회사의 주요매출이 정보통신서비스를 통해서 나오다보니 보안업무를 담당하기전부터 정보통신망법과 개인정보보호법의 테두리안에서 지켜야할 것과 지키지 말아야 할것들에 대한 고민을 항상 해오고 있었습니다. 인터넷 진흥원(KISA)라는 정부기관를 통해 주기적으로 개인정보보호 관련 해설서 및 인터넷 사업을 영위하기 위한 자료들을 점검하였기에 ISMS 인증의무기업이라는 당면한 문제앞에서도 관련정부기관에서 만든 해설서가 있을것이라는 생각을 하게 되었고 자연스럽게 ISMS-P 사이트를 찾게 되었습니다.
참고로 제가 재직하고 있는 회사는 '인터넷 쇼핑몰 서비스(OOOO)' 라는 서비스중심으로 ISMS-P 인증을 받았습니다. ISMS-P 인증대상기업은 저희와 같은 인터넷 쇼핑몰 회사외에도 IDC, 클라우드 사업자, 가상자산 사업자, MVNO 사업자, 대학교, 종합병원 등 다양합니다. ISMS-P 인증 의무 기업이 되었다면 우리 회사가 준비해야할 부분이 무엇인지 먼저 확인해보는게 우선일것 같습니다.
1. ISMS 인증관련 안내서
인증기관인 한국인터넷진흥원에서 제공하는 안내서를 따라 준비한다면 인증준비의 시작을 잘 했다고 할수 있습니다. 아래의 안내서들은 ISMS-P 인증에 필요한 안내서입니다.
우선 KISA ISMS-P 홈페이지>ISMS-P>자료실에 들어가면 ISMS-P 인증제도 관련 안내서를 다운로드 받을수 있습니다.
개인정보보호법 및 시행령, 관련고시의 변경에 따라 자료가 업데이트가 될수 있으니 링크를 참고하셔서 최신버전을 다운로드 받으시면 됩니다.
1) ISMS-P 인증제도 안내서
아래의 첨부파일은 2024. 7월 기준 ISMS-P 인증제도 안내서 입니다.
2) ISMS-P 인증기준 안내서
아래의 첨부파일은 2023. 11월 기준 ISMS-P 인증기준 안내서 입니다.
2. 그외 정부기관 안내서
위에서 언급한 ISMS-P 인증관련 안내서로서만으로도 내용이 방대해서 제도에 대한 이해 및 그 기준에 맞게 실무에 적용하는 것이 예산과 시간의 한계때문에 공문을 받고 1년 2개월이라는 기간동안 ISMS-P 인증을 마무리 하는게 정말 쉽지 않았습니다. 저 또한 외부의 보안전문가로 구성된 컨설팅 팀을 꾸려서 ISMS-P 인증을 받고 싶어서 C-Level의 임원들과 수차례 회의와 설득을 진행했지만 회사의 보안관련 투자예산 한계에 부딪쳐 어쩔수 없이 몇몇 임직원과 함께 직접 인증을 준비하게 되었는데요. 그때 KISA 및 행안부의 개인정보 포털, 보호나라 등이 큰 도움이 되었습니다.
1) KISA 법령/가이드라인
(1) 개인정보보호
- 홈페이지 개인정보 노출방지 안내서 ( 2024. 4 개정 )
- 불법 스팸 방지를 위한 정보통신망법 안내서
- 개인정보 안전성 확보조치 기준 해설서
- 개인정보 처리 위수탁 안내서
- 개인정보 암호화 조치 안내서
(2) 기업정보보호
- 정보보호 최고책임자 지정/신고 제도 안내서
- 중소기업 정보보호 업무 가이드
- 중소기업 보안위협 예방 및 대응 가이드
(3) 융합보안
- 정보보호 최고책임자(CISO) 길라잡이 - 기본편
(4) 암호기술
- 패스워드 선택 및 이용 안내서
- 암호 키 관리 안내서
- 암호 기술 구현 안내
- 암호 알고리즘 및 키 길이 이용 안내서
- 웹사이트 회원탈퇴 기능 구현 안내서
- 암호정책 수립 기준 안내서
2) 개인정보 포털(행안부)>개인정보배움터
개인정보배움터에서는 주로 개인정보취급자를 대상으로 온오프라인을 통해 개인정보보호교육을 수강하고 관리 할수 있어 여건상 전체가 모여서 교육을 할수 없을 때 교육기간과 제공되는 컨텐츠를 특정하여 회사의 환경에 맞게 활용할수 있으며 저 같은 경우에는 매년 하반기에 '개인정보배움터'를 통해 전체직원을 대상으로 개인정보보호 교육을 진행하고 있습니다.
3) 보호나라
보호나라의 알림마당은 특별히 국내외에서 일어나는 보안사고 및 관련보고서와 가이드가 함께 확인이 가능한 곳이며 중소기업 및 스타트 기업을 위한 내서버 돌보미, 보안취약점 점검, SW 보안약점 진단, 중소기업 홈페이지 보안강화, DDoS 사이버 대피소, 사이버 위협정보 분석공유, 사이버 위기대응 모의훈련, DNS 싱크홀, 해킹진단도구, 악성코드 감염PC치료체계 서비스, 사이버 보안 빅데이터 센터, 스미싱 확인 서비스 등의 사업을 진행하고 있어 이것을 초기에 활용하여 보안에 취약한 저희와 같은 중소기업에게 천군만마를 얻은 느낌이 들었습니다.
결론
1. KISA ISMS-P 홈페이지의 자료실에서 제공하는 ISMS 인증관련 안내서 및 자료를 활용합니다.
2. 그외 정부기관 안내서인 KISA 법령/가이드라인, 개인정보배움터, 보호나라의 자료를 활용합니다.