안녕하세요,
본 기고글에서는 소규모 국내 IT 기업에서 한국 정보보호 관리체계 인증을 취득하기 위해 준비해야 하는 사항에 대해 말씀 드리겠습니다.
정보보안관리시스템(K-ISMS) 인증을 취득하는 것은 소규모 IT 기업 담당자 입장에서 어려운 프로세스가 될 수 있습니다. 그럼에도 불구하고 대외적으로 강력한 평판을 구축하고 고객과의 신뢰를 확립하는데 도움이 되는 가치있는 투자이기도 합니다.
국내 정보보호 관리체계 (이하 “ISMS”)는 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증 기관이 증명하는 제도 입니다. 정보통신망법 등 관련 법령에 근거해 나온 제도로 보시면 됩니다.
필자의 회사는 당시 ISMS 인증 ‘자율' 신청자 였습니다. ‘의무' 대상자와 달리 인증 범위(e.g. 시스템, 인력)에 대해 회사 내부 사정을 고려해 산정했습니다.
Figure 1. 인증기준 도식도
또한, 위 도식도 내 ISMS 인증 기준 관련 “관리체계 수립 및 운영", “보호대책 요구사항" 두 가지 큰 영역에 대한 요구사항을 충족해야 했습니다. 본 글에서는 소규모 IT 회사가 K-ISMS 인증서를 얻기 위해 주로 수행한 내용과 고려해야할 점 등에 대해 크게 3단계로 나누어 보았습니다.
1.범위 산정
ISMS ‘자율’ 신청 대상자로서, 의무 대상자와 달리 범위 선택에 비교적 자유로운 편이었습니다. 따라서, 중요정보(개인정보)를 처리하는 인터넷 공개 웹사이트 및 정보처리시스템, 관련 인력을 인증 범위로 포함하였습니다.
범위 산정 결과에 대해 최종 내부적으로 보고하고, KISA(한국인터넷진흥원) 에 인증을 신청해야 했는데, 두가지 업무가 중복되므로, 효율적인 업무 처리를 위해 KISA의 ‘인증 신청 양식’을 활용했습니다.
아쉬운 점은, 해당 인증신청 양식은 ‘on-premise (e.g. IDC 환경 기반)’ 인 점 입니다.필자의 회사는 상용 클라우드 서비스를 이용하고 있었는데, 자산 수를 산정할 때, 많은 혼동이 있었습니다. 특히, 서버 인스턴스 기반 자산이 아닌, auto-scaling 형태의 자산의 경우, 최대 증감치일때 자산을 측정해야 하는지, 아닌지에 대한 실무 담당자간의 의견 대립도 있었습니다.
추후에는 KISA 등 정부기관에서 선제적으로 클라우드 환경을 고려한 인증 신청 양식을 개정해 주었으면 하는 바램입니다.
2.운영명세서 기반 갭분석 및 개선계획 수립
KISA 에서 관리하는 ISMS 홈페이지를 통해 갭분석에 필요한 자료를 다운로드 받았습니다. 주로 아래 두가지 자료가 도움이 되었습니다.
●ISMS-P 인증기준 세부점검항목
●ISMS-P 인증기준 안내서
이전에 ISMS 인증 심사원 자격증 취득을 목적으로 공부한 덕분에 어렵지 않게 현황 분석을 진행할 수 있었습니다. 특히 운영명세서(세부점검항목)에 따른 각 인증기준을 효율적으로 F/U 하기 위해, 현황, 진행 상태, 담당부서, 개선해야 할 사항 등을 추가해 갭분석을 실시했습니다.
인증기준 | 업무 현황 | 보완 계획 | 담당부서/담당자 | 완료 일정 |
1.4.1 법적요구사항 준수 검토 | 2022년말 개인정보실태점검 실시 결과 보고 | 최신 법령 (2022년 말 개정된 법령 미 반영) 준거성 검토에 관한 별도 체크리스트 마련 필요 |
보안팀/아무개 |
2023.01 |
.. | .. | .. | .. | .. |
.. | .. | .. | .. | .. |
|
|
|
|
|
|
|
|
|
|
Figure 2. 갭분석 표 (예시)
위 범위 산정 업무와 연계해, 회사 업무 현황과 관련 없는 인증 요구사항은 ‘N/A’ 처리 했습니다. 예를 들어, ‘보조기억매체 통제’ 관련 사항의 경우, 회사 내 USB는 매체제어 보안 솔루션으로 일괄 차단되어 있었으며, 회사 정책상 사용이 금지되는 행위 이므로, ‘N/A’ 처리가 가능했습니다.
