정보보호관리체계(ISMS)가 시행된지 10여년이 된다. 하지만 지금까지 권고사항이 지나지 않았기 때문에 그 중요성을 알고 있음에도 불구하고 비용과 인력의 문제로 인하여 준비를 하지 못했지만  앞으로는 의무화가 되기 때문에 많은 관심을 가져야 한다. 필자는 이에  ISMS인증심사와 PIMS 인증심사를 하면서 느꼈던 관리체계의 필요성에 대하여 짚어 보고자 한다.  - 주인백


                                                                <출처: 전자신문 2012.01.17일자>


1. 정보보호관리체계란?

정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도  - 출처: KISA 홈페이지


2. 왜 필요한가?

최근 들어 "왜"라는 단어와 "본질"이라는 단어에 많은 관심을 가지고 있다. 그럼 왜 "관리체계"가 필요한가?에 대한 본질적인 부분을 우리는 고민을 해야 한다. 그 부분을 심사를 하면서 느꼈던 생각을 고려하여 몇가지로 정리 해 보기로 하자.

  • 기업과 조직의 입장
    • 우선 기업이나 조직의 입장에서 관리체계 도입의 필요성은 그냥 단순히 도입하면 좋을것 같으니까 도입하는것이 아닌 뚜렷한 목적이 있어야 한다. KISA가 말하는 목적은 다음과 같다.
      • 정보자산의 안전, 신뢰성 향상
      • 정보보호관리에 대한 인식제고
      • 국제적 신뢰도 향상
      • 정보보호서비스 산업의 활성화
  • 개인적인 입장
    • 괸리체계를 도입하여 실제 사이클대로 움직여 본다면 전체적인 맥락에서 우리 기업에서 우리조직에서 정보를 보호해야 할 자산을 식별 할수 있고, 위험도를 산정하여 중요도를 체크하여 체계적인 관리를 함으로 인하여  갑작스러운 사고나 장애에 대비하여 즉각적인 대응시나리오를 관리 하는 방법을 숙지 할 수 있다.

3.  관리체계에는 어떤 것들이 있는가?

  • 국제적
    • ISO27001 : ISMS에 대한 국제적인 표준으로써 전세계 선진기업이 합의한 좋은 사례를 활용하여 조직이 정보보호 경영을 실행하기 위한 프레임웤을 확인하고 이를 자사에 적용할 수 있게 하는 인증체계를 말한다.
  • 국내적
    • K-ISMS : 방통위와 KISA에서 주관하는 ISMS로 민간에 적용되며 정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조
    • “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조
    • 정보보호관리체계 인증 (제2010-3호) 법적근거를 가지고 있다.

                    ※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있    
                        도 록   하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함

    • G-ISMS : 공공기관에 적용되는 ISMS 제도


4. 연도별 인증서 발급현황

                                                               <출처: 한국인터넷진흥원>


2002년부터 발급을 시작해서 매년마다 점점 많은 수의 인증을 받고 있지만 총 10년에 걸쳐 126건 밖에 되지 않았다는 것은 그동안 얼마나 정보보호에 많은 무관심을 가지고 있는가에 대한 반증이기도 합니다. 그동안 ISMS 인증제도는 법적 의무사항이 아닌 권고 사항이었기 때문에 위와 같은 숫자가 나왔다고 하지만 보안에 대한 이슈는 점점 커지고 있어서 그 역할은 커지리라 생각이 듭니다.


5.  최근 시사점과 향후 방향

  • 정보통신망법 개정
    • 안전진단제도 폐지
      • ‘12년도 안전진단 예비대상자는 370여개 업체로, 전년대비 25.4% 증가

        (‘05) 142개 ➡ (’06) 160개 ➡ (’07) 207개 ➡ (’08) 232개 ➡ (’09) 247개 ➡ (’10) 272개 ➡ (’11) 292개 ➡ (’12) 370여개 예상

        안전진단 대상자가 점점 많아 짐으로 인하여 관리체계에 대한 법적 의무 시행 사업자도 증가할 전망.

