ISMS 인증 준비, 제주도에서 담당이사님과 함께 교육을 마무리 하면서 정보보호 관리체계를 우리가 직접 구현하고 보안컨설팅을 받지 않기로 했습니다. 몇달동안 ISMS 인증관련 안내서, 온라인/오프라인 교육 등을 받은것으로도 충분하지만 ISMS심사위원으로 현업에서 근무하는 분들의 현실적인 실무활용서도 추가적으로 활용하면 좋겠다는 생각이 들어서 몇개의 도서를 구매하게 되었습니다. 2년사이에 개인정보보호법과 정보통신망법 및 시행령, 고시등이 수없이 개정되었습니다. 개정된 법에 맞게 개정판도 나오고 있으니 구매시에 참고하시면 좋을것 같습니다.
현황 분석
ISMS인증은 기업이 정보 자산을 안전하게 보호하고, 체계적인 관리 방안을 마련하는 데 필수적인 과정입니다. 특히 중소기업의 경우, 정보보호에 대한 인식이 부족할 수 있지만, ISMS 인증은 이러한 인식을 높이고, 신뢰성을 강화하는 데 큰 도움이 됩니다. 이번 글에서는 ISMS 인증 준비의 첫걸음인 현황 분석에 대해 자세히 알아보려고 합니다.
ISMS 인증은 단순한 인증 절차가 아닙니다. 이는 기업이 정보보호를 위해 체계적으로 접근하고, 지속적으로 개선해 나가는 과정을 포함합니다. 정보 유출, 해킹, 내부자 위협 등 다양한 위험 요소가 존재하는 현대 사회에서 ISMS 인증은 기업의 생존과 직결될 수 있습니다. 인증을 통해 기업은 법적 요구사항을 준수하고, 고객과 파트너에게 신뢰를 줄 수 있습니다.
현황 분석은 ISMS 인증 준비의 첫 단계로, 기업의 현재 정보보호 수준을 평가하는 과정입니다. 저는 이 단계에서 다음과 같은 질문을 스스로에게 던져 보았습니다.
질문1) 현재 우리기업의 정보보호 정책은 무엇인가?
살펴보니 혹시나 했는데 역시나 우리회사는 정보보호 정책이 없었습니다.
정보보호 정책의 사전적 의미는 무엇일까요? 정보 보안 정책서는 국내 일반 회사에 존재하는 보안 정책의 가장 상위 문서입니다. 회사에서 보호해야할 정보자산을 정의하고, 정보보안을 실현하기위한 기본 목표와 방향성을 설정하는 문서이기도 합니다.
그러나 KISA안내서, 온오프라인 교육, 참고도서를 아무리 뒤져도 정보보호정책에 대한 샘플조차 찾을수 없었습니다.
보안정책서
1. 좀 오래된 자료이기는 하지만 예전'종소기업청' 자료가 인터넷에 보안기업을 중심으로 찾을 수 있었습니다.
저도 이문서를 참고로 보안정책서 초안을 만들었습니다.
2. 이번에는 한국정보통신기술협회에서 제공하는 '조직의 정보보호 정책 수립 가이드'를 확인해 보았습니다. 이 가이드에 따르면 위에서 언급한 보안정책 수립했다면 그다음은 각 항목별 지침을 규정되어야하고 정책/규정을 준수하기위한 절차가 필요하다고 되어있습니다.
| 정책 | - 조직의 경영목표를 반영하고 회사의 정책과 일관성을 유지해야합니다. - 정보보호를 위해 관련된 모든 사람이 반드시 지켜야 할 요구사항을 전반적이며 개략적으로 규정합니다. |
| 지침 | - 조직의 환경 또는 요구사항에 따라 관련된 모든 사용자 들이 준수하도록 요구되는 규정입니다. - 권고하는 내용이며 융통성 있게 적용할 수 있는 사항을 설명합니다. |
| 절차 | - 정책/지침을 준수하기 위하여 수행하여야 하는 업무들을 순서에 따라 단계적으로 설명합니다. - 정보보호 활동의 구체적 적용을 위해 필요한 적용 절차 등의 구체적이고 세부적인 방법을 기술합니다. |
일반적으로 법 > 시행령 > 시행규칙 있는것처럼 기업의 보안은 정책 > 지침 > 절차가 기본으로 규정되어야한다고 합니다.
