본문내용
1. 서론
1.1. ISMS-P 인증기준 개요
ISMS-P 인증기준은 국내 정보보호 및 개인정보보호 관리체계의 핵심 기준이다. ISMS-P 인증 획득은 정보보호 및 개인정보보호를 위한 조직의 노력을 공인받는 것이며, 이를 통해 정보 자산의 안전성과 신뢰성을 확보할 수 있다. ISMS-P 인증기준은 정보보호 정책 및 조직 관리, 자산 및 위험 관리, 외부자 보안, 물리적 보안, 접근통제, 시스템 및 네트워크 관리, 암호화 관리, 시스템 개발 및 유지보수, 운영보안, 클라우드 컴퓨팅 보안, 사고 대응, 재해복구 등 12개 분야에 걸쳐 세부적인 보호대책을 요구하고 있다. 이를 통해 정보보호와 개인정보보호에 필요한 다각도의 관리적, 기술적, 물리적 보안 통제 방안을 마련할 수 있다. 결국 ISMS-P 인증기준은 조직의 정보보호관리체계를 구축하고 강화하는 데 있어 필수적인 지침이 되고 있다.
1.2. 정보보호관리체계의 중요성
정보보호관리체계는 조직의 정보자산을 보호하고 안전하게 관리하기 위한 필수적인 체계이다. 정보기술의 발달과 함께 기업의 디지털 전환이 가속화되면서 기업 내 정보자산의 중요성이 점점 더 높아지고 있다. 이에 따라 기업은 정보보호관리체계를 통해 정보자산을 효과적으로 관리하고 보호할 수 있다.
정보보호관리체계는 정보보안 정책, 조직, 자산, 위험관리, 물리적 보안, 접근통제, 시스템 및 네트워크 관리, 암호화 관리, 시스템 개발 및 유지보수, 운영보안, 클라우드 보안, 사고대응, 재해복구 등 다양한 영역을 포괄한다. 이를 통해 기업은 정보보안 위험을 체계적으로 관리할 수 있으며, 정보자산 보호를 위한 전략과 실행방안을 수립할 수 있다.
정보보호관리체계는 기업의 정보보안 수준을 높이고, 정보보안 사고로 인한 재무적, 비재무적 피해를 예방할 수 있다. 또한 정보보호관리체계 인증 취득을 통해 기업의 신뢰도를 높일 수 있으며, 고객 및 협력업체와의 정보보안 협력을 강화할 수 있다. 이처럼 정보보호관리체계는 기업의 지속가능성과 경쟁력 향상을 위해 필수적인 요소라고 할 수 있다.
2. 주요 결함사례와 보완조치
2.1. 정책 및 조직 관리
2.1.1. 정책의 유지관리
정책의 유지관리는 정보보호관리체계 운영에 있어 매우 중요하다. 정보보호관련 정책은 기업의 정보보안 활동을 규제하고 통제하는 핵심적인 역할을 하기 때문이다. 따라서 정책의 지속적인 관리와 개선은 정보보호 수준을 높이는데 필수적이다.
정보보호 정책은 최고경영진의 의지에 따라 수립되며, 정기적으로 검토되고 개정되어야 한다. 정보보호 정책의 내용은 기업의 정보보호 목표와 이를 달성하기 위한 구체적인 통제 방안을 포함하고 있어야 한다. 또한 정책은 관련 법규와 표준을 준수하며, 기업의 특성과 환경을 고려하여 수립되어야 한다.
정책의 유지관리를 위해서는 정기적인 검토와 함께 변화된 내·외부 환경에 대한 지속적인 모니터링이 필요하다. 정책 수립 후에도 지속적인 모니터링을 통해 정책의 실효성을 확인하고, 필요 시 정책을 개정해야 한다. 정책의 개정 시에는 관련 부서와의 협의를 거쳐 조직 전체에 변경사항을 전달하고 이해관계자의 의견을 수렴해야 한다.
정보보호 정책의 효과적인 운영을 위해서는 정책 준수 여부에 대한 지속적인 점검과 모니터링이 필수적이다. 정책 준수 여부는 정기적인 내부감사를 통해 확인하고, 정책 위반에 대한 적절한 조치가 이루어져야 한다. 또한 정책 개정 시 이해관계자의 의견을 충분히 수렴하고, 정책 변경사항을 조직 구성원들에게 충분히 전달하여 정책이 효과적으로 운영될 수 있도록 해야 한다.
