1. 자율적 보안 거버넌스 확립, 정보보호 관리체계(ISMS)의 개요
정의: 기업이 보유한 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합적인 체계(Plan-Do-Check-Act)를 국가가 인증하는 제도.
필요성: 침해사고 대응 능력 강화, 대외적 신뢰성 확보, 법적 컴플라이언스 준수 및 보안 위험의 체계적 관리.
2. 가. 정보보호 관리체계(ISMS)의 인증 영역과 법적 근거
1) 인증 영역 (ISMS 기준)
관리체계 수립 및 운영 (16개 항목): 경영진 참여, 위험 관리, 내부 감사 등 거버넌스 영역.
보안대책 요구사항 (64개 항목): 인적 보안, 물리 보안, 접근 제어, 암호화 등 기술적/물리적 영역.
참고: 개인정보 흐름 관리가 포함된 ISMS-P의 경우 개인정보 처리 단계별 요구사항(22개)이 추가됨.
2) 법적 근거
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조: 정보보호 관리체계의 인증에 관한 규정 및 의무 대상자 선정 근거.
3. 나. 정보보호 관리체계(ISMS)의 관리과정 (5단계)
관리과정은 순환 주기(Cycle)를 통해 지속적인 개선을 목표로 합니다.
관리체계 수립 및 운영: 범위 설정, 정책 수립, 조직 구성 및 자원 할당.
위험 관리: 자산 식별, 위험 식별 및 분석, 정보보호 대책 선정(DoA).
관리체계 운영: 선정된 보안대책의 이행 및 운영, 증적 관리.
모니터링 및 복구: 보안 사고 모니터링, 재해 복구 훈련 및 성과 측정.
사후 관리 및 개선: 내부 감사 수행, 경영진 보고 및 차년도 계획 반영.
4. 다. ISMS-P 간편인증제도
중소기업 및 소규모 사업자의 인증 부담을 완화하기 위해 도입된 제도입니다.
개요: 인증 항목이 너무 많아 비용과 인력이 부족한 중소기업을 위해 핵심 항목 중심으로 슬림화한 인증 방식.
주요 특징:
항목 축소: 기존 102개(ISMS-P 기준) 항목에서 중소기업에 불필요하거나 중복된 항목을 과감히 생략(약 40~50개 수준).
심사 기간 단축: 심사 일수 및 비용을 절감하여 중소기업의 진입 장벽 완화.
대상: 매출액 또는 종업원 수가 일정 규모 이하인 소기업 및 중소기업.
5. 라. ISMS-P 제도의 실효성 강화 방안
국가 보안 수준의 상향 평준화를 위해 다음과 같은 강화 방안이 논의되고 있습니다.
클라우드 및 신기술 대응: SaaS, PaaS 등 클라우드 네이티브 환경과 생성형 AI 활용에 따른 보안 요구사항을 인증 항목에 반영.
상시 점검 체계로의 전환: 1년 주기 사후 심사를 넘어, 데이터 기반의 상시 모니터링 및 실시간 증적 관리 체계(Continuous Compliance) 유도.
인증 결과의 투명성 강화: 침해사고 발생 시 인증 취소 요건을 강화하고, 기업의 정보보호 공시 제도와 연계하여 이용자의 선택권 보장.
공급망 보안(Supply Chain) 연계: 소프트웨어 공급망 보안(SBOM) 등 파트너사 및 협력업체의 보안 수준까지 관리 체계 범위에 포함하도록 가이드라인 강화.
6. 기술사적 제언: 'Compliance'에서 'Resilience'로
형식적 인증 탈피: 인증 획득 자체를 목표로 삼기보다, 실제 사고 발생 시 신속하게 복구할 수 있는 사이버 복원력(Resilience) 확보의 수단으로 활용해야 함.
보안 문화의 확산: CISO(정보보호최고책임자)의 권한을 실질적으로 강화하고, 전 구성원이 보안을 일상 업무의 일부로 인식하는 조직 문화를 ISMS-P 운영을 통해 정착시켜야 함.
결언: ISMS-P는 디지털 경제의 안전판임. 기술사는 변화하는 ICT 환경에 맞춰 관리체계를 유연하게 고도화하고, 기업의 비즈니스 가치와 보안이 조화를 이루도록 설계해야 함.
댓글 없음:
댓글 쓰기