  • '13년도 관리체계 의무화
    • 관리체계 의무화
      • 개인정보보호법 시행에서도 느꼈지만 13년도 시행이면 ISMS의 경우에는 올 12년도에 이미 컨설팅이나 사전 준비작업에 들어가야 한다. 그렇지 못할 경우 자체적으로 정책 수립에서부터 끝까지 마무리 작업을 해야 하는 부담을 가진다. 하지만 대부분 초기 관리체계 수립은 컨설팅을 많이 받음으로 한꺼번에 몰릴 가능성이 있다.
      • 또 한가지는 ISMS의 경우 관리체계 수립후 증적 사항을 수집하기 까지 오랜 시간이 걸린다. 컨설팅은 보통 빠르면 2-3개월에서 끝나지만 이에 따른 이행증적 사항은 6개월 정도 관리체계 사이클대로 움직일때 가능하다. 따라서 안전진단 해당 기업은 올해 부터 관심을 가져야 할 것이다.
  • 기업 관리체계 담당 인력 및 보안 컨설팅 인력 수요급증
    • 인력과 예산
      • 정보통신망법 개정으로 인하여 올 7월1일부터 시행이 되고 '13년도에는 ISMS제도가 의무화가 됨에 따라서 안전진단 대상 기업에서는 ISMS 전담 인력을 따로 구성하는 것이 좋다. 또한 초기 컨설팅을 위한 예산 마련도 중요하겠다.  특히 취업을 하지 못한 예비 취업자나 이직자 그리고 컨설팅에 관심이 있는 사람이라면 "관리체계"에 대한 관심도 가져 보는 것이 좋겠다.
      • 또한 이러한 관리쳬계 수립후에 이것을 체크리스트에 따라 인증하는 인증심사원에 대한 인력에 대한 부분도 수요가 늘어 날 것으로 전망된다. 따라서 기존 IT경력과 경험이 있는 그리고 인증 심사 스킬을 보유한 유능한 인증심사원등이 대거 등장하거나 많은 수요가 전망된다.

 

  • KISA의 역할강화
    • 기존 부서 역할증대
      • 지금현재 관리체계에 대한 대부분 업무을 추진 하는 기관은 방통위 산하 '한국인터넷진흥원'에서 추진하고 있다. 이러한 시대적 요구사항에 있어 KISA 해당 부서에 대한 역할 강화가 필요 할 것으로 보인다. 그동안 추진해 왔던 경쟁력과 경험을 바탕으로 하여 보다 더 확대 적용 되기 위한 힘을 실어 주어야 한다.


맺음말

한국에 인터넷이 사용된지 이제 불과 15여년밖에 되지 않았다. 그동안 많은 성장을 이루었고, 대한민국은 그중에서도 IT인프라 강국으로 도약이 되었다. 필자도 초고속 인터넷 사업에 인프라 구축 PM도 하였고, 그 이후 대규모 서버들이 들어있는 집적정보통신시설이 들어 서고 각 통신사 및 이통사 데이터 센터가 건립이 되었다. 이러한 데이터 센터는 이제 각 기업마다 관리 포인트가 늘어남에 따라 자체 데이터센터를 보유하게 되었고, 장애시에 대비하여 복구센터도 갖추게 되었다.

특히 이러한 인프라를 기반으로 성장하는 대한민국에 순기능에 따른 역기능 또한 만만치 않아 잇따른 보안사건사고가 발생을 하고 특히 '11년 작년의 경우에는 금융권에서 대거 개인정보 유출 및 금융 보안 사건사고가 일어나면서 많은 보안이슈가 제기되기도 하였다.

IT보안은 이제 IT융합으로 갈 것이고 산업전반에 걸쳐 보안의 중요성은 점점 커질수 밖에 없다. 또한 최근 SNS와 스마트폰을 이용한 모바일 보안이 이제는 엔드유저단인 '사용자 보안'으로 그 바톤이 넘어가게 되었다.