2.1.2. 조직의 유지관리
기업의 정보보호 및 개인정보보호를 위한 관리 역할을 담당하는 직원을 선발하고 해당 직원에 대해 정보보호 관련 업무를 지시하고 활동할 수 있도록 명시하는 것이 중요하다. 그러나 법령이나 내부 지침에 따른 내용이 직무기술서나 업무 분장 등 구체적으로 명시되어있지 않은 경우가 있다. 이는 기존에 정보보호 및 개인정보보호를 위한 목적으로 직원을 뽑았지만, 중소기업이면서 작은 기업이라 여러 가지 직무를 함께 맡고, 제조가 급한 시기에 정보보호에 대한 조치보다는 다른 업무가 더 과중하게 되면서 제대로 된 업무를 하지 못했고, 제때 법령에 따른 업무를 처리하지 못한 것이 원인이기 때문이다. 따라서 정보 보호지침에 정보보호 및 개인정보보호 최고책임자를 다시 임명하고 관련 담당자의 역할과 책임에 대해서 구체적으로 사칙에도 명치하고 운영현황과 일치하도록 수정하는 것이 필요하다. 그뿐만 아니라 정보보호 및 개인정보보호 책임자가 하고 있었던 업무를 대체할 수 있는 신입 직원을 채용함으로써 기업의 정보보호 및 개인정보보호를 위한 관리 체계를 강화해야 한다.
2.2. 자산 및 위험 관리
2.2.1. 자산 분류 및 관리
조직의 주요 자산을 체계적으로 관리하는 것은 정보보호 관리체계에서 매우 중요하다. 조직은 정보자산, 중요 문서, 기술자산 등 다양한 자산을 보유하고 있으며, 이들 자산에 대한 체계적인 분류와 관리가 필요하다.
우선, 조직은 자산을 중요도와 민감도에 따라 정확히 분류해야 한다. 이를 위해 자산의 유형, 중요도, 법적 및 규제적 요구사항, 기밀성·무결성·가용성 요구사항 등을 종합적으로 고려해야 한다. 정확한 자산 분류를 통해 각 자산에 대한 적절한 보호대책을 수립할 수 있다.
다음으로 분류된 자산에 대한 효과적인 관리 정책을 수립해야 한다. 자산 관리 정책에는 자산 보유 현황 관리, 자산 변경 및 폐기 관리, 자산 접근 및 사용 통제, 자산 보호 대책 수립 등이 포함된다. 이를 통해 자산의 기밀성, 무결성, 가용성을 지속적으로 보장할 수 있다.
또한 자산 관리의 효과성을 높이기 위해 자산 관리 책임을 명확히 지정해야 한다. 자산 관리 책임자를 지정하고 그 역할과 권한을 명시하여 자산 관리에 대한 책임을 명확히 해야 한다. 이를 통해 자산 관리의 효율성과 효과성을 높일 수 있다.
마지막으로 자산 관리 활동을 주기적으로 검토하고 개선해 나가는 것이 중요하다. 자산 관리 정책의 적절성, 자산 관리 활동의 효과성, 관리 책임자의 역할 수행 등을 정기적으로 점검하고 필요시 개선 조치를 취해야 한다. 이를 통해 지속적으로 자산 관리 체계를 고도화할 수 있다.
이처럼 조직의 주요 자산에 대한 체계적인 분류와 관리는 정보보호 관리체계 구축의 핵심 요소이다. 자산 분류와 관리를 통해 조직의 핵심 정보자산을 효과적으로 보호하고 관리할 수 있다.
2.2.2. 위험 평가 및 대응
위험 평가 및 대응은 기업의 정보자산에 대한 위험을 식별하고 이에 대한 적절한 대응 방안을 수립하는 것이다. 정보보호 관리체계 내에서 이러한 위험 평가와 대응은 매우 중요한 절차이다.
기업은 우선 조직이 보유한 정보자산을 파악하고 이에 대한 유형과 중요도를 분류한다. 그리고 이러한 정보자산에 대한 위협을 식별하고 위험도를 평가한다. 위험도 평가 시에는 위협의 발생 가능성과 잠재적 피해 규모를 고려하여 종합적으로 판단한다.
위험 평가 결과를 바탕으로 기업은 위험을 회피, 완화, 수용, 또는 전이할 수 있는 대응 전략을 수립한다. 회피는 위험 요인을 제거하는 방법이며, 완화는 위험 수준을 낮추는 방법이다. 수용은 위험을 인정하고 대응 조치를 취하지 않는 것이고, 전이는 위험을 제3자에게 이전하는 방법이다.
위험 대응 전략 수립 시 기업은 비용 대비 효과성, 실행 가능성, 법적·규제적 요구사항 등을 종합적으로 고려해야 한다. 또한 대응 조치 실행 후에도 지속적으로 모니터링하고 필요 시 개선 조치를 취해야 한다.
위험 평가와 대응은 정보보호 관리체계의 핵심 요소 중 하나로, 기업의 정보...
