국내/외 ISMS 제도
국내 : G-ISMS
우리나라 전자정부는 국제사회에서 긍정적으로 평가받고 있는 성공적인 사례이나 상대적으로 정보보호 안전성에 대한 우려는 여전히 존재함에 따라 전자정부는 정보보호 분야의 국제 인증제도(ISO 27001 ISMS)를 토대로 우리나라 환경 적합한 정보보호관리체계 인증제도(G-ISMS)를 제정하였습니다. 전자정부정보보호관리체계(G-ISMS) 인증은 기관이 수립하고 구축한 종합적인 정보보호관리체계(ISMS)를 제3자가 객관적으로 심사하여 인증을 부여하는 제도입니다.
※ G-ISMS : Government Information Security Management System
G-ISMS 인증기준은 인증심사를 통과하기 위하여 요구되는 조건으로서 행정안전부훈령제178호를 따르고 있습니다. G-ISMS의 인증기준은 필수사항인 수립 및 관리과정, 문서화요구사항과 선택사항인 12개 분야의 정보보호대책으로 구성되어 있습니다.
2010년 7월 광주정부통합전산센터를 1호로 짧은 시행 시기에도 불구하고 2013년까지 200호의 인증제도 취득기관을 목표로 하고 있으며, 국제 표준인 ISO/IEC 27001 동시 취득을 추진하고 있습니다. 다만 대민서비스 중인 공공기관의 정보가 국제표준기구인 ISO/IEC에 의해 열람될 수 있다는 것이 조금 우려스럽습니다.
국내 : KISA ISMS
정보보호에 대한 인식을 제고하여, 보호되어야 할 정보통신망 및 정보자산의 안전 신뢰성을 강화하고 국제적 신뢰도를 향상시키기 위한 목적으로 제정되었습니다.
어떤 조직이 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 관리체계를 수립하여, 운영하고 있을 때, 그 관리체계가 방송통신위원회가 고시한 정보보호관리체계 인증심사 기준에 적합한지를 방송통신위원회가 지정한 기관, 한국인터넷진흥원에서 적합성 여부를 보증해 주는 것이다.
KISA ISMS 인증심사는 방송통신위원회고시 제2010-3호를 따르고 있습니다. ISMS 인증심사 기준은 필수사항인 정보보호 관리과정 요구사항, 문서화 요구사항과 선택사항인 15개 분야의 정보보호 대책으로 구성되어 있습니다.
2002년 정보보호컨설팅전문업체인 (주)에이쓰리시큐리티를 1호로 10년여의 기간 동안 인증제도를 운영하고 있어 이에 따른 심사노하우와 심사안전성이 타 인증제도들 보다 높을 것으로 판단됩니다.
국내 ISMS 제도의 차이점
두 제도 모두 권고사항으로 조직의 주요 정보자산 유출 및 피해를 사전에 예방하고 대처할 목적으로 수립된 제도로 한국인터넷 진흥원이 인증기관으로 역할을 수행하는 등의 공통점을 가지고 있습니다. 두 제도의 주요 차이점은 다음 표와 같습니다. 제도가 생성된 법률적 배경이 상이하여 이에 따른 상위 정책기관과 인증 대상 및 통제 항목의 다름을 확인할 수 있습니다.
구 분
|
G-ISMS
|
KISA ISMS
|
관련 법률
|
「전자정부법」제24조 및 제56조
|
「정보통신망이용촉진및정보보호등에관한법률」 제47조
|
「전자정부법시행령」제20조
|
「정보통신망이용촉진및정보보호등에관한법률시행령」 제50조
|
전자정부 정보보호관리체계 인증 등에 관한 지침
(‘10.6.7, 행안부 훈령 제178호)
|
「정보보호관리체계인증 등에 관한 고시」(제2008-11호)
|
정책 기관
|
행정안전부
|
방송통신위원회
|
인증 대상
|
공공기관
|
민간기업(기관)
|
통제 항목
|
12개의 통제 분야, 156개의 통제사항
|
15개 통제 분야, 120개의 세부항목
|
시행 시기
|
2010년
|
2002년
|
< G-ISMS와 KISA ISMS의 차이점 >
|
필자도 궁금한 사항 중 하나는 KISA ISMS 제도의 인증 대상이 민간기업(기관)으로 되어 있으나, 인증을 취득한 기업(기관) 중에는 교육과학기술부의 인가를 받은 사립교육기관(사이버대학교)과 공공서비스를 수행하는 법원행정처가 눈에 띄었습니다. 교육인적자원부(현 교육과학기술부) 「원격대학 학사운영관리 지침」과「원격설비교육기준」내 ISMS 인증 획득을 정의하고 있었으며, 법원행정처의 경우 대한민국 3권 분립(입법, 행정, 사법)에 의해 사법기관으로 분류되어 공공기관의 대상에서 제외됨을 확인하였습니다.
