오늘은 우연히 체크,체크리스트라는 책의 서평을 검색하면서 읽다가 '정보보호관리체계(ISMS)와 같은 유사성이 있어 ISMS의 관점에서 한번 포스팅 해보려고 합니다. -편집자 주



정보보호관리체계(ISMS)가 최근 주목을 받고 있습니다. 그것은 전자정부에 관리체계인 (G-ISMS)나 개인정보보호관리체계인(PIMS)의 모태가 되는 제도이기 때문입니다. 물론 그 안에 들어 있는 사상이나 방향은 조금씩 다르지만 지금까지 제도운영에 대한 노하우가 가장 많이 있기 때문입니다.

2002년부터 시행된 ISMS 인증제도는 앞으로 더 확대 되어야 하고 지금처럼 권고사항이 아닌 이젠 의무사항으로 되어 법제화가 되어야 할 것으로 생각이 듭니다. 물론 가야할 길은 많이 있겠지만 말이죠.

                                                                          <위키피디아의 ISMS 내용>

정보보호관리체계라는 것은 아무것도 없는 보이지 않은 조직과 기업의 보안에 틀을 제공하고 문서화하고 조직에 자산을 식별을 하여 위험도를 산정하여 위험도가 높은 것부터 보호조치를 취하는 아주 지극히 반드시 해야 하는 작업중에 하나입니다
하지만 현실적으로 쉽지 않은 부분들이 있고, 특정 위험평가부분에서는 어려운 부분도 있기때문에 스스로 해결하기보다는 외부에 도움을 받으려는 경우가 많습니다.

처음 기둥을 세울때에는 어쩔수 없다고 하더라도 최초심사이후, 사후관리, 갱신심사에서 그나마 조금씩 알아가는 담당자들을 보고 있을때면 심사 위원들로서는 조금은 보안이 강화되어 가는 느낌이 듭니다. 하지만 아직도 일선에서는 여러가지 애로사항들이 많이 있습니다.

최근 KISA ISMS 인증심사원 교육 자료에 따르면 2010년5월 기준 76개 업체가 인증심사를 통과 하였다고 되어 있습니다. 이제는 정보보호관리체계라는 하나의 또 다른 키워드와 시장이 형성이 되는 시점일 수도 있습니다. 이런 시점에서 인증심사원과 해당 조직에 ISMS 담당자들이 서로 정보를 공유하고 함께 나누어 갈수 있는 기회의 마련이 중요하겠습니다.

최근 인증기관인 KISA 홈페이지에는 세미나 또는 교육이후 다양한 자료를 공개 배포함으로 인하여 좋은 자료를 쉽게 접할수도 있게 된것도 고무적인 현상입니다.


ISMS의 핵심은 바로 체크리스트와 이행증적

정보보호관리체계(ISMS)와 맥을 같이 하는 책이 있어 소개하고자 합니다, 아직 저도 책을 읽어 보지는 않았지만 우연한 기회에 서평을 보게 되었고, 조만간 책을 한번 구입해서 읽어 볼 생각입니다., 그것은 바로 체크리스트라는 것입니다.

관련포스팅

습관화된 체크리스트가 성과를 낳는다.
체크체크리스트
위키피디아의 ISMS http://en.wikipedia.org/wiki/Information_security_management_system


조직에서 정보보호에 대한 보호조치나 대책 마련을 만들기 위해서는 어떠한 이유로 어떠한 사유로 어떠한 규정에 의하여 하여야 하는지에 대한 근거가 마련이 되어 있어야 합니다. 그렇지 않을 경우 왜 정보자산의 위험에 대한 보호조치에 투자가 되었는지를 설명할수 없기 때문입니다. 이러한 것은 바로 15개 도메인의 446개 세부통제항목을 가지고 있는 ISMS 체크리스트 가 적합 할 것입니다.


정보보호관리체계(ISMS)도 이제는 경영에 반영될수 있는 거버넌스로


인증심사를 다니다보면 '자산위험평가'를 한 '위험평가보고서'를  접하게 됩니다. 이러한 위험 평가보고서는 말 그대로 자산 목록에 대한 위험도를 산정하여 어떠한 자산이 위험에 우선순위에 있는지를 나타내주는 일종의 보고서라고 보시면 되겠습니다.