이러한 보안적 이슈를 잘 해결하고 대응을 하기 위한 가장 기초적인 작업이 '체계적인관리'에는 누구나 공감대가 형성이 되었다. 따라서 국내 정보보호관리체계중에 하나인 ISMS에 대한 중요도가 높아지고 정부는 지금까지 권고사항에 그쳤던 ISMS제도를 법적 의무화와 규제를 함으로 인하여 보안성을 높이려 할 것이다.

이러한 관점에서 보았을때, 이제는 IT보안을 바라보는 시야를 조금 크게 바라 볼 필요가 있고 기업이나 조직의 전체적인 틀(Frame)안에서 기획,설계,수립해 나가야 하는 시기이다.

본 포스팅은 혹시나 ISMS인증심사에 관심이 있는 사람을 대상으로 하여 ISMS,PIMS인증심사를 하면서 느낀점과 향후 대응책에 대하여 알아 보았다.  미래를 보는 눈을 가진 사람이 유능한 사람이다. @엔시스.

Posted by 엔시스


정보보호관리체계(ISMS) 인증심사를 취득한 기업에 대한 사후관리를 위한 용역 사업 발주가 KISA 홈페이지에 올라와서 주요 내용을 살펴 보고자 합니다. 본 포스팅은 ISMS RFP 기준으로 작성됨을 알려 드립니다. 많은 기업들이 관심을 가지고 ISMS에 보다 많은 관심을 가졌으면 하는 바램이 드네요. -편집자 주


ISMS 인증심사 사후관리 용역발주

 

정보보호관리체계(이하 ISMS )란? 조직이나 기업에서 ISMS인증기준 체크리스트에 부합하는 15개 통제 도메인에 얼마나 부합하는지를 인증하는 관리적 보안의 주요 관리체계중에 하나로, 지난 2002년 부터 작년까지 사후 관리 심사를 받아야만 하는 기업이 71개 기업에 달한다.

이러한 사후관리 심사는 KISA에서 해야 하지만 심사인력의 한계로 외부심사원을 활용하여 심사를 추친하려고 하는 것이다. ISMS인증심사를 인증을 지속적으로 유지하기 위해선 매년 1회 사후관리 심사를 받아야 한다.

올해 사후관리심사 용역발주 주요 내용을 살펴 보겠습니다.

1. ISMS 인증심사 PM 양성교육


정보보호의 중요성이 날로 커지고 기업에서도 ISMS 인증심사에 대한 필요성을 인지하다보니 인증심사를 하는 심사팀장 즉 PM의 역량을 강화시키고, 정보보호관리체계의 실질적 PM으로 자질 확보가 중요하기에 시행하는게 아닌가 생각이 드네요.
상당히 고무적인 사항이고, 해당 PM Pool 을 형성하여 보다 다양한 인력을 활용하면 인증심사원의 자질 향상과 각자 노하우와 경험을 잘 활용할 수 있는 기회로 작용하지 않을까 하는 생각이 듭니다.

특히 인증심사는 심사원의 심사스킬도 중요한 부분이라 생각이 듭니다. 다양한 환경과 변화에 있는 부분을 어떻게 피 심사업체에게 잘 설명하면서 매끄럽게 진행 하는가에 대한 역량도 심사팀장의 역할이며, 인증심사원을 잘 리드해 나가고 isms인증심사의 품질을 높일수 있도록 역할을 다해야 하는 역량이 중요한 핵심일 것입니다. 이러한 것은 꼭 심사팀장 뿐만아니라 참여 심사원도 많은 참여를 통하여 스스로 자기역량 강화에 노력을 해야 할 것입니다. 

간단하게 언급해 보자면 이런게 아닐까 하는 생각이 드네요. 실제 제가 참여 할때 하는 방법이기도 합니다. 아직까지 경험이 많지 않아 부족하지만 열심히 노력 중에 있습니다.

아래 포스팅 참고 하시구요.

2009/09/22 - [Security ISMS] - 정보보호관리체계(ISMS) 인증심사는 어떻게 진행될까?

