안전진단의 실효성이 대두되면서 ISMS를 대안으로 대두되었고, 준비가 덜된상태에서 지난해 망법이 통과되었고, 1년 지나 법 적용시기가 되었다.
ISMS 인증 컨설팅 시장이 활황을 누릴거라는 생각이 지배적이였으나 그닥 그렇지만은 아닌것 같다.
일부 기관은 이미 ISMS을 획득하여서 인증 컨설팅을 수행하지 않아도 되고, 2월 17일 이전에 안전진단을 받을 경우 올해 ISMS 인증을 면제 받는 법의 틈새(?)를 이용한 기관은 상당수 존재하고 있다. 또한 ISMS 인증 컨설팅을 수행하지 않고 자체에서 진행하여도 되며, 컨설팅 수행기관이 자격 등이 존재하지 않아 무자격자에 의한 시술이 진행되고 있기도 하다. 인증을 위한 인증이 될 것 같은 느낌마저 들고 있다.
인증을 획득해야 하는 기관에서도 의무화에 대한 대응에 급급하지, 진정 정보보호 체계 수립이라는 본래의 목적을 상실한 듯 보이는 곳이 많다.
- 과연 ISMS가 정보보호 수준 향상에 도움이 되는가?
- 컨설턴트 입장에서 보면 Yes라고 해야 할것이다. 적어도 인증을 위한 준비를 하다 보면 정보보호 체계가 수립된다.
- 문제는 수검기관의 참여도, 자세가 중요한데 안전진단의 폐혜중하나가 컨설턴트가 모든 것을 수행하였다는 것이다.
- 실제 정보시스템의 안전도를 진단한 것이 아니라 확인서 발급을 위한 보고서 작성에 열을 올렸기에 실효성 문제가 대두되었듯이 ISMS도 인증을 위한 인증으로 간다면, 질문과 같이 정보보호 수준 향상은 기대하기 어렵다고 봐야 한다.
- 정보보호 자율적으로 가능한가?
- 어느정도 가능하다고 본다.
- 정보노출에 대한 가치를 적절히 평가하고 있으며 보호해야 한다는 의식이 존재한다.
- 삼성전자 같은 경우를 보자. 반도체 핵심 기술 당연히 보호하지 않겠는가? 별의 별 보호조치를 적용하고 있을 것이다.
- 문제는 개인정보보호인데, 개인정보의 유출로 인해 피해를 보는 이는 고객, 국민이기에 회사에서 관리를 허술하게 하는 것이다.
- 강제성이 필요한 대목이다.
- ISMS,PIMS,G-ISMS,ISO27001
- 개인적으로 하나만 했으면 좋겠다.
- 정보보호 관리체계, 개인정보보호관리체계, 전자정부 정보보호관리체계, 이게 또 국내, 국제로 나누어져 있다.
- 범위, 대상이 조금씩 틀리지 맥은 같이하고 있다.
이왕 행하는 ISMS 인증 프로젝트 어떻게 진행하면 좋은가?
수검기관에서 직접 수행하는것을 추천한다. 그것이 어려울 경우 전문기관을 찾아야 하는데 가능하면 기간은 길게 잡았으면 좋겠다.
기간의 중요성은 기성복과 맞춤, 템플릿과 현행화 등으로 생각하면 좋겠다.
짧은 기간으로 인해 비용이 적게 들수는 있을 것이다. 인증을 위한 인증을 일을 위한 일, 매년 수검 받을때 마다 일주일 이상 관련자들이 야근을 해야 하는 고된 업무가 된다. 그럼에도 불구하고 정보보호 수준이 향상되었다는 것을 체감하지 못하고 오히여 떨어져 위험에 빠질 수 있다.
충분한 시간, 수검기관의 관련자의 높은 참여도가 진정한 정보보호 수준 향상, 매년 사후관리 시에 업무로드나 없거나 낮게 될 것이다.
다시 정리하면 수검기관의 높은 참여도, 충분한 프로젝트 수행기간 보장이 성공적인 ISMS 인증 프로젝트의 성공요소이다.