그렇다면, 보안정책서에 들어가야할 항목들에는 무엇이 있을까요?
제1장 총칙
제O조(목적)
본 정책은 (주)ㅇㅇㅇ(이하 “회사”라 한다)의 정보자산, 보안 사항, 영업비밀 및 기타 지적재산권 등을 관리하고 보호하는데 필요한 사항을 규정하고, 나아가 회사의 경영목표 및 보안정책과 일관성을 유지할 수 있도록 노력함을 목적으로 한다.
제O조(적용범위)
본 정책은 회사 임직원 및 외부 협력업체와 파트너, 기타 회사를 출입하는 모든 사람에게 적용한다.
제 1장은 총칙으로 목적과 적용범위, 더나아가서 용어정리가 들어갑니다. 해당 문서를 작성하는 목적이 들어가며 적용범위와 문서에서 다루는 용어들에 대한 설명이 나오는게 일반적입니다.
제2장 보안대상 및 조직
제O조(보안대상) 보안의 대상이 되는 정보자산은 "정보와 정보시스템"을포괄한 개념을 의미하며, 이를 운영하기 위한 서비스 또한 보안의 대상이 된다.
제O조(보안조직) 회사는 정보자산의 보호와 관리를 위해 보안관리 부서를 별도로 마련하고, 회사 내 보안관리 업무수행을 위하여 다음과 같은 조직을 구성한다.
1. 보안책임자 : "일반보안업무"와 "IT보안업무"등 회사 내 보안관리 업무를 총괄․조정하고, 준수여부를 감독한다.
2. 보안 관리자 : 보안 관리자는 보안책임자의 지시와 위임을 받아 보안관리 전반 에 관한 업무를 수행하며,보안관리자는 경영지원팀장이 겸한다.
3. IT보안 관리자 :IT보안 관리자는 보안책임자의 지시와 위임을 받아 IT보안 관리를 책임지며, 보안책임자는 전산정보팀장이 겸한다.
4. 보안담당자 : 보안책임자가 관련 부서의 협조를 받아 분야별, 부서별 보안담당자를 선임한다.
5. 보안관리위원회 : 보안관리위원회는 회사 내 임원급 회의 구성원을 참석대상으로 하며, 보안책임자가 회의를 주재한다. 보안 정책의 제․개정 및 주요 의사결정은 보안관리위원회에서 의결하며, 대표이사의 최종결재를 득한 후 시행한다.
제 2장은 보안대상 및 조직을 정의합니다. 여기에서 대략적으로 정의하여 보호해야할 정보와 정보시스템을 정보자산 관리대장에서 구체적으로 정의하게 됩니다. 그리고 보안조직으로 회사환경에 맞게 책임자와 관리자, 담당자등을 정의합니다. 그리고 보안관리위원회를 임원급 회의구성원으로 구성하여 회사에서 보안적인 결의사항을 처리하도록 합니다.
여기에서 확장하여 '보안 조직 관리 지침 및 절차/매뉴얼'등을 만들수 있겠습니다.
제3장 정보자산의 분류
제9조(자산의 분류) ① 회사의 정보자산은 그 중요도에 따라 "극비", "대외비", "일반"등 3단계로 분류한다.
1. "극비"란 주로 경쟁사 및 대외로 유출될 경우 기업 활동에 중대한 영향을 미쳐 회사가 막대한 손해를 입을 수 있는 정보를 말한다. 여기에는 회사 업무상중요하게 취급되는 인사, 급여 등의 정보를 포함한다.
2. "대외비"란 경쟁사 및 대외로 유출될 경우 회사에 피해를 줄 수 있는 정보 중 "극비"에 해당하지 않는 것을 말한다.
