정보보호 관리체계(ISMS) 개요 - 2

ISMS == PDCA's Cycle
조직의 정보자산을 보호하기 위해서는 수많은 정보보호활동을 정의하고 운영, 관리하여야 합니다. 이를 위해 계획(Plan), 이행(Do), 점검(Check), 보완(Act)의 지속적인 사이클 순환을 통해 정보보안 활동을 이행할 수 있습니다. 정보시스템관리 중에 일어날 수 있는 한 예를 들어 보겠습니다.

너야근과장과 오늘도대리의 정보보호 조직이 있으며, 오늘도대리는 메일정보시스템 운영 중 용량과 성능문제로 인해 신규 시스템을 도입하고자 합니다. 이에 따라 오늘도대리는 정보시스템의 용량과 성능뿐 아니라 운영체제는 무엇으로 할 것이며, 관련 취약점에 대한 패치는 어떻게 할 것인지 등 고려하여 계획을 수립할 것입니다.(Plan)
이후 계획에 준하여 오늘도대리는 시스템의 운영체제를 설치와 관련 응용프로그램들을 설치도중 일부항목을 누락하고 구축 완료를 너야근과장에게 보고하게 됩니다.(Do)
하지만 너야근과장의 꼼꼼한 눈썰미에 누락된 항목들을 발견하게 됩니다.(Check) 그리고 너야근과장 왈 

“오늘도대리, 오늘도 야간작업해서 누락된 항목 설치 완료하세요.”

결국 오늘도대리는 야근을 통해 누락된 항목들을 설치하고 너야근과장에게 보고, 과장의 재확인 후에 신규 시스템 도입을 완료하게 됩니다.(Act)

여기서 중요한 것은 너야근과장의 눈설미도 오늘도대리의 꼼꼼하지 못함도 아닙니다. PDCA 활동을 통해 취약점으로 인한 위협요소를 사전에 제거했다는 것입니다.

이런 활동은 우리 인간의 삶과 유사하다고 볼 수 있습니다. 부모님의 계획(Plan)하에  태어나 유아기, 청년시절을 거쳐 사회로 나아가 다양한 활동(Do)들을 하게 됩니다. 이후 불혹의 나이쯤 도달하였을 때 달려온 길을 한번쯤 뒤돌아보며(Check) 남은 삶을 재정립(Act)하는 것처럼 말이죠. (저희도 늦지 않았으니 남은 삶을 알차게 살아 봅시다. )

< 계획, 이행, 확인, 개선의 지속적인 순환>

앞서 살펴본 바와 같이 하나의 생명주기를 갖는 ISMS는 실질적인 이행에 앞서 계획과 계획수정을 통해 이행단계에서 발생할 수 있는 정보자산의 위협 요소를 미연에 방지하고 이행과 이행 후 이행여부를 확인 및 개선함으로써 위협요소를 효과적으로 제거, 경감할 수 있습니다.

이런 ISMS와 관련된 국내·외 관련 제도를 살펴보도록 하겠으며 아래의 문서를 참고하여 작성하였습니다.

• 전자정부 정보보호관리체계(G-ISMS) 인증 안내서
• 정보보호관리체계(ISMS) 인증제도 소개