안녕하세요.
회사에서 ISMS 임의 신청자로 ISMS 진행을 요청해서 관련해서 문의합니다.
현재 사무실에서 법인을 분리해서 ISMS 진행을 해야합니다.
메인 출입문은 지문인증 방식이지만 사무공간은 모두 오픈되어있습니다.
그래서 회의실중 한곳에 전자시건장치를 설치해서 외부 인원이 들어오지 못하도록 차단을 하려고 하는데
이렇게 하면 ISMS 보안 요건을 충족할 수 있을까요?
그리고 물리적으로 망분리도 해야한다면 UTM, VPN, NAC 장비등도 새로 구성해야 하고 LAN 선도 다시 포설해하고 장비설치 공간도 따로 마련해야 하는등을 문제가 있어 기존 장비로 논리적 망분리를 해도 ISMS 요건을 충족할 수 있는지에 대해서 문의합니다.
추가로 KT Secure WIFI UTM 같은 장비로 해결이 가능할지?
기존 공간안에 ISMS 진행을 위해 보안 관련 설비를 따로 마련해야하니 난감한 부분이 많네요.
전문가분들의 의견을 듣고 싶습니다.
그럼 즐거운 하루되세요.
7개의 답변이 있습니다.
계열사가 많은 회사가 하나의
건물에 있었고 그에따른 감사를 받았지만
큰 이슈가 없었는데
ISMS-P는 다를수 있겠지만 망분리의
기준에 따라 문제가 될수 있다면 컨설팅을
받고 진행 하시는게 맞는것 같아요
표준화에 따라 기준이 다르니까요
아무래도 회사에는 컨설팅을 간단하게라도 받아야 할 거 같다고 얘기를 해봐야 할거 같네요.
AWS Public Cloud에서 개발을 진행중입니다.
1년전에 다른 서비스로 ISMS 진행을 했을때는 저희 회사에서 진행하지는 않았지만 심사를 받는곳에 논리적으로도 망분리가 안되어 있어 AWS Workspace를 이용해서 대체를 하였는데 이전에 한것처럼 Workspace로 대체를 할지 아니면
AWS 자격증명을 임시자격증명을 하고 MFA 인증후 SSM을 사용하여 시스템에 접근하는 방법으로도 가능할지
그리고 업무공간에 대한 분리를 저의 자의적인 판단하에 ISMS 심사를 진행한다면 문제가 될 소지가 많아서 회사에
컨설팅을 받고 ISMS 심사를 진행하는 걸로 얘기를 해봐야 겠네요.
좋은 답변들 감사합니다.
그럼 즐거운 하루되세요.
무엇보다 중요한건 ISMS-P 인증 기준이 어떻게 되는지 명확히 해석할 줄 알아야합니다. 정확하지 않은 자의적 생각과 해석은 돈, 시간을 낭비하고 인증을 받지 못하는 상황이 발생할 수 있습니다.
가장 접근하기 좋은 방법은 인증기관 또는 유관기관에 컨설팅을 의뢰하고 가이드를 받은 다음 그대로 시행하는 것입니다. 이런경우 예산이 많이 듭니다. 하지만 정확하죠.
반대로 예산 등의 문제로 기존 솔루션, 장비나 인력지원 없이 준비한다면 분명 한계가 있습니다. 다들 아실겁니다. 그래서 최대한 인증 기준에 맞춰 보려고 하지만 쉽게 되지 않습니다. 실패확률이 높습니다. 보완할 부분도 많을거구요.애휴~
문의하신 것 처럼,
1.회의실에 시건장치를 하려는 이유가 외부인이 바로 사무실로 들어오는 것이 아닌 회의실로 안내하기 위함인가요? 차단하려는 목적이 외부인으로 부터 물리적으로 중요 문서 등 유노출 예방 등을 하기 위함일 텐데, 회의실 시건장치로 모든 사무실 진입을 차단할 수 있는지? 외부인 진입 창구를 일원화 하려는 건지? 등 인증 기준에 부합한지를 따져야 합니다.
