1993년 정보보호에 대한 실행지침이 영국의 BSI가 처음 발행한 후, 12년만에 정보보호 관리체계에 대한 실행표준이 2005년 국제표준으로 발간되었다. ISO/IEC 27001:2005(이하 ISO27001)으로 명명된 정보보호 관리체계 국제표준의 발간은 ISO(Inter national Organization for Standar dization) 140회원국에서 표준으로 채택되어 국가 표준으로 활용됨은 물론, 명실상부한 정보보호 유일 규격으로 지구촌의 각 국가, 각 기업의 정보보호 실행들에 대한 기준으로 활용되고 있으며 이러한 활동은 전세계의 정보보호 관리체계를 통일화하고 있다. 

정보보호에 대한 관리적 인증 표준

이 표준은 기업들이 정보보호 업무를 수행함에 있어 참조 및 기준으로 활용하는 것뿐만이 아니라 이 규격을 바탕으로 조직의 특성에 맞는 정보보호 경영체계를 수립한 후 BSI와 같은 독립적인 인증기관으로부터 시스템의 적합성 및 실행상태를 평가 받고 신뢰할 수 있는 정보보호 관리를 갖추어 운용하고 있다는 것을 보증하는 제3자 심사 및 등록제도이다. 표준에서 의미하는 정보보호관리체계는 보안 솔루션의 구축 및 기술적인 사항을 요구하는 것이 아니라 이와 같은 사항을 조직의 비즈니스 목적에 준하여 관리할 것을 요구한다.

즉 기업의 정보를 보호하기 위해 최신의 방화벽을 구축할 것을 표준에서는 정의하지 않으며 이보다는 외부 네트워크로부터의 침입에 대한 위험을 기업이 식별하고 이 위험을 제거 또는 수용, 회피하기 위해 기업 스스로 통제방안을 마련하고 이 통제가 목적을 달성할 수 있도록 관리할 것을 요구한다.

인증 신청 및 심사 절차

• 1단계 : 기업은 ISO 27001: 2005의 요구사항 및 통제항목에 따라 ISMS를 수립(Plan), 실행(Implementation) 및 운영(Operate)하고 모니터링(Monitor) 및 검토(Review)와 지속적인 개선(Improvement)을 수행
• 2단계 : 설문 및 심사견적 - 기업의 특성을 식별하는 설문 단계를 거쳐 BSI는 ISO27006에 기반한 공식적인 심사에 대한 비용 및 기간을 제시
• 3단계 : 계약서 제출 - 조직은 BSI에 공식 신청서를 제출
• 4단계 : 문서검토(Stage1) - BSI는 위험성평가, 방침, 범위, 적용성보고서(SoA) 및 절차에 대한 문서심사를 수행함. 이를 통해 조직의 경영 시스템에서 해결할 필요가 있는 약점 및 누락된 사항을 파악함
• 5단계 : 현장심사(Stage 2) - BSI는 현장심사를 실시하고 규격 적합성여부 판단
• 6단계 : 심사종료 - 심사가 성공적으로 완료되면 정보보호경영시스템을 명확하게 담고 있는 인증서를 발행함. 인증서는 3년간 유효하며 이 기간 동안에는 지속적인 사후관리 심사가 6개월마다 수행됨

<글 : 이정준 BSI 선임심사원(jungjun.lee@bsigroup.com)>

[월간 정보보호21c 통권 제113호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>