하지만 , 한가지 아쉬운 점이 있습니다. 그것은 바로 '경영진을 위한 위험평가보고서'가 없다는 것입니다. 지금 컨설팅업체에서 주는 위험평가 보고서는 실무진을 위한 평가보고서이지 경영진을 위한 것은 아니라는 이야기입니다. 여러가지 자산목록에 대하여 각종 위험도와 그래프 , 그리고 빽빽하게 적힌 4-50장 정도의 평가보고서를 읽고도 경영진은 도대체 어떠한 내용으로 무엇이 위험하고 왜 위험한지에 대한 1-2장짜리 보고서가 필요한 것입니다.

물론 이러한 부분은 컨설팅업체보다는 각 조직에 있는 ISMS 를 담당하는 부서에서 가공하여 경영진에게 보고 할수 있는 보고서를 만들면 금상첨화 일 것입니다. 하지만 지금 대부분 ISMS는 최초심사는 물론이고 사후관리까지 외부에 컨설팅을 받아야 하는시점이고, 스스로 위험평가를 어떻게 왜..그리고 무엇인지를 정확히 파악하고 있는 실무진도 드물다는 이야기겠지요.


1-2장짜리 경영진 눈높이의 위험평가보고서가 필요

이러한 '위험평가보고서'에서 1-2장짜리 경영진에 보고할수 있는 경영진의 눈높이로 보고서가 작성이 되어 경영진이 위험도가 높은 자산을 보호조치를 함으로 인하여 경영에 도움이 될수 있다는 사실을 구두로, 또는 어려운 평가보고서로 하는것이 아닌 평가보고서를 근간으로 하는 외부 심사를 받았는데 이러한 위험이 도출이 되고 향후 보호조치를 취하지 않았을때에는 경영에 막대한 피해를 입힐수 있다는 사실을 인지시켜야 하는 것이 해당 담당자의 몫이고 인증심사원들이 심사시에 조금 더 힘을 실어 줄수 있는 기회일 듯합니다.


맺음말

앞으로 ISMS 인증심사를 신청하는 조직은 점점 늘어 날 가능성이 있고, 또한 그 필요성이 대두가 되고 있기에 기존에 먼저 ISMS 인증심사를 통과한 조직에서는 이제 막 시작하려는 유사 조직에 시행착오나 ,격려, 그리고 개선점을 함께 공유하는 자세가 필요하고 개선점을 같이 도출하는 것이 바람직하여 시간이 흐를수록 더욱 건실한 제도운영이 되어야 할 것입니다.

무엇이든 스스로 통제하고 접근제어하기란 쉽지 않습니다. 어떠한 기준에 의거하여 만들어 놓은 것이 그 조직에 프로세스화 하고 체계화하여 추후 고도화에 접근을 하게 되는 것입니다. 처음엔 무엇이든 모두 어렵다고들 느낍니다. 하지만 어려운 것은 익숙하지 않아 그런것이지 무엇이든 익숙해지면 그 어려움은 사라질 것이라 생각합니다. 전문가, 즉 정보보호전문가의 길로 간다는 것은 바로 '관심'에서 출발 한다고 생각합니다.      첫번째로 관심이 없으면 출발조차 할수가 없겠지요.

인증심사원은 인증심사만 끝나면 일로써 잊어버리는 것이 아니라 주어진 하나하나 인증심사를 함으로 인하여 어떠한 경험이 되었고, 어떻게 하면 더 보안성을 강화 할수 있는 방법이 있는지를 고민하여 추후 또다른 심사시에 어려움을 겪고 있는 분들에게 좋은 조언이 될수 있고 참고가 될수 있는 새로운 지식을 주어야 하는 것이 인증심사원으로서 자질이라 생각이 듭니다.  또한 인증심사원으로서 갖추어야 할 자질과 품격 그리고 여러가지 결함보고서 작성능력이며, 심사가 원활히 이루어질수 있도록 협조하는것도 하나의 덕목이라 생각이 듭니다. 15개 ISMS 체크리스트를 근간으로 하여 해당 조직에 심사를 하는것이지 지도나 감사를 하는 것이 아니라는 생각을 가지고 늘 겸손하고 품격있는 자세로 심사를 하는 횟수가 거듭됨으로 인하여 더욱 성장 해 나가야 할 것입니다. 이러한 인증심사원들이 많이 양성이 되어 대한민국 정보보호에 대한 체계를 점점 잡아 갈때 보안은 한단계 업그레이드 될 것이라 생각이 됩니다. @엔시스.


