ISMS 보안 컨설팅의 유익한 점
ISMS(정보보호 관리체계) 인증 준비를 진행하면서 보안 컨설팅을 받는 것은 여러모로 유익할 수 있습니다.
1. 법적 요구사항 준수 : ISMS 인증은 특정 산업에서는 법적 요구사항일 수 있으므로, 이를 통해 법적 리스크를 줄일 수 있습니다.
2. 전문가의 조언: 보안 전문가의 컨설팅을 통해 현재 시스템의 취약점을 파악하고, 개선 방안을 제시받을 수 있습니다.
3. 신뢰도 향상: ISMS 인증을 통해 고객 및 파트너에게 신뢰를 줄 수 있으며, 기업의 이미지 향상에 기여할 수 있습니다.
4. 위험 관리: 체계적인 위험 분석을 통해 잠재적인 위협을 사전에 식별하고 대응 전략을 마련할 수 있습니다.
5. 지속적인 개선: ISMS는 단발성이 아닌 지속적인 관리 체계이므로, 이를 통해 보안 수준을 지속적으로 개선할 수 있습니다.
따라서, ISMS 보안 컨설팅을 받는 것은 기업의 정보 보호에 매우 긍정적인 영향을 미칠 수 있습니다.
ISMS 보안 컨설팅을 받을 때의 고려사항
저처럼 ISMS 인증을 받으려는 기업의 실무자가 보안전문가(정보보안기사, CPPG, ISMS심사위원 등)가 아니라면 외부의 전문가를 통해 보안 컨설팅을 받는게 좋을 것 같아서 관련된 견적서를 업체를 통해서 받았습니다. 보안 컨설팅을 진행할 때 고려해야할 사항은 어떤게 있을까요?
1. 목표설정 : 컨설팅의 목적과 기대하는 결과를 명확히 설정해야 합니다. 예를 들어, 인증 획득, 취약점 분석, 정책 수립 등 구체적인 목표를 정하는 것이 중요합니다.
2. 범위 정의: 컨설팅의 범위를 명확히 정의하여 어떤 시스템, 프로세스, 데이터가 포함될지를 결정해야 합니다.
3. 전문성: 컨설팅을 진행할 전문가나 업체의 경험과 전문성을 평가하는 것이 중요합니다. 과거 사례나 인증을 참고하여 신뢰성을 확인해야 합니다.
4. 예산: 보안 컨설팅에 소요될 예산을 사전에 계획하고, 예산 내에서 최적의 서비스를 받을 수 있도록 해야 합니다.
5. 시간 계획: 컨설팅 진행 기간을 설정하고, 각 단계별 일정 관리가 필요합니다.
6. 커뮤니케이션: 컨설팅 과정에서의 원활한 의사소통을 위해 관련 부서와의 협력 체계를 구축해야 합니다.
7. 데이터 보호: 컨설팅 과정에서 다뤄지는 데이터의 보안과 비밀 유지를 위해 적절한 조치를 취해야 합니다.
8. 후속 조치 계획: 컨설팅 결과에 따른 후속 조치를 어떻게 이행할 것인지에 대한 계획을 세워야 합니다.
이런 요소들을 충분히 고려하면 보안 컨섩팅이 더 효과적이고 유익하게 진행될 수 있을 것 같은데요.
ISMS 보안 컨설팅, 할것인가? 말것인가?
ISMS 보안 컨설팅 견적서를 받고나서 고민이 깊어졌습니다. 하루벌어서 하루먹고사는(?) 중소기업에서 평소에 예상치 못한 예산이었기 때문이었습니다. 그리고 담당자인 제가 보안 컨설팅이 종료된 이후에 이 부분에 대한 완전한 습득하여 실무에 적용할 수 있을까? 보안 컨설팅을 진행하려면 우선 C-level의 임원들을 설득하는 것도 문제였습니다.
지난 글에서 언급한 제주도에서 진행된 중소기업 담당자를 위한 ISMS-P 구축/운영 교육에 담당이사님과 함께 참석하면서 이 문제에 대한 해결점을 찾을 수 있었습니다. 아무래도 담당이사님이 교육을 함께 받으시면 보안 컨설팅을 하자고 하실것이라 내심 잔뜩 기대했었습니다. 그런데 담당이사님은 교육을 받으시고 나서 보안 컨설팅 없이 우리가 직접 인증 준비를 하자라는 의견을 굳히셨습니다.
Oh, My God !!!
이사님의 의견은 제가 원하는대로 흘러가지 않았습니다. 그래서 담당이사님과 타협을 본것이 정보보호 관리체계의 준비는 우리가 직접 진행하고 기술적 취약점 진단 및 외부감사는 우리가 내부적으로 감당할 수 없는 영역이니 외부에 기술전문 컨설팅을 통해 진행하기로 했습니다.
결론
1. ISMS 최초 인증시에는 예산이 소요되더라도 외부의 전문가를 통해 보안 컨설팅을 받는 것을 추천드립니다. 보안 컨서링을 받게 되면 법적 요구사항을 준수하게 되며 전문가의 조언을 받을 수 있고 위험관리와 지속적인 개선이 가능합니다.
2. 보안 컨설팅을 받을 때에는 목표설정, 범위 정의, 전문성 재고, 예산, 시간 계획, 커뮤니케이션, 데이터보호, 후속 조치 계획등을 잘 세워야 하겠습니다.
3. 혹시라도 저처럼 담당이사님을 설득할수 없거나 예산부족으로 보안 컨설팅이 어려울 때는 제한적으로나마 기술적 취약점 진단 및 외부감사는 꼭 받으시라는 것입니다.