3. "일반"이란 "극비"또는 "대외비"가 아닌 그 이외의 정보를 말한다.
4. 자산의 분류는 일정 기간마다 새롭게 지정․변경 및 해제가 가능하다.
제10조(자산등급 결정) 각 정보자산의 등급은 정보의 생성시점에 소유자가 부여한다. 부여 시에는 정보를 적절하게 보호할 수 있도록 과대 또는 과소 분류되지 않도록 주의해야 한다.
제3장은 정보자산의 분류를 정의합니다. 중요도를 위와같이 극비, 대외비, 일반등으로 정의하고 자산 중요도에 따라 등급을 정의합니다. 의무적인 사항은 아니지만 대부분의 기업들이 이정도의 정보자산의 분류는 하고 있다는 것을 말하는 것입니다.
여기에서는 정보자산 관리대장을 통한 위험관리지침 및 절차서를 만들수 있습니다. 그리고 정보자산에 대한 취약점을 점검하기 위한 정보자산 취약점 관리지침 및 절차서를 만들수 있습니다.
제4장 인적보안
제10조(보안서약서 작성) ①모든 임직원의 입․퇴사 시와 연봉 계약 시 보안서약서를 작성한다.
1. 회사와 상호 협력관계를 유지하는 모든 국내외 업체 또는 개인은 매 계약체결시마다 보안서약서를 작성한다.
2. 보안책임자는 기타 특별관리가 필요한 업무 수행업체 또는 수행자에 대해 별도의 보안서약서를 징구하여야 한다.
제11조(보안교육) ①모든 임직원은 입사지 사내 보안교육을 받도록 한다.
1. 모든 임직원을 대상으로 년 1회 이상 보안교육을 실시한다.
2. 보안담당부서 소속 임직원은 반기 1회 이상 보안교육을 받도록 한다.
3. 보안교육은 외부 전문 업체에 위탁 실시할 수 있다
제12조(퇴직관리) 전 임직원은 퇴직, 전출 또는 직무의 변경이 발생하는 경우 소지하고 있는 모든 정보자산을 반환하여야 한다.
제4장은 인적보안을 정의합니다. 직원 뿐만아니라 회사와 협력관계를 유지하거나 위탁관계인 경우에 보안서약서를 작성합니다. 인터넷 쇼핑몰의 경우에는 택배회사, PG사, 입점업체등이 그 대상이 될수 있습니다. 그리고, 보안교육에 대한 내용을 정의합니다.
'인적보안 관리지침' 및 ' 입/퇴사원 절차서/보안교육 절차서' 등을 추가로 만들수 있겠습니다.
제5장 물리적 보안
제13조(시설관리) 회사의 모든 시설에는 일반인의 접근을 방지하기 위해 출입통제장치를 설치하며 각 출입통제장치에는 담당자를 지정하여 관리한다.
제14조(장비관리) 정보시스템 및 관련 장비를 보안관련 각종 위협으로부터 물리 적으로 보호하기 위해 다음 사항이 준수되어야 한다.
1. 장비의 설치 및 보호 : 장비의 설치 시에는 내․외부인의 불필요한 접근을 막기 위해 필요한 통제수단을 강구하여야 한다. 또한 특별한 관리가 필요한 장비 는 별도로 관리하여야 한다.
2. 장비의 반출 : 장비가 외부로 반출되거나 반입되는 경우 사전승인 절차를 반드시 거쳐야 하며, 그 사실을 관리대장에 기록하여야 한다.
제15조(통제구역) 회사 내 중요설비를 보호하기 위해 물리적 통제구역을 설정하고 관리책임자를 지정하여 필요한 보안대책을 강구한다. 또한 소수의 인가된 임직원만이 출입할 수 있도록 출입을 통제하고, 이들에 대한 출입권한을 정기적으로 검토하여 갱신해야 한다.
제16조(일반구역) 사무실 등 일반구역에서의 정보유출을 방지하기 위하여 임직
원들은 자리 이 석시 책상에 중요 문서를 놓지 않아야 하며, 컴퓨터의 화면에 중요 정보가 남아있지 않아야 한다. 또한 일정시간 이상 자리 이 석시 화면보호기를 작동시켜야 한다.