Posted by 엔시스

정보보호관리체계(ISMS) 인증 취득 기업에 대한 사후관리에 대한 사업공고가 KISA 홈페이지에 올라 왔네요..정보보호관리체계 인증을 받은 기업이 점점 늘어 날수록 이에 대한 관리기관에서 관리도 해야 하기에 상당히 중요한 사업이라 생각이 듭니다.

특히, 사후관리는 ISMS 인증심사를 취득후 1년에 1번씩 이행점검을 심사하는 것이라 보면 되는데 23일까지 마감이고 25일날 사업설명회가 준비가 되어 있네요..

혹시 정보보호관련 사업을 하시는 분들은 한번쯤 설명회에 참석 하셔서 어떻게 제도 운영이 되는지 한번쯤 들어 보시는 것도 사업 다각화를 위하여 도움이 되지 않을까 생각합니다.

그나 저나 올해는 ISMS인증심사원으로 활동을 많이 해 보려고 하는데 여건이 잘 될지 모르겠네요..^^;;  그동안 ISMS에 대한 공부를 좀 했더니 이제 조금 감이 잡히는듯 합니다. 공부라고 해 봐야..시간적 여유를 두고 처음부터 끝까지 한번 정리 하는 것이지만요.

사실, 예전에 아무런 생각없이 따라가기 급급했거든요...왜 ISMS를 해야하는지..하면 무엇이 좋은지에 대한 구체적인 생각들이 제 나름대로 들기 시작했습니다.

아무튼, 어떤 기업이 사업자로 선정이 될지는 모르겠지만 올 한해 또 열심히 해 보아야겠습니다. ^^;;;

아래는 사업을 위한 RFP를 같이 첨부해 올립니다. 한번씩 읽어 보시면 좋겠습니다. 조금 더 자세한 내용은 키사 홈페이지를 참고 하시기 바랍니다..




Posted by 엔시스

정보보호관리체계수립(이하 ISMS)인증심사는 어떻게 이루어질까? 라는 궁금증이 있으신 분들이 많이 있는 것 같아 포스팅 해 봅니다.

여기서 말하는 인증심사는 심사원이 되어서 ISMS 인증심사를 신청한 기업에 직접 방문하여 심사하는 것을 말합니다.


현재 ISMS 인증심사원은 다음과 같이 분류되어 있습니다.
  • 심사원보
  • 심사원
  • 선임심사원
  • 심사팀장

처음 ISMS 인즘심사원 모집시에 서류를 통과하여 결정이 나면 5일간 오프라인 교육을 받고 시험을 쳐서 일정한 점수로 합격이 되어야만 합니다.

그 이후에 인력 풀이 가동이 되어 운영이 되고 있습니다. 역시 주관은 KISA에서 하고 있으며 심사를 나갈때 같은 업종이나 심사 받을 회사를 퇴직한지 1년이 지나지 않으면 참여 할 수 없는 내부 규정도 있습니다.

그럼 순서를 한번 살펴 보겠습니다.

1. ISMS 인증심사를 원하는 기업이 KISA에 요청을 한다.
2. ISMS 인력풀에 등록된 심사원님들을 대상으로 공지를 한다.
3. 관심이 있는 심사원은 지원을 한다.
4. 여러가지 여건과 상황을 고려하여 최종 TFT (심사단)을 구성한다.
5. 최종 선정이 끝나면 심사날짜로 스케쥴을 알려준다.

대략, 이렇게 이루어지고 있습니다. 그 다음 심사 절차입니다. 사전에 심사팀장은 심사기업과 사전 방문을 통하여 어떻게 진행할 것인지 환경은 어떤지 실무 담당자와 조율을 하게 됩니다. 그럼 각 역할을 살펴 보겠습니다.

1. 심사팀장

심사팀장은 심사원을 이끌어 PM역할을 하게 되고 이 심사에 대하여 끝마칠때까지 순조롭게 이루어질수 있도록 많은 신경과 관심을 갖어야 함으로 가장 많은 신경을 쓰시는 분입니다. 때로는 심사팀장의 역할이 가장 중요할때가 있습니다.

2. 심사원

심사팀장의 지시를 받고 자신에게 할당된 분야를 심사를 하게 됩니다. 가능하면 모든 창구를 심사팀장으로 하며 적절하게 조율을 하며 자신의 맡은바를 잘 수행하면 심사팀장은 조금 수훨하지만 그렇지 않을경우 심사팀장으로부터 조언을 받습니다.