‘N/A’ 외에도 ISMS 인증기준 안내서에 따른 회사 현황을 충분히 파악해, 제대로 지켜지지 않고 있다고 판단될 경우, 보완 계획을 수립하는데 심혈을 기울였습니다.
당시 크게 2가지 개선 계획 수립에 초점이 맞춰졌습니다.
●정보보호 정책 및 지침 수립
●IT 위험평가 수행
3.갭분석에 따른 보완사항 구현/운영
위 갭분석에 따른 보완해야 할 정보보안 제반 사항에 대해 단순 보안팀이 수행하는 것이 아닌, 회사 전체에 구현하는 것이 중요합니다. 여기에는 경영진의 정보보안에 대한 의지를 근간으로 직원들에게 교육을 제공하고, 회사의 IT 시스템과 인프라를 업데이트하고, 정기적인 위험 평가를 실시하는 것이 포함될 것입니다.
당시 대부분의 기술측면의 것들, 출입보안, 개발보안 등에 대한 부분은 ISMS 인증 준비 이전에 내부 담당자들이 별도 룰을 정해 관리하고 있었습니다. 다만, 앞서말씀드린 두가지 활동에 대해서는 전무한 상황이었고, 기한 내 인증을 취득하기 위해 빠르게 업무를 마무리 해야 했습니다.
정보보호 정책/지침의 경우, 다음과 같은 계획을 수립했습니다.
●컨설팅 업체를 통해 정책/지침 초안 구성
●보안 부서 내 1차 검토에 따른 업무 현황 반영
●각 지침별 업무와 관련된 타 부서/담당자 식별/협의 후 관련 내용 반영
●정보보호 정책/지침 수립을 위한 정보보호 위원회 심의/의결
●경영진 보고
●임직원 공표 및 그룹웨어 내 게시
Figure 3. 임직원 정보보안 정책/지침 수립에 관한 사항 공표 (예시)
IT 위험 평가의 경우, 시간 관계상 컨설팅 업체에서 수행한 방법론을 준용했습니다.
●기밀성, 가용성, 무결성을 통한 자산 중요도 산정, 그에 따른 위협/심각도 등 고려한 위험도 산정
●DoA 산정
●위험 수용/감소에 해당하는 통제 활동의 경우, 적절한 보완대책 수립
아쉬웠던 점은 관리적/기술적 보안 영역에 대한 상시평가 방법론이 제대로 고려되지 않은 점 입니다. 컨설팅 업체의 오류로 관리적 보안 및 개인정보보호 법령 요구사항의 경우에도 ‘자산기반 위험평가 방법론’에 기반한 위험평가가 약식으로 이루어졌습니다. 1회성으로는 진행이 가능했으나, 상시 위험관리를 위한 위험평가 방법론으로서는 적절하지 않았습니다. 다행히도 ISMS 인증 심사 당시에는 별 이슈 없이 마무리되었지만, 조직 내에서 보다 체계적인 위험관리를 위해서는 기술, IT 컴플라이언스 요구사항 특성 등을 고려한 별도의 위험평가 방법론을 선정해야 할 필요성이 있겠습니다.
결론적으로 K-ISMS 인증서를 얻는 것은 소규모 IT 기업에게는 어려운 프로세스가 될 수 있지만 강력한 명성을 구축하고 고객과의 신뢰를 확립하는 데 도움이되는 귀중한 투자 입니다. K-ISMS 표준에 대한 이해를 바탕으로, 갭 분석을 수행하고, 미비한 요구사항을 조치/구현하고, 인증을 유지함으로써, 지속적인 정보보호 관리체계를 유지할 수 있을 것 입니다.
현업에 도움이 되셨으면 좋겠습니다.
궁금하신 사항은 댓글을 남겨주세요.
감사합니다.
2개의 댓글이 있습니다.
simple하고 명확한 설명 감사 드립니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입자료 감사합니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입