제5장은 물리적 보안을 정의합니다. 주로 회사와 IDC 등이 이에 해당할 수 있겠습니다. 회사의 경우 일반구역, 통제구역등으로 나눌수 있겠고요. IDC는 당연히 통제구역으로 정의하고 장비의 반출입에 대한 접근통제를 간략하게 정의합니다.
추가적으로 '물리적 보안관리지침' 및 절차서를 만들어 볼수 있겠습니다.
제6장 정보시스템 보안
제17조(정보시스템 운영)정보자산의 비밀성, 무결성, 가용성 확보를 위해 보안
책임자는 모든 정보시스템에 대한 운영 및 관리절차를 수립하고, 이에 따라 관리담당자를 지정하여 관리하도록 조치하여야 한다.
제18조(컴퓨터 사용) 회사 내 모든 컴퓨터 사용자는 불법 소프트웨어를 사용해 서는 안되며, 불법 소프트웨어 사용으로 인한 모든 책임은 사용자에게 있다.
제19조(서버관리) 회사의 정보시스템을 구성하는 모든 서버들에 대해 적절한 보안관리 및 통제방안을 수립하여 관리하여야 한다.
제20조(네트워크 관리) 네트워크상의 정보 등을 보호하기 위하여 보안책임자는 별도의 담당자를 임명하고 적절한 보안관리 및 통제방안을 수립하여 관리하여야 한다.
제21조(접근통제) 보안 관리자는 인가받은 사람만이 정보에 접근할 수 있도록 접근통제 정책을 문서화하여 유지관리 하여야 한다. 접근통제를 위해서는 적절한권한의 부여 및 삭제, 사용자 패스워드 관리, 인가된 자에 대한 출입관리 등이 고려되어야 한다.
제6장은 정보시스템 보안을 정의합니다. 회사여서 사용하는 컴퓨터, 네트워크 장비, 서버등에 대한 접근통제등을 정의합니다.
여기에서는 '정보시스템 운영/보안 관리지침' 및 절차서를 만들어 볼수 있겠습니다.
제7장 기타 보안관리
제22조(보안준수) 모든 임직원, 협력업체 직원은 보안과 관련된 정책, 지침, 절차 등을 준수해야 한다.
제23조(보안점검)
1. 회사는 년 1회 이상 정기적으로 임직원과 각 부서를 대상으로 보안점검을 실시하여야 하며, 필요시 특정 임직원 및 부서를 선정하여 불시에 점검할 수 있다.
2. 보안점검 결과는 최고경영자에게 보고되고 회사 전체에 공지되어 자체적인개선활동이 이루어지도록 조치한다.
제24조(보안계획 수립)
1. 매년 보안계획을 수립하여 보안책임자의 승인을 얻은 후 시행한다.
2. 보안계획을 수립하기 전에 회사의 보안 요구사항을 파악하고, 내․외부의 보안위협 및 취약점에 대해 외부 전문가를 활용하여 대응책 수립을 위한 위험평가 업무를 수행한다.
제25조(법규준수) 보안 업무를 수행함에 있어 국내 관련 법규를 준수하여야 한다.
제7장에서는 기타 보안관리 영역을 정의합니다. 주로 보안계획의 수립, 점검, 법규준수등에 대한 내용을 정의합니다.
결론
1. ISMS 인증 준비의 첫단추는 현황분석이고 그 첫번째 질문은 '우리 회사의 정보보호(보안)정책은 무엇인가?' 입니다.
2. 정보보호(보안)정책서가 있다면 현행법규를 준수하는 수준인지 판단합니다.
3. 정보보호(보안)정책서가 없다면 목적과 적용범위, 보안대상 및 조직, 인적보안, 물리적보안, 정보시스템 보안등을 정의한 정보보호(보안)정책을 현행법규를 준수하는 수준에서 만들어야 합니다.