3. 심사원보

처음 심사에 참여 하는 심사원이나 아직까지 심사원 심사일수를 채우지 못한 심사원으로 하는 역할과 업무는 심사원과 동일합니다.


심사는 어떻게 진행이 되는가? 우선 심사를 나가게되면 피 심사 기관에서는 일정한 공간을 마련하여 심사하기에 편안하게 할수 있도록 심사문서와 다과류, 그리고 음료수, 프린터,인터넷이 사용가능하도록 편리를 제공해 줍니다.

심사기관은 외부에서 방문하는 심사원이기에 최대한 예우를 갖추어 주기에 심사원들도 최대한 심사원의 품의과 이미지에 손상이 가지 않게 행동을 하는 것이 좋습니다.

그럼 그 이후에 일반적인 절차를 알아보겠습니다.

1. 심사팀장과 심사원은 심사기관에 도착하여 따로 마련된 공간에 모이게 됩니다.
2. 피 심사기관의 실무담당자와 인사를 하며 명함과 자기소개를 하게 됩니다.
3. 소개가 끝나면  피 심사기관 담당자가 ISMS인증 심사 범위에 대하여 간략한 소개를 합니다.
4. 소개후 심사팀장은 심사원의 역량과 업무를 고려하여 적절하게 심사기준에 맞추어 역할을
    분담을 하며 착수회의를 합니다.
5. 착수회의 전에 보통 피 기관 CEO나 CIO, 또는 기관장을 뵙게 되고 기관장은 심사를 잘 부탁한다는 격려의 말씀을 해 주십니다.
6. 착수회의는 일반적으로 어떻게 심사를 할 것이며 어떤 부분을 중점적으로 보고 심사방향을 
    정할수도 있습니다.
7. 각자 심사를 진행합니다.
8. 보통 최초심사시(5일) 1-3일정도 문서 검토를 하고 이행 증적 사항을 점검하며 담당자와 인터뷰도 진행을 합니다.
9. 사후심사는 (3일)는 1-2일 오전에 주로 합니다.
10. 심사 후반부에는 실제 샘플조사나 실사를 나가게 됩니다. 주로 전산시스템이나 사무실 공간, 시스템 실사등을 하게 됩니다.
11. 심사 하루전날 정도에는 결함사항을 도출합니다.
12. 실제 피 심사기관 담당자에게 결함 사항에 대한 사항을 어느정도 인식하도록 설명을 해 줍니다.
13. 마지막날에는 종료회의를 하고 결함사항에 대하여 이의 사항이 없는지 회의를 하고 마칩니다.
14. 종료회의가 마치면 심사를 종료하고 피 심사기관은 결함 사항을 30일 내에 조치하고 보고를 해야 합니다.


심사는 대부분 이러한 틀에서 벗어나지 않으며 최초심사는 5일 사후심사는 3일정도 소요하고 있습니다.


심사원의 역할

심사원은 심사원으로서의 품의와 자세를 유지하고 피 심사기관에 감독이나 감사하러 온 것이 아니기에 가능한 정중하고 심사 종료할때까지 흐트러짐이 없어야 겠습니다. 또한 심사원 중에 가장 큰역할은 결함보고서를 잘 적어야 합니다.

결함보고서는 KISA에서 일정한 양식이 있지만 가능하면 깔끔하고 간단 명료하고 구체적으로 작성하는 것이 좋습니다. 아마도 여러번 참여하면서 익혀야 할 스킬중에 하나가 아닌가 하는 생각을 해 봅니다. 또한 결함보고서 작성시에는 결함에 따른 이행 가능한 구체적인 대안 제시도 같이 해주면 좋겠습니다.

심사원의 복장

심사원은 정보보호관리체계 수립에 대한 심사기준에 따라 제대로 계획을 수립하고 이행을 하고 있는지를 심사하는것으로 복장은 가능하면 첫날은 정장으로 하여 예의를 갖추는게 좋겠습니다. 심사하러 가는데 청바지에 간편한 차림은 자칫 심사원으로서의 품위를 떨어뜨릴수 있기에 복장에도 신경을 쓰는 것이 좋겠습니다.

심사원의 자세

심사를 하다보면 심사기준에 대하여 심사원과 실무진과 의견을 달리하는 부분이 있게 마련입니다. 이러한 부분에서 심사원은 언성을 높인다든지 아니면 실무자에게 불쾌감을 주는 행동과 언행은 하지 말아야 합니다. 또한 무조건 자기 주장이 옳은 것 보다는 왜 그렇게 되었는지, 그러면 향후에 조금 더 나은 대응방안과 또한 실제 이행할수 있는 계획인지를 꼼꼼히 살펴보고 중립적인 자세로 심사를 해야 합니다. 다소 마인트 콘트롤이 필요한 부분이기도합니다.



