계 사이클대로 움직일때 가능하다. 따라서 안전진단 해당 기업은 올해 부터 관심을 가져야 할 것이다.
  • 기업 관리체계 담당 인력 및 보안 컨설팅 인력 수요급증
    • 인력과 예산
      • 정보통신망법 개정으로 인하여 올 7월1일부터 시행이 되고 '13년도에는 ISMS제도가 의무화가 됨에 따라서 안전진단 대상 기업에서는 ISMS 전담 인력을 따로 구성하는 것이 좋다. 또한 초기 컨설팅을 위한 예산 마련도 중요하겠다.  특히 취업을 하지 못한 예비 취업자나 이직자 그리고 컨설팅에 관심이 있는 사람이라면 "관리체계"에 대한 관심도 가져 보는 것이 좋겠다.
      • 또한 이러한 관리쳬계 수립후에 이것을 체크리스트에 따라 인증하는 인증심사원에 대한 인력에 대한 부분도 수요가 늘어 날 것으로 전망된다. 따라서 기존 IT경력과 경험이 있는 그리고 인증 심사 스킬을 보유한 유능한 인증심사원등이 대거 등장하거나 많은 수요가 전망된다.

 

  • KISA의 역할강화
    • 기존 부서 역할증대
      • 지금현재 관리체계에 대한 대부분 업무을 추진 하는 기관은 방통위 산하 '한국인터넷진흥원'에서 추진하고 있다. 이러한 시대적 요구사항에 있어 KISA 해당 부서에 대한 역할 강화가 필요 할 것으로 보인다. 그동안 추진해 왔던 경쟁력과 경험을 바탕으로 하여 보다 더 확대 적용 되기 위한 힘을 실어 주어야 한다.


맺음말

한국에 인터넷이 사용된지 이제 불과 15여년밖에 되지 않았다. 그동안 많은 성장을 이루었고, 대한민국은 그중에서도 IT인프라 강국으로 도약이 되었다. 필자도 초고속 인터넷 사업에 인프라 구축 PM도 하였고, 그 이후 대규모 서버들이 들어있는 집적정보통신시설이 들어 서고 각 통신사 및 이통사 데이터 센터가 건립이 되었다. 이러한 데이터 센터는 이제 각 기업마다 관리 포인트가 늘어남에 따라 자체 데이터센터를 보유하게 되었고, 장애시에 대비하여 복구센터도 갖추게 되었다.

특히 이러한 인프라를 기반으로 성장하는 대한민국에 순기능에 따른 역기능 또한 만만치 않아 잇따른 보안사건사고가 발생을 하고 특히 '11년 작년의 경우에는 금융권에서 대거 개인정보 유출 및 금융 보안 사건사고가 일어나면서 많은 보안이슈가 제기되기도 하였다.

IT보안은 이제 IT융합으로 갈 것이고 산업전반에 걸쳐 보안의 중요성은 점점 커질수 밖에 없다. 또한 최근 SNS와 스마트폰을 이용한 모바일 보안이 이제는 엔드유저단인 '사용자 보안'으로 그 바톤이 넘어가게 되었다.

이러한 보안적 이슈를 잘 해결하고 대응을 하기 위한 가장 기초적인 작업이 '체계적인관리'에는 누구나 공감대가 형성이 되었다. 따라서 국내 정보보호관리체계중에 하나인 ISMS에 대한 중요도가 높아지고 정부는 지금까지 권고사항에 그쳤던 ISMS제도를 법적 의무화와 규제를 함으로 인하여 보안성을 높이려 할 것이다.

이러한 관점에서 보았을때, 이제는 IT보안을 바라보는 시야를 조금 크게 바라 볼 필요가 있고 기업이나 조직의 전체적인 틀(Frame)안에서 기획,설계,수립해 나가야 하는 시기이다.

본 포스팅은 혹시나 ISMS인증심사에 관심이 있는 사람을 대상으로 하여 ISMS,PIMS인증심사를 하면서 느낀점과 향후 대응책에 대하여 알아 보았다.  미래를 보는 눈을 가진 사람이 유능한 사람이다. @엔시스.

Posted by 엔시스

 

 

G-ISMS 준비나 관심 있는 분들 참고 하시길 바랍니다...안내서 첨부해 드립니다..


 

 

 

Posted by 엔시스
TAG G-ISMS, ISMS

전자정부에서도 정보보호관리체계를 도입하여 시작을 하게 되는데요., 그에 따른 통제 항목과 인증지침에 대한 자료 입니다.

