세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
정보보호 인증, 실용적·효과적 측정기준의 중요성
  |  입력 : 2016-12-14 10:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
ISMS 등 정보보호 인증, 비용 아닌 핵심 경쟁력 강화 위한 투자로 인식해야

[보안뉴스= 최재영 한국능률협회인증원 심사원] 각 기업 조직의 정보보호관리체계 인증 (ISMS: Information Security Management System) 인증관리는 어떻게 하고 있을까? 지금까지 대부분 조직들이 ISMS 인증서 취득에만 목표를 두었다면 이제는 보안의 효과성·적격성의을 고려한 효율적인 체계를 설계할 수 있어야 한다. 결국 효과성, 측정에 있어 제대로 된 기준을 잡아야 한다는 얘기다.


최근 ISO/IEC 27001:2013 개정으로 인해 기업들은 ISO/IEC 27003(보안범위 및 자산정의), ISO/IEC 27004(정보보호 수준 측정), ISO/IEC 27005(정보보호 위험관리) 등을 포함한 채로 ISO/IEC 27001 인증을 받을 수 있게 됐다. 또한, 클라우딩 서비스 기업(CSP)은 ISO/IEC 27018 고객정보보호 체계를 적용해야 한다.

제일 중요한 조직과 공급업체간 ISO/IEC 27001의 시리즈 중 하나인 ISO/IEC 27036(공급업체 보안-협력업체 보안 해당)의 국제보안 규격의 경우도 아래와 같이 제정됐다.

ISO/IEC 27036(SUPPLIER RELATIONSHIP SECURITY REQUIREMENTS)은 글로벌 기업들의 경우 지난해 10월 이후부터 모든 공급업체에 보안통제. 인프라보안. 접근통제보안, 관리보안의 준수를 요구하고 있다,

이렇듯 ISMS와 국제보안 인증의 경우 우선적으로 염두에 두어야 할 것은 인증서 취득 자체가 목적이 되어서는 안 된다는 점이다. 결국 보안운영 방식을 실질적이고 효과적으로 개선하는 활동이 되어야 한다.

이처럼 정보보호는 각 조직이 어떤 식으로 보호할 건지 절차를 수립하는 과정이 중요하다. 보안에 대한 여러 가지 절차라든지 아니면 방법에 대해서 보안담당자는 물론 전 직원이 서로 공유하면서 명확한 규정으로 확립되어 나가야 한다.

정보는 통제보다는 상호성을 중요시해야 한다. 즉, 양면성이 있다는 것이다. 상대방이 얼마만큼 가치 있는 정보를 나한테 주느냐에 따라 이에 상응한 정보를 주는 것이고 정보를 보호하는 관점에서 공유된 정보를 가장 핵심은 제3자에게 누설되지 않도록 안전장치를 구축하는 것이다.

서로 간에 신뢰가 구축되어 있지 않으면 고급정보를 교환하기가 굉장히 힘들어지게 마련이다. 그래서 General Security of organization Information Agreement가 존재하는 것이다.

더 나아가 정보보호는 모든 이용자의 이용 편의성·안정성 강화가 필요하다. 방문객이나 고객 통제를 필요 이상으로 너무 강하게 하다 보면 고객으로부터 클레임이 접수되고 이로 인한 기업의 이미지 제고에도 영향을 미치게 된다. 오히려 내부통제 및 협력사에 대한 꾸준한 관리·감독·모니터링이 필요한 시점이다.

최근 인증심사를 다녀보면 기초적인 문제인 정책 확립 부재, 자산식별 누락 등이 많이 발견된다. 유무형의 정보자산을 등록하고, 기밀성·무결성·가용성에 따른 중요도 평가를 기준으로 가치 등급을 제대로 구분한 조직이 매우 드물다. 어떤 대상이 조직의 가장 중요한 자산인지 식별되지 않으면 보호대상이 모호해지기 때문에 자산식별이 무엇보다 중요하다.

이를 위해서는 정보자산의 이력을 관리하는 과정에서 조사 및 식별, 분류 및 등록, 가치 평가 등 여러 취급 절차에 대한 관리가 필요하며 분류기준을 수립하고 자산 분류를 주기적으로 갱신 및 관리하는 일에 역점을 두어야 한다. 그러나 기업들의 경우 이러한 활동이 소홀한 경우가 대부분이다.

이렇게 되면 전형적인 인증심사 대비용 활동에 머무를 수밖에 없다. 심사에 임박하여 잔업이나 문서재작성, 일정계획도 진행 중으로 대체하는 경우가 많아 이중관리가 되는 것이며, 심사를 위한 Paper Work 활동에 머무르게 되는 것이다.

ISMS나 ISO/IEC 27001 등 인증을 준비할 경우 운영 현황에 대한 사항을 인증 심사 단계별, 담당자별 등으로 카테고리화해서 공유하고 관리 절차를 명확히 구분해야 한다. 이와 함께 유관부서와의 협업도 원활히 할 수 있도록 정리·체계화시키고 ISO/IEC 27001 심사 후에도 관리절차 변경 등의 히스토리를 기록하며, 기록한 내용을 증적자료로 활용할 수 있도록 지속적인 개선활동을 해야 한다.

끝으로 ISO/IEC 27001이나 ISMS 등 정보보호 인증은 비용이 아닌 핵심 경쟁력 강화를 위한 투자로 인식하는 변화가 필요하다. 보여주기식 업무 따로 인증 따로가 아닌, 일회성이나 부분적 관리가 아니라 정보보호 인증을 통해 지속적인 보안관리에 나선다면 전사적 보안수준이 한층 강화될 수 있는 계기가 될 수 있다.
[글_ 최재영 한국능률협회인증원 심사원(kthigh11@naver.com, boanin@gingkos.co.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)