[ISMS인증 획득하기-2] 모범사례집 요약

 

 

작성자: 예현
편집자:엔시스(sis@sis.pe.kr)

 

안녕하세요!
ISMS인증 획득하기 두번째 시간입니다.
지난번엔 한국정보보호진흥원(kisa)에서 운영하는 정보보호관리체계(ISMS)인증에 대한  대략적인 개요에 대하여 알아보았습니다.

이번 시간엔 예고된 바와 같이 모범사례집을 요약해 볼 것입니다만, 이 모범사례집이 지난 2009년 3월 19일 kisa등재된 PDF파일로 133페이지 분량의 방대한 내용인지라 한편의 포스팅글로 다 요약하기엔 다소 무리가 따르는 관계로 전체 내용은 아래 목차를 참고하시면 좋겠습니다.

---

제1장 KISA의 ISMS 추진 현황 및 국내외 현황
1. KISA의 ISMS 제도 개요 및 추진 현황
2. ISMS 인증 사후관리를 위한 성과제고 방안
3. 기업 비즈니스 강화를 위한 정보보호관리체계(ISMS)

제2장 분야별 ISMS 인증 수립 및 운영 사례
1. IT 및 정보보호 서비스 분야
2. 포털 등 인터넷 서비스 분야
3. 사이버 교육 서비스 분야
4. 헬스케어 등 의료 서비스 분야
5. 항공, 운송 서비스 분야

[부록]
1. 정보보호관리체계 인증 취득 업체 현황
2. 정보보호관리체계 인증 취득에 따른 혜택
3. 정보보호관리체계 국제표준화 동향
4. 정보보호관리체계 인증심사 결과 분석을 통한 기업의 보안관리 강화

---

현재까지 인증서가 발급된 50여개 기업중 모범사례집에 등재된 기업은 각 분야별 아래와 같습니다.

1. IT 및 정보보호 서비스 분야 : 한국통신인터넷기술(주), (주)씨에이에스, (주)안철수연구소, 씨큐아이닷컴(주)
2. 포털 등 인터넷 서비스 분야 : (주)다음커뮤니케이션
3. 사이버 교육 서비스 분야 : 한양사이버대학교, 세종사이버대학교, 서울디지털대학교, 서울사이버대학교, 부산디지털대학교
4. 헬스케어 등 의료 서비스 분야 : (주)GC헬스케어
5. 항공, 운송 서비스 분야 : (주)대한항공

중요한 것은 이러한 인증획득과정에서 개선되고 기대되는 효과로 모든 기업들이 손꼽은 점은 정보보호에 대한 구성원들의 인식 재고라는 점입니다. 특히 임직원 및 경영진들은 보안의 필요성에 대한 명확한 의지를 경영 업무 전반에 반영함으로 실질적으로 그 효과가 나타나고 있다는 것입니다.


위 장점과 더불어 정보보호관리체계 인증 취득에 따른 혜택을 소개합니다.


[부록 2]

구분	시행기관	세부혜택 내용
요금할인	보험사	정보보호관련 보험(배상책임보험 등) 가입 시 할인율 적용(AIG, LIG, 현대해상)
가산점부여	KISA	정보보호대상, 입찰, 과제선청 평가 시 ISMS 인증 취득 기업에 가점 부여
	신용평가기관	한국신용평가정보 등의 경우 기업신용평가 시 가산점 부여
	기술보증기금	중소기업이 기술평가 보증을 받고자 할 때 가산점 부여
	민간기업	IT아웃소싱업체 선정 시 인증취득 기업에 대해 가산점 부여 등(기업별 자체 시행)
	국가·공공기관	국가·공공기관 용역사업 선정 평가 시 가점부여(기관별 자체 행)
면제	방송통신위원회	인증을 받은 당해년도 정보보호 안전진단 면제(정보통신방법 제46조의3)
권고	교육과학기술부	원격교육용 정보보호시스템 설비 기준 만족으로 인정(교과부 고시 제2008-93호)
	국토해양부	유비쿼터스도시기반시설에 대하여 ISMS 인증권고(유비쿼터스의 건설 등에 관한 법률 제22조)

위 기대효과 및 혜택 등은 제가 몸담은 회사도 인증을 획득하는 과정 및 그 결과에서 만족할 만한 성과로 나타나길 기대하며 저 또한 과감히 준비를 합니다.

그러나 저와 같이 이제 준비를 하시는 분들이 있으시다면 이번 모범사례집의 제1장의 2. ISMS 인증 사후관리를 위한 성과제고 방안에서의 필자인 한국정보보호인식(주) 문승주 대표이사가 말하는 몇가지 점들을 간과해서는 안되겠습니다.

사후관리 현황의 문제점은

1. 최초심사 대상인 경우 외부 전문기업의 도움을 받아 진행하였다가 사후관리를 받게 되는 시점에서 예산부족 등의 이유로 자체 정보호호조직으로 ISMS를 유지하게 됨으로 기간이 오래될수록 운용능력 및 수준이 낮아질수 있다는 점

2. 최초인증 신청시 컨설팅 업체 및 KISA와의 긴밀한 업무 접촉 등이 인증획득 후 사후관리심사 일정 조정을 포함한 간단한 업무상 정보와 심사 직전의 심사준비 정도의 업무 공유 관계로 그 관계가 전락된다는 점

3. 자체 정보보호조직 구성원들의 업무 겸직으로 인증 획득 후에는 자체 IT직무 수행 비율이 높아짐으로 정보보호관련 각종 산출물의 업데이트 등이 어려워진다는 점입니다.

3번의 경우는 다음 두가지 문제점을 해석해 볼수 있는 데

첫째 이는 ISMS가 조직의 규모와 성격에 맞치 않고 지나치케 표준화되어 정보보호 규정, 지침 및 절차 등을 통한 정보보호활동이 너무 많거나 비즈니스 및 업무구조와 맞지 않기 때문이라는 것과
둘째 ISMS의 주요 정보보호활동에 해당하는 위험분석 방법론이 어렵게 수립되어 있다는 것을 지적하고 있습니다.

저로 인해 ISMS에 관심을 가지게 되신 분이나 저와 함께 인증획득을 함께 준비 하실 분이 있으시다면 위 사후관리 현황에 대해 충분히 숙지하시어 진행을 하시면 좋을 것 같습니다.

문대표가 제시한 개선방안은 KISA, 심사팀, 인증취득 기업 모두의 역할을 말하고 있습니다만, 인증취득 기업에 해당되는 부분만을 언급하자면 지속적인 자체 정보보호조직 구성원들 대한 인증관련 보수교육 실시 및 구성원 스스로의 자기계발의 기회라는 확고한 인식을 통한 적극적인 정보보호 활동의 연속성이라는 점입니다.

사실 어느 조직이든 그 구성원들의 업무량이 적지 않다는 것은 사실입니다.  저 또한 그러합니다만, 사실 이렇게 지난주에 포스팅 되어야 할 글을 오늘 겨우 마무리 하면서도 끝까지 해볼려고 마음 먹는 것은 보안! 이거 남의 일이 아니기 때문입니다.

한번 터지면 조직에 엄청난 피해로 돌아올 그 영향력에 대해서는 굳이 소 잃고로 시작되는 속담을 인용하지 않아도 충분할 것이라 생각됩니다.

다음 시간에는 국제적인 보안표준제도인 ISO27001과 ISMS인증제도를 비교해 보고자 합니다.
감사합니다.