맺으면서.

정보보호관리체계(ISMS) 인증심사에 대하여 간략하게 나마 살펴 보았습니다. 정보보호관리체계를 수립한다는 것은 그리 간단한 일이 아니며, 반드시 신경을 써야 하는 부분이고 이러한 것을 일정한 심사기준에 따라 심사를 한다는 것은 중요한 역할중에 하나입니다. 또한 심사원은 심사원으로서의 자세와 품위를 지키는 것이 중요하며 보안서약서에 서약을 하고 피 심사기관에서 심사하면서 획득한 지식에 대해서는 서약한 내용대로 지켜야 할 것입니다.

또한, 피 심사기관을 관리 감독하러 가는 것이 아니기에 최대한 배려와 ISMS에 대하여 잘 모르는 부분은 권고 또는 대응방안을 알려 주어 추후 ISMS를 더 효율적으로 운영할수 있도록 도와 주는 마음에 자세가 중요하겠습니다. 지금은 ISMS가 의무사항이 아니지만 관리체계를 수립한다는 것은 하나의 완성된 프로세스를 정립하는 것이기에 보다 효율적이고 기업에서 능률적인 프로세스로 발전 정립해 나갔으면 하는 바램을 갖어 봅니다.  @엔시스.



Posted by 엔시스

현재 정보보호관리체계(ISMS) 인증 심사원으로 등록이 되어 있습니다. 지난 해 8월에 ISMS 인증 심사원을 지원을 하여 5일간 교육을 받고 시험을 쳐서 합격하여 인증 심사원이 되었습니다..물론 KISA에서도 위촉장도 줍니다.

여기서 말하는 정보보호관리체계(ISMS)란 한 조직에 특정 범위나 전사적으로 정보보호관리체계에 대한 수립을 얼마나 잘 했는지를 KISA(한국정보보호진흥원)에서 심사 인증해 주는 제도입니다. 의무사항은 아니며 ISMS 인증을 받게 되면 정보보호관리체계를 주어진 기준에 따라 체계적으로 수립 했다는 인증을 해 주는 것이니까 대외적 이미지 제고에 상당한 도움이 되며 고객 신뢰도 측면에도 유리하게 됩니다. 그리고 경쟁 업체에서 ISMS 인증 심사는 받았는데 우리 회사가 받지 않으면 벌써 경쟁에서 떨어지는 것이기에 많은 활성화가 될 것입니다.

조금 더 정확히 말하면 인증심사원보가 되겠습니다. 인증심사원보는 4번 이상 인증심사를 하면 심사원이 되는데...그런데 인증 심사원 인력 풀 중에 실제 참여 인력이 몇명 되지 못한다는 점입니다.

그것은 동종 업체 종사자는 심사 지원에서 제외되고 또한 프리렌서가 아닌 이상 조직에 몸 담고 있는 사람들은 최초 심사시에 5일 씩 할애 하기가 어렵습니다. 휴가를 내고 가거나...아무튼...

그렇다 보니 사실 심사원보를 보통 2-3명씩 선택하고 심사원이 참여하고 선임 심사원인 KISA에서 참여하여 각 4-5명정도가  ISMS 인증 심사를 신청한 업체를 방문하여 심사를 하게 됩니다..

이런 차원에서 1년 이내에 한번도 심사를 하지 못하면 인증 심사원 자격을 유지 할 수 없다고 하는데 조금 더 유연한 대처가 필요 할꺼 같습니다. ISMS 인증심사가 자주 있는 것도 아니고 여러가지 상황으로 참여 하기에도 조금 힘이 들고, 인력 풀도 많이 있습니다.  하지만 짧은 기간동안에 인증심사원들에게  골고루 심사를 할 수 있게 하는 기회를 줄 수 있다는 것은 사실상 현재로는 힘이 드는 것이지요..

따라서 3년 자격 갱신안에 4번 참여 한다는 기존 원칙으로 바꾸어 졌으면 하는 바램을 가져 봅니다. 그것이 힘들게 양성한 인증심사원제도의 효율성을 반영하는 운영제도라 생각합니다.  @엔시스



Posted by 엔시스