※ KISA ISMS 인증서 발급목록 : 한국인터넷진흥원 (http://isms.kisa.or.kr/kor/issue/issueList.jsp)
국외 - 국제표준(ISO)
국내 ISMS 두 제도의 모두 해외 ISO/IEC 27001의 통제항목을 국내 법적 요구사항과 운영환경에 반영하여 수정하였습니다. 이런 ISO/IEC 27001 제도에 대하여 간략히 살펴보도록 하겠습니다.
1998년 영국에서 수립된 BS7799-2(정보보호관리규격)를 기초로 하여, ISO(국제표준기구)와 IEC(국제전기기술위원회)를 통해 ISO/IEC 27001로 2005년 10월 15일국제표준이 되었습니다. 이에 따라 현재는 ISO/IEC 27001 규격을 인증심사기준으로 사용하여 ISO 인증이 제공되고 있습니다.
ISO27001은 ISMS의 요구사항을 정의한 것으로 11개 영역(Domain)에 대한 운영(Process)의 적절성/효율성을 평가하여 인증서를 부여하고 있습니다.
맺는 말
ISMS 구축의 필요성
앞서 ISMS 정의를 조직의 중요한 정보자산을 보호하기 위한 체계적이고 지속적인 활동이라 정의하였습니다. 이런 활동을 통해 조직별로 부분적, 일회성 활동을 통해 단편적 대응을 하였다면 ISMS 구축을 통해 중요한 자산보호를 위해 조직 전체에 걸쳐 서로 협력관계를 유지하여 지속적 체계적 대응이 가능할 것입니다.
또한 조직이 집중적으로 대처해야 할 리스크관리(Risk Management)체계를 유지하고 적절한 관리대책을 실시함으로써 정보보안 사고의 발생가능성을 줄이고 사고가 발생했을 경우에도 손실경감으로 기업 가치 향상과 비즈니스 연속성을 보장할 수 있습니다.
ISMS 구축 도전
수신제가치국평천하(修身齊家治國平天下) “나를 먼저 바르게 해야 비로소 가정도 바로잡을 수 있고 그런 후에야 나라를 다스리고 세상을 평정한다.” 라는 4서5경 중 하나인 대학에 나오는 말입니다.
즉, 기업의 구성원인 개인 스스로가 올바른 보안인식, 직업윤리의식을 갖추어 탄탄한 조직력과 이를 바탕으로 한 기업의 비즈니스가 탄력을 받을 수 있을 것입니다. 이를 위해 ISMS와 같은 체계를 마련하는 것도 비즈니스를 성공적으로 이끌어 가는 한 꼭지가 될 것이 분명합니다.
ISMS와 관련된 인증제도 취득이 용역거래와 입찰조건으로 지정되기도 하니 ISMS 체계를 구축하여 신뢰된 기관으로부터 인증을 취득하시길 적극 권장하여 드립니다.
또 다른 중요한 사안은 ISMS 체계를 도입하며, 구축하는 것만큼이나 이를 실질적인 업무에 활용하는 것이 중요합니다. 초기에 ISMS가 비즈니스 특성과 중요 자산의 환경을 반영하여 최적화된 구축에는 어려움이 있게 마련입니다. 이럴 경우 모난 돌을 세공하여 다이아몬드를 만들 듯 앞서 언급한 PDCA를 통해 지속적인 개선과 보완을 이행하여 업무 내 활용한 ISMS를 유지하시길 당부 드립니다.
마지막으로 「국가정보원 산업기밀보호센터」자료에 따르면 기업의 정보유출의 원인 중 92%가 전·현직 직원과 협력업체에 의한 것으로 인적보안 대한 허술함을 보여줍니다. 특히 필자가 거주하는 광주지역의 정부통합전산센터를 보면 G-ISMS 1호를 취득하였지만 이를 실제 운영하는 인력은 민간기업(기관)들이 대부분입니다. 그렇다면 이들을 통해 중요 자산이 유출이 발생할 수도 있을 것입니다. 이런 현실을 고려해본다면 민간기업(기관)들에게 최소한의 정보보호활동을 유지하기 위해 인증체계 취득을 권고하여 정보유출을 차단할 수 있지 않을까 하는 생각을 하여 봅니다. 이제 ISMS는 “수립하면 귀찮은”, “문서만 많이 작성하는”이 아닌 기업의 흥망을 갈음할 수 있는 잦대가 되길 기원하며 이만 줄이겠습니다. 끝까지 열람해 주셔서 감사합니다.