  • 심사원은 인증심사전에 피 심사기업에 대하여 한번쯤 조사를 해 본다. - 사전에 피 심사기관이 어떠한 사업을 하고 있으며 비니지스 모델은 어떤 것이며, 대략적인 무엇을 하는 회사인지를 알고 가면 좋겠습니다. 또한 연혁이나 사업분야를 홈페이지등에서 참고 하면 좋겠지요.
  • ISMS 인증심사기준을 한번씩 읽어 보고 가라 - 저의 경우에는 ISMS 인증심사기준표에 나와 있는 심사기준을 한번씩 전부 그 전날에 읽어 보고 갑니다. 그래야 인증심사 업무시 바로 적용 가능하기 때문이고, 심사를 많이 하신 분들은 이미 어느정도 머리속에 있지만 그렇지 못한 분들은 꼭 기억하시고 한번씩 준비하시고 참여 하는게 좋겠습니다.
  • 보다 폭 넓은 지식과 연구를 하라 - 보통 심사를 하게 되면 한 사람이 모든 것을 심사 할 수는 없지요. 따라서 몇번 참여 한 사람은 조금 다양한 부분을 맡아서 하면 좋을 듯합니다. 그래야 심사팀장이 되었을때 전체적으로 큰 그림을 그릴수 있지 않을까 생각이 듭니다. 자신의 업무가 인프라 관련된 부분이라고 매번 운영관리쪽만 하면 심사는 쉽겠지만 발전은 없을듯 합니다.
  • 선배 심사원의 심사스킬을 배운다 - 아무래도 많은 참여 경험이 있는 심사원의 심사스킬을 조금씩 배우는 것도 좋겠습니다. 심사원분들 중에서 경험과 지식이 많으신 분들이 많이 알려 주시기도 하죠.
  • 결함보고서 작성 연습 - 가상의 결함 보고서 작성을 많이 연습해 보면 심사팀장의 부담을 줄여 줄수 있고, 결국 결함보고서의 내용으로 결함을 도출 해 내기에 성의 있고, 깔끔한 작성과 해결 방안을 적절하게 제시하면서 작성하는 방법을 찾으면 좋겠습니다. 저도 많이 노력해야겠습니다.

기타 여러가지가 있지만 추후 더욱 많은 경험이 생기면 다시 한번 정리해 보도록 하겠습니다.

2. 웹 모의진단 및 주요 시스템 취약점 점검 수행




작년에 비해 용역단가가 올라 갔기 때문에 요구하는 사항도 조금 늘지 않았나 생각이 듭니다. 실제 owasp 2010 10대 취약성을 이용한 모의진단 및 주요 시스템 취약성 점검을 요구 하고 있습니다. 취약점 진단을 따로 수행 진행 해야 하기 때문에 전담 인력이 있는 업체가 있으면 유리 하겠군요..


3. 객관적이고 전문화된 사후관리 심사 수행





3단계에 걸쳐 SOP를 제시 할수 있어야 겠습니다. 아마도 이러한 부분은 기존에 많은 사후관리 심사를 해본 업체가 유리 하지 않을까 하는 생각이 드는데요. 아무튼, 가장 중요한 부분이겠지요. 특히 이러한 3단계 진행을 잘 하려면 심사경험이 풍부하고 심사팀장이 역량이 뛰어나면 훨씬 수훨하게 진행이 되지 않을까 싶네요.. 심사원과 심사팀장의 실질적인 심사비도 현실화가 되는지 모르겠네요.


다음은 사후관리심사 대상 업체 현황입니다.

* 사후관리심사업체 현황



현황을 보니 주로 10월과 11월에 집중적으로 분포 되어 있네요. 1년중 가장 많은 업무가 있는 시기이기도 하겠지요. 이러한 사항을 고려 한다면 혹시 ISMS 인증심사 인증을  준비하시는 분들은 2/4분기에 준비하면 조금 넉넉하게 심사 받을 수 있지 않을까 싶네요. 아무래도 바쁜 시기에는 그만큼 서로가 힘든 부분이 있겠지요.



통신업체와 정보보호업체로 구성되어 있습니다. 2월에도 제법 많이 분포되어 있네요..일정이 빠르게 진행이 될 듯 싶네요..




