보안관리체계2011. 2. 23. 14:22

본 내용은  정보보호관리체계(ISMS:Information Security Management System)에 대한 내용으로 개인적인 의견을 정리한 사항임을 밝혀 드립니다.
- 콩나물 -

ISMS == Art of Security Management
 한국인터넷 진흥원에서 발간한 「KISA-G-ISMS 안내서」에서는 다음과 같이  ISMS를 정의하고 있습니다.

“조직의 정보 자산을 체계적으로 보호하고 사이버침해 위협으로부터 조직이 유기적으로 대응하기 위한 종합적인 관리체계를 의미”

 위의 정의를 해석하여 보면 조직은 정보 자산을 보호하기 위해 보안인식 교육, 위험관리, 업무연속성 계획, 컴플라이언스 등의 다양한 정보보호 활동 수행하며, 외부 온라인을 포함한 오프라인의 위협요소로 인한 만일의 사태 발생에 대응하기 위한 종합적인 관리체계를 말합니다.

 혹자는 이를 가리켜 침입차단시스템이나 백신소프트웨어 설치해서 자산을 보호할 수 있다면 이 또한 관리체계가 아니냐라는 반문을 할 수 있습니다. 하지만 조직의 중요한 정보자산을 보호하기 위해 중요한 요소로 침입차단시스템이나 백신소프트웨어와 같은 보안 제품 도입이나 정보보호 전담조직의 구축등의 활동이 포함될 수 있으나 근본적으로는 조직이 보호해야 하는 것은 중요한 자산과 보호하고자 하는 목표는 무엇이며, 이를 위해 어떻게, 어느 정도 수준에서 보호해야 하는지, 마지막으로 수립한 목표에 대한 도달 정도를 확인할 수 있는 관리체계수립이 핵심입니다. 이런 체계를 일컬어 정보보호관리체계(Information Security Management System)라 정의할 수 있습니다.

또한 보안 업무 단위별 측면에서는 부분적 일시적으로 수행하는 정보보호 관련 업무들을 정리하여 이행하기 위한 기반 마련이라 할 수 있습니다. 예를 들어 정보시스템담당자의 입장에서는 외부 위협으로부터 중요 자산인 정보시스템의 계정을 보호하기 인증을 통해 접근제어를 실시하고 있다고 가정하여 봅시다. 하지만 정보시스템의 패스워드 변경주기와 패스워드 문자열의 길이의 내부 기준이 없어 정보시스템담당자의 입장에서 관리가 용이하도록 변경주기와 기억하기 쉽고 짧은 문자열을 통해 패스워드를 설정할 수 있을 것입니다.
 이는 운영관리의 한 측면에서만 예를 든 것이며, 조직의 비즈니스 환경에 따라 다양한 보안활동들이 필요할 것입니다. 이를 위해 앞서 정의한 목표를 수립하여 보안활동을 위한 기준을 마련하고 잘 이행되고 있는지 확인하고 이행되지 않을 시 해당 문제를 파악하여 대책을 수립하는 PDCA(Plan-Do-Check-Act)의 프로세스 접근법에 준한 활동이라고 정의할 수 있습니다.

정리하자면 ISMS를 모든 정보보호활동들이 조직의 중요한 자산을 보호하기 위한 일련의 행위들이며, 이를 조직적인 체계를 수립하여 계획과 검토 하에 운영하는 것이라고 재 정의할 수 있습니다.



















Posted by 김주일