기업, ISMS 최초 인증 시 평균 소요 기간 2~6개월
기업 65.4%, ISMS 인증을 받기 위해 외부 컨설턴트 기업과 진행

[보안뉴스 김경애 기자] ‘ISMS 최초 인증 시 평균 소요 기간’이 2~6개월 정도로 나타났다. 이는 그만큼 기업에서 정보보안을 위한 ISMS 인증 획득이 쉽지 않다는 얘기다. ISMS 인증 획득이 쉽지 않은 만큼 대부분의 기업은 외부 컨설턴트 기업의 도움을 받고 있다.


ISMS(Information Security Management System)는 정보통신망의 안전성 확보를 위해 수립·운영하고 있는 기술적·물리적·관리적 보호조치로 기업의 정보보안 관리체계에 대한 인증제도다.

ISMS 인증 의무 대상자는 정보통신망 서비스 제공 중인 e커머스 업종 및 대기업으로 △정보통신망 서비스를 제공하는 사업자 △직접정보통신시설 사업자 △매출액이 1500억원 이상인 상급 종합병원 및 대학교 △정보통신서비스 부문 매출액 100억 이상인 사업자 △정보통신서비스 부문 일일평균 이용자 수 100만명 이상인 사업자가 해당한다.

아스트론시큐리티가 AWS 사용 고객 대상으로 자체 조사한 설문 결과에 따르면 ‘ISMS 최초 인증 시 준비 기간을 포함해 인증 시까지 소요 기간’은 2~3개월 30.8%, 3~6개월 26.9%, 6-12개월 19.2%, 1년 이상 15.4% 순으로 나타났다.

다음으로 ‘ISMS 인증을 받기 위해 진행했던 방식’은 외부 컨설턴트 기업과 진행 65.4%, 기업 내 보안 인력을 통해 자체적으로 진행 34.6% 순으로 집계됐다.

‘클라우드 ISMS 인증을 받기 위해 필요하다고 생각하는 기능’으로는 ISMS 인증 심사를 위한 정책 자동 점검 50%, 인증 관련 증적 자료 제공 48%, 인증 항목 점검에 따른 조치 가이드 제공 30%, 중요도에 따른 정보자산 관리 27.5%, 인증 심사원용 조회 및 열람 메뉴 제공 20% 순으로 조사됐다.

특히 많은 기업에서 어려워하는 부분이 통제항목이다. ISMS 통제항목은 관리 통제항목(153개), 기술 통제항목(69개), 물리 통제 항목(12개)으로 구성된다. 때문에 기업에선 △인증 관련 증적 자료 △인증 항목 점검에 따른 조치 가이드 △중요도에 따른 정보 자산 관리 △인증 관련 증적 자료 등이 필요하다.

이와 관련 아스트론시큐리티 박정현 CTO는 “많은 기업이 ISMS 인증 심사를 위한 자동 점검 솔루션을 필요로 한다”며 “솔루션을 통해 인증 심사를 대비하여 클라우드 인프라를 지속적으로 점검하고 ISMS 통제항목에 맞게 관리해야 한다”고 설명했다.

그러면서 박정현 CTO는 ISMS 지원 솔루션 요건으로 △인증 관련 증적 자료 제공(문서 관리, 진도 관리, 결함 관리 등) △설정에 대한 기술적 취약점 진단 △진단에 따른 조치 가이드 제공 △중요도에 따른 정보 자산 관리 △최소 권한 관리△접근 통제 관리 △보안시스템 정책 관리 △이상행위 분석 및 모니터링 △인증 관련 증적 자료 제공(현황, 로그 보고서, 점검 기능 등)이 돼야 한다고 제시했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>