원격 대학으로 17개 대상 학교가 되어 있습니다.  가군, 나군, 다군으로 분류되어 있어 인증심사시에 공정성과 객관성을 유지하고 있으며, 71개 대상 기업을 심사한다는게 쉽지는 않을 듯 합니다. 여러 팀에서 동시에 높은 품질을 보장하는 심사가 이루어진다면 별 무리가 없겠지만 그렇지 않을 경우에는 심사적체가 생길 수 있겠습니다. 이러한 사항을 용역 보고서에서 해소 할 수 있도록 요구 하고 있습니다.


4. 사후관리 심사팀 구성원칙

-심사팀은 심사팀장 1명, 심사원 1명, 심사원보 1명 총 3명으로 구성 심사팀장 이외의 심사원 295명은 인증심사원 중에서 KISA가 선정가 기본원칙이구 기업 규모에 따라 변경 가능 하게 되어 있습니다.

-심사수수료는 "KISA  인증업무지침" 준용하여 (심사원 30만원 이상, 심사원보 :20만원 이상) - 심사수수료 올랐죠?
- 최근 2년 동안 사후관리 대상 기업에 정보보호컨설팅에 참여한 경력이 있는 심사원은 구성에서 제외


5. 컨소시엄 구성이 가능 - PM교육, 사후관리심사진행, 취약성점검 진행


작년에 비해 용역단가는 올라가고 조금은 체계적이고 , 인증심사원을 적극 활용하는 방안으로 용역이 발주 된듯 합니다. 관리적 보안 특히 , 정보보호관리체계(ISMS)는 수립과 인증은 아무나 할 수 있는 것이 아닌, 업계 경력과 노하우 그리고 각종 인프라에 대한 경험이 어울어져 주어진 체크리스트에 얼마나 부합하는지를 심사하는것으로써 정보보호전문기관인 KISA를 대변하여 인증심사를 할 수 있는 역량 있는 인력을 요구 할 듯 합니다. 개인적으로는 저도 많은 관심을 가지고 있으며, 아직 부족하지만 , 심사스킬도 높이도록 노력을 해야겠습니다. 기술적 보안도 중요하고 , 시큐어코딩이나 개발도 중요하지만 큰 틀에서 보안을 생각할 수 있는 좋은 기회인 듯 합니다. 나름 보안전문가로서 큰 로드맵과 기업의 의사결정자로 하여금 정보보호의 인식제고 및 중요성을 알리는 것 중에 하나라고 생각이 듭니다. 역량 있는 기업이 많이 입찰하여 국내 ISMS 제도 정착에 이바지 하였으면 하는 바램을 갖어 봅니다.

첨부파일  : ISMS 사후관리심사 진행 용역발주서(RFP)




Posted by 엔시스



안전진단제도 보완책 나와

일정한 규모의 사업을 하고 매출을 하고 있으면 의무적으로 정보보호안전진단이라는 것을 받아야 했습니다. 그런데 이것이 형식적인 부분이 많고 기간이 거의 다 되어서야 한꺼번에 몰리다 보니 문제점들이 많이 지적이 되었습니다.


또한 안전진단제도는 누구나 모두 진단을 하는것이 아니라 안전진단 업체로 지정된 회사만이 할수 있기 때문에 배야할 업체는 많고 진단하는 업체는 모자라고 해서 실효성 부분이 대두되기 시작하였습니다.

처음에는 8개 업체에서 그다음에 18개 업체로 늘이고 이번에 2개 업체가 더 지정이 되어 20개 업체가 되었습니다...
살펴보면

< 안전진단 수행기관 인정 법인 목록- 총 20개사 >
씨에이에스, 한국전산감리원, 에이쓰리씨큐리티컨설팅, 안진회계법인, 한국통신인터넷기술, 넷시큐어테크놀러지, KT, 안철수연구소, 한국IT감리컨설팅, 씨큐아이닷컴, 롯데정보통신, STG시큐리티, 인젠시큐리티서비스, 인포섹, 인젠, 한영회계법인, 정보보호기술, 이글루시큐리티, KCC시큐리티, 엔코딩패스
 

그런데 안전지단제도가 강화가 된다는 기사가 나왔네요..

