새로운 소식

보안컨설팅 전문 업체인 (주)아이시큐어(대표: 원유준 www.isecurekr.com)는 ISMS(정보보호 관리체계) 인증을 획득 및 유지하고 있는 기업의 모범사례를 분석하여(*이하 'ISMS 인증?유지 모범 기업'이라고 칭함), ISMS 인증 획득을 준비 중이거나 유지하는데 도움이 될 만한 주요 사항을 다음과 같이 제시하였다. ### 첫째, 정보보호 담당자의 정확한 업무 파악 및 분담이 선행되어야 한다. 정보보안 전담 인력을 운영하는 것이 가장 안전하고 모범적인 ISMS 인증 체계의 운영 방법일 것이다. 그러나 대부분 정보보호 담당자의 경우 다른 업무와 겸직으로 운영되고 있는 것이 현실이다. 따라서 정확한 업무 파악과 적절한 업무 분담은 정보보호 업무의 안정적이고 효율적인 운영 문제로 직결된다. 즉, 본 업무와 정보보호 업무의 비중을 적절하게 분배?유지하여 효율적으로 관리하는 것을 성공 비결의 선제 조건으로 꼽을 수 있다. ISMS 인증?유지 모범 기업의 경우 최초 심사 이후 지속적인 운영 및 증적 관리를 하고 있으며, 주기적으로 작성해야 할 문서의 면밀한 파악이 이루어지고 있다. 또한 담당자는 자주 사용하는 문서의 개별 관리를 통해 효율적으로 전반적인 정보보호 업무를 담당하였고, 관리자는 주기적 확인을 게을리하지 않아 상호보완적인 업무 분담이 이루어졌다. ### 둘째, 임직원의 원활한 협조와 지원이 뒷받침되어야 한다. ISMS 운영은 정보보호 담당자 및 관리자가 주체가 되지만 임직원의 적극적인 협조가 중요하다. ISMS 인증?유지 모범 기업의 경우 매달 주기적으로 PC 취약점 점검을 실행하고, 개인 및 공용 업무 환경에 대한 부서별 직접 점검도 적극 수행하였다. 그리고 그 결과를 문서로 작성하여 정보보호 관리자에게 전달하였다. 또한 정보보호 컨설팅과 인증심사가 이루어진 이후에 도출된 문제점에 대한 적절한 수정 조치가 신속하게 이루어졌다. 이것은 보안 관련 업무 수행 시 정보보호 관리자 및 CISO의 적극적인 관심과 지속적인 인적?물적 지원 속에서 가능할 수 있다. ### 셋째, 능동적이고 적극적인 분위기의 조직문화가 중요하다. 정보보호 업무를 능동적으로 수행할 수 있는 편안한 조직 문화가 바탕이 되어야 한다. 정보보호 담당자가 관리자나 책임자가 지시하는 업무를 기계적으로 수행하거나 외부 컨설턴트가 조언한 내용만 수동적으로 처리하는 경우 정보보호 체계는 늘 제자리걸음일 확률이 크다. ISMS 인증?유지 모범 기업의 경우 정보보호 담당자가 보안 업무를 능동적이고 적극적인 자세로 수행하고 있었다. 반면에 몇몇 기업의 경우 ISMS 심사를 위해 보완 조치를 수행한 후 익숙하지 않아 불편하다는 핑계 등으로 정보보호에 취약한 시스템 설정 값으로 복구하여 사용하거나 운영 증적 자료 작성을 게을리하는 사례도 있다. 정보보호의 길은 하루아침에 이루어지는 것이 아니다. 정보보호 담당자와 관리자, 모든 임직원의 관심과 협조를 공고히 하여, 끈기를 갖고 바닥부터 탄탄하게 쌓아 올리는 유기적인 복합체이다. 저명한 컴퓨터 보안 전문가인 브루스 슈나이어(Bruce Schneier,『디지털 보안의 비밀과 거짓말(Secrets ＆ lies) 』, 나노미디어, 2001.)의 말을 빌리자면 "Security is the Process, not a product"이다. 정보보호에 있어서 가장 안전하고 성공적인 보안의 비결은 바로 그 과정을 켜켜이 협력하여 만들어가는 것이다.