2010년 정보보호관리체계(ISMS) 인증 모범 사례집이 나왔네요. 지난 연말에 준비했던 것인데 지금 접하게 되었네요. 얼마전 언론 기사에서도 국내 ISMS 인증 심사제도를 확대 하겠다라는 부분이 있었다.

관련 포스팅

2010/04/28 - [Security ISMS] - 방통위, ISMS 인증 확대 위한 활성화 방안 본격 추진

본인도 몇번 참석 하지는 않았지만 누구보다 국내 ISMS 인증심사에 대한 정착을 위한 노력과 많은 분들이 관심을 가지고 노력을 하였으면 하는 바램을 가지는 사람중에 하나이다.

이번 모범 사례집에는 지금까지 ISMS인증심사로 참여 하면서 느꼈던 제3자의 시각으로 글을 한번 적어 보았습니다.





성격 급하신 분들을 위하여 웹에 간략히 정리 해 보면 

ISMS 인증심사를 효율적으로 하려면 
  • 인증 심사원 측면
    • 다양한 인력풀을 이용한 심사원 품질제고 - 다양한 인력풀을 이용한 보다 체계적이고 품질 높은 인증을 노력을 하여야 한다.
    • 심사원의 품위와 자질 향상 - 인증심사원의 품읭하 자질 향상에 노력을 해야 하고, 무리한 심사나 인증심사기관의 담당자로 하여금 불쾌감을 주는 일은 없어야 한다. 또한 15개 도메인과 446개 세부통제 항목을 잘 이해하고 있어야 한다.
    • 인증심사원의 신청기관에 대한 사전이해노력 필요 - 사전에 인증심사를 받고자 하는 기관에 심사원이 웹사이트등 사전 방문을 통하여 조금 이해하고 심사에 임하면 조직을 이해하는데 도움이 될 것이다.
  • 인증심사 신청기관측면
    • 철저한 사전준비로 심사에 임해야 - 인증심사에 철저하게 대비하여 대외적인 이미지에 영향을 끼치는 문제임으로 소홀함이 없어야 한다.
    • 12개월중 1개월만 보안하는 조직이 되어선 안돼 - 보통 최초심사는 5일 사후심사는 3일인데 심사를 전후하여 준비기간에만 반짝 준비하고 , 1달만 준비하는 관리체계가 되어선 안된다. 정보보호는 1년 365일 지속적인 라이프사이클을 가지고 해야 된다.

 

ISMS 인증심사로 기업 보안문화 정착

  • 경영자 (CEO)의지가 무엇보다 중요 - 반복적인 이야기 같지만 심사를 나가보면 이러한 문제를 호소하는 담당자들이 제법 있다. 무엇보다 CEO의 보안에 대한 의지가 중요하다.
  • 전 임.직원의 보안 생활화 - 보안이 불편한 것이 아닌 위험 수용을 위한 투자라고 생각하고 조직내에서 보안이 하나의 문화(文化)로 자리 잡아야 한다.
이러한 내용으로 기고를 하였습니다. 참고로 세부적인 내용은 첨부파일을 함께 첨부 하오니 자세한 내용은 첨부파일을 다운로드하여 구독해 보시면 ISMS에 관심 있는 분들은 많은 도움을 얻어 가실수 있을 것입니다.


 

Posted by 엔시스


지난 27일 서울에 정보보호관리체계(ISMS) 인증심사원 보수교육에 다녀왔습니다. 여름 휴가를 내고 갔었지만 결국 휴가를 교육을 받으면서 보내게 되었네요.

당일치기로 다녀 오는 것이라 새벽부터 분주하게 준비를 하였습니다. 새벽 4시30분에서 첫 기차 KTX를 타고 서울로 향하였습니다.

KTX 타면서 느끼는 것이지만 이젠 새마을호가 점점 멀어져 보이기만 합니다. 그것은 소유되는 시간이 4시간 30분정도 소요되는데 KTX는 2시간 50분이면 되니까..

점점 2시간 50분도 길어지는 느낌이 드네요..사람이 참 어쩔수 없나 봅니다. 예전엔 무궁화호는 어떻게 타고 다녔는지 모르겠습니다.

세미나장소



서초역 근처에 있는 장소인데 건물이 상당히 깔끔하고 깨끗한 느낌을 받았습니다. 주변에도 공터도 좀 있고 그러더군요..

ISMS 인증심사원 보수교육 프로그램입니다.



이번 교육은 실제 컨설팅 업무를 하는 실무자로 하여금 심사시 유의해야 할 사항과 실제 심사시에 고려해야 할 사항들은 컨설팅 실무자 관점에서 이야기 해 주었습니다.

특히 '위험평가' 분석을 간단하게나마 실습을 해 봄으로 인하여 위험 평가 분석방법에 대한 감을 유지할수 있었습니다.

또한 안랩에서 전실장님은 지난 7.7 DDoS에 대한 전반적인 개요와 여러가지 좋은 말씀들을 해 주셨습니다..

또한 문승주 대표님은 ISMS 인증심사에서 심사기법과 주안점을 말씀해 주셨는데 실제 심사하면서 느낀 점이라든지 또는 인증심사원이 심사하는 그 밖에 일어나는 일들에 대한 전후 프로세스에 대한 이야기를 해 주셔서 인증심사에 대한 이해도를 높일수 있었습니다.

마지막 KISA 고규만 선임은 인즘 심사시에 결함 보고서를 어떻게 하면 잘 적을수 있는지 또는 결함 어떤 시각에서 볼 것인가에 대한 실무자 관점에서 잘 설명해 주었습니다.


이번 ISMS이 하루짜리 교육이었지만 비록 먼 부산에서 하루만에 올라갔다 내려온 교육이었지만 다음과 같은 점을 배우고 느낄수 있었습니다.

  • 새로운 사람들은 만날수 있었습니다.
  • 위험 평가분석 프로세스와 절차 그리고  실습.
  • 인즘심사 주안점과 기타 ISMS 관련 정보를 습득.
  • 결함보고서 작성시 주의점과 케이스 바이 케이스로 사례 중심
  • 기존에 알고 있는 분들은 또 같은 자리에서 만날수 있었음
  • 역시 이 바닥은 좁다.- 몇다리 건너면 다 안다.

 어떠한 자격증이던 인증증서이던지 간에 이러한 유지 할수 있는 보수교육이 이루어져야 합니다. 심사원은 자격유지를 위한 감을 유지 할수 있고 또 심사에 참여 하는 사람들은 조금 더 유의를 하여 심사에 참여 할 수 있습니다.

아무튼 피곤한 하루였지만 또 그렇게 휴가를 교육으로 하루 날려 버렸습니다. 올해엔 아무래도 휴가를 가지 못할꺼 같다는 생각이 자꾸 드네요...가족에게 미안할 따름입니다.

Posted by 엔시스