[정보보호안전진단②]제도, 올해는 어떻게 바뀌나

특히 안전진단 심사원이 일정한 교육을 받아야 하고 시험에 합격을 해야만 하는게 눈에 띄네요..실질적으로 내실있는 안전진단을 하겠다는 관련기관의 의지인듯 싶네요..




매년 안전진단 받느니 차라리 ISMS 인증심사 받으면 어떨까?

ISMS 인증을 획득한 경우도 당해 연도만 면제하게 돼 있어, 3년의 효력이 있는 ISMS를 받고도 다음해에는 또다시 안전진단을 받아야 했다. 하지만 이번 개정안에서는 당해연도만 면제하게 돼 있었던 것을 인증유효기간인 3년 전부 면제하도록 했다. 또한 주요정보통신기반시설 취약점 분석평가를 받은 경우도 면제가 가능하게끔 면제를 확대했다.

해당 기사에서는 ISMS 인증심사를 받게 되면 지금까지는 당해 연도만 면제 되었는데 ISMS 인증 심사 효력이 있는 3년내내 면제가 되도록 하는군요.

여러가지 측면으로 보았을때 정보보호관리체계(ISMS) 을 수립을 한다면 여러가지로 중복되는 부분에서 제도적으로 면제 받을수 있고 체계적인 수립도 할수있어 앞으로 어느정도 규모를 갖춘 기업들은 그 수효가 늘어 날 것으로 전망이 됩니다.

이러한 사항은 한국정보보호진흥원(KISA) 홈페이지 입찰공고에서도 볼수 있습니다. 지금 안전진단제도 고도화 및 ISMS 인증제도 고도화를 위하여 관련 프로젝트를 입찰공고를 낸 상태이고,  올해 같은 경우도 사후관리제도를 수행할 업체를 제안 받고 있는 것도 같은 맥락으로 볼수 있습니다.

따라서 정보보호에 관심이 있는 사람 및 사업자라면 정보보호관리체계(ISMS)에 관심을 가져야 할 것이고, 이것은 향후 조금 더 정보호호에 롱런을 하고 싶은 사람들에게는 좋은 기회로 작용하겠습니다.

그것은 지금 약간의 예측 시나리오는 적어 보면 다음과 같습니다..

  • 지금 ISMS 인증심사를 받은 기업이 제법됩니다. KISA 홈페이지에 가서 지금까지 인증 받은 업체 배너 링크 갯수만도 약 4-50 업체정도 되죠.
  • 이러한 업체는 사후심사, 갱신심사등을 정기적으로 받아야만 하고, 그런데 각 ISMS 인력 풀을 가동하여 운영하기가 그리 쉽지는 않습니다.
  • 결국 아웃소싱으로 돌릴것이고 해당 업체는 인증심사원을 수배 할 것입니다. 심사원이 부족할시에는 한번이라도 심사에 참여 한 사람이 필요 할 것입니다.
  • 보안의 요구가 더 강해지기 때문에 기업의 신뢰성 차원에서 정보보호관리체계 수립은 반드시 필요하겠습니다. 따라서 그 수요는 더욱 증가 할 것입니다..


기업이 경쟁력 있기 살아 남기 위해서는 여러가지 안전장치가 마련이 되어야 합니다. 그중에서 보안은 이제 필수가 되어버린지 오래이지만 아직도 그 실천은 미흡하기만 합니다.  그런데 이제는 기업이 경쟁하기 위해서는 다른 기업이 하면 내 기업도 해야 하는시대가 도래가 되었습니다.

같은 동종업계에 있으면서 경쟁사가 보안 투자를 하는데 우리 조직과 기업만이 나몰라라 할수는 없는 것입니다. 그런 측면에서 볼때 ISMS 인증은 이젠 기업의 필수 조건이 될 것입니다. @엔시스

Posted by 엔시스