보통 우리 주변 업무 환경을 보면 중요문서,개인정보 등 관리 소홀히 하고 책상에 펼쳐놓고 자리비운고 비번 아무데나 기재해놓고 지적사항 엄청 많습니다. 우선 이런 부분들을 해결하고 후순위로 어떻게 할지 결정해야 할 것 같습니다.
물론 이것 하나만으로도 직원들의 동의, 지원이 필요합니다. 어렵죠, 뭐하나하기가, 만약 파워가 있는 부서장이나 부서라면 하라면 해! 가 먹힐지 모르겠지만요. ^^
2. 물리적 망분리라 하면 이론상으로 똑같은 한 세트의 시스템이 복붙하듯 있어야 완벽한 망분리 입니다. 현실적으로 어렵죠, 불가능할 수도 있구요. 하지만 이 또한 짚고 넘어가야 할 것은 궁금해 하시는 것 처럼 논리적인 망분리도 되는지 안되는지는 인증 기준을 정확히 살펴보고 인지해야 합니다, 요즘에 클라우드 등 환경자체가 다양하기 때문에 그렇습니다. 그리고 누군 되다는데 누군 안된다더라 이런 야매는 말이 안되고 없습니다. 왜냐면 인증 기준이 있는데 심사원이 임의 해석으로 그렇게 말한다는건 무책임한 언사입니다. 단, 인증 기준자체가 명확하지 않고 (반드시 또는 해야한다가 아닌 ) 애매하게 이렇게도 할수있다. 라면 심사원의 의견을 듣고 할 수 있을겁니다.
3. 마지막으로 KT 장비로 가능한지 여부도 인증기준에 부합하는 기능을 가지고 있는지 어디까지 가능한지가 우선 파악이 되어야 가능 여부를 판한할 수 있을 겁니다.
장문의 글이 좀 정신없어 보이네요.^^
다른 분들이 말씀하신 것 처럼 회사 사정에 따라 다르게 준비할 수는 있지만 서두에 말한 거 처럼 내 자의적인 해석, 생각이 아닌중요한건 인증기준이 무엇이냐 입니다. 이 부분을 항상 염두해두고 준비하시면 조금은 접근하기가 수월하실 거라고 생각합니다.
참고로 공공기관에서 국정원, 개인정보보호위원회, 중앙부처 등으로 부터 매년 2회이상 감사를 받은 담당자로서 의견입니다. 매년 기준은 강화되고 까다로워 예산문제 등으로 모두 충족하지 못하지만 매년 좋은 결과를 받고 있고 년초부터 계획을 세워 고시공부하듯 준비하고 있습니다.
^^ 그리고 중요한 팁은 모르거나 애매하면 인증 시행기관 홈페이지나 담당자에게 전화해서 물어보는 것도 방법입니다.
부디 잘 준비해서 인증 받으시길 바랍니다.
기업마다 상황이 달라서 업체 컨설팅 받아보시는게 좋을것 같습니다.
망분리의 경우, 심사원분들께서 논리적 망분리를 망분리라고 생각하지 않는 경우도 꽤 있어서,
미리 검토를 해보시는 게 좋을 듯 합니다.
물리적인 보안은 별도 인증/시건 진행하면 크게 문제 되지는 않을 것 같구요 !
물리적인 보안에 해당 되지만 그래도 내부 통제구역에 대한 표시를 해주시는것도 좋습니다.
보안 문제는 상황에 따라 환경에 따라 차이가 있기 때문에 정확하게 된다, 안된다를 말하기는 쉽지 않을것 같아 보이고요.
감사원에게 문의해서 대비하는게 좋지 않을까 싶어 보이네요.
일반적으로 통제 구역 표시를 해서 통제 구역임을 표시하고, 허가 받지 않은 사람이 출입하지 못하도록 시건 장치를 해서 통제하고, 허가 받은 인원일지라도 출입에 대한 내용을 대장에 기록하여 보관하고 있으면 되지 않을까 싶어 보이네요.