관련 포스팅

2009/11/18 - [Security ISMS] - 공공기관 정보보호관리체계 (G-ISMS) 의무화


일정부분이 K-ISMS 부분과 유사한 부분이 있으며, 기존에 공공기관에 체계적이지 못 하였다면 정보보호에 대한 관련 정책 수립이 이제는 조금 더 견고히 되는 제도가 되지 않을까 생각이 됩니다.






모든것이 바라보는 관점에 따라 틀릴수 있다고 생각합니다. 규제라고 생각을 하기보다는 조금은 내부적 정보에 대한 보호를 견고히 하고, 구성원들의 정보보호에 대한 교육과 인식을 바꾸는 기회가 되는 쪽에서 바라 보아야겠습니다. 그렇지 않으면 자칫 규제가 되어 버린다면 오히려 불편함을 초래 할 수 있기 때문입니다.  많은 구성원의 이해가 요구되는 사항이기도 합니다.

올해에는 영 시간이 나지 않아서, 심사에 참여 하고 있지는 못하지만 좋은 기회가 있으면 공공기관에 G-ISMS 심사에도 참여를 하여 더욱 내실을 기하는데에 일조 하였으면 하는 바램을 가져 봅니다.

이러한 관리체계 인증심사나 심사원은 기술적 스킬만 가지고 되는 것보다는 겸손하고 사람의 됨됨이 심사원으로서 자질과 스킬을 골고루 갖춘 분들이면 더욱 좋겠지요. 저도 많은 노력을 하고 있습니다.

참고 하실분들은 해당 참고 첨부파일을 참조 하시면 되겠습니다. 출처는 보안인닷컴 커뮤니티에서 한 회원분께서 올려 주셨습니다..




Posted by 엔시스

내년 2010 년에는 전자정부 정보보호관리체계를 의무화 한다는 기사가 있었습니다.  본격적인 작업에 돌입이 되지 않나 싶네요.

정보보호관리체계에 관심이 있는 분들은 한번씩 참고 해 보시구요. 또한 공공조직에서 보안담당자들은 반드시 한번씩 일독 하기를 권해드립니다.



세부적으로 하나씩 읽어보니 기존에 ISMS와 유사한 느낌이 나는데 얼마나 효과가 있을지에 대해서는 한번 지켜봐야 겠습니다.

제가 늘 말했듯이 보안과 편리성과는 trade-off 관계에 있습니다. 따라서 정보보호관리체계를 귀찮은 일로 생각하시면 오산입니다. 어쩌면 제대로 된 관리체계를 수립해 놓고 제대로만 운영을 하면 더 수훨하게 관리 할수도 있습니다.

저는 관리체계를 보통 "집안 대청소"에 비유을 합니다.

어느날 아이들이 장난감과 교구 그리고 방을 완전 쓰레기 장으로 만들어 놓았습니다.  그럴때 아버지는 아이들을 데리고 책은 책꽂이에 장난감은 장난감 통에 그리고 옷을 옷걸이에 차곡차곡 정리를 합니다.

그러다가 쓸모 없는 물건이나 옷들이 있으면 쓰레기나 재활용에 버립니다. 그렇게 아이들과 같이 집안 대청소를 하고 나면 한결 잘 정리가 되고 물건이 있어야 할 자리에 있으면 그 다음부터는 관리 하기도 쉽습니다.

마찬가지로 정보보호(보안)도 기존에는 아주 주먹구구식으로 운영이 되어 왔습니다. 예를들면 화면보호기를 몇분동안 지정을 해야 하는지 패스워드는 몇자리로 해야 하는지, 정말 정보를 보호해야 할 자산은 무엇인지. 무엇이중요하고 무엇이 중요하지 않은지에 대한 기준과  규칙이 없었다는거죠..

그러한 규칙을 하나하나씩 인증심사 기준에 맞추어 체계적으로 수립해 나갈때 커다란 하나의 틀 안에서 관리를 하게 되니까 잘 고관리가 될수 있는 것입니다.

아마도 이러한 측면에서 공공기관부터 정보보호에 대한 관리 틀을 다시 한번 수립해야 하지 않는가 하는 점에서 의무화는 당연하다고 생각합니다. 실제 인증 심사를 받기위한 관리체계라기 보다 정말 조직의 정보를 보호 한다는 차원에서 접근하면 그 의미도 남다르지 않을까 생각합니다. 정보보호, 보안관리자 여러분 화이팅 하시기 바랍니다. @엔시스.



Posted by 엔시스