정보보호 관리체계(ISMS) 인증제도 의무화...대상 기업 대비 필요  

[보안뉴스 김태형] 2013년부터는 정보통신망법 개정에 따라 기업의 정보보호 제도가 달라질 전망이다. 특히, 기업 정보보호 수준 제고를 위해 정보보호 관리체계(ISMS) 인증제도가 의무화되기 때문에 해당 기업들은 이에 대한 대비가 필요하다.

오는 2013년 2월 18일부터 의무화되는 ISMS 인증제도에 의해 정보통신 서비스 제공자는 의무적으로 ISMS 인증을 받아야 한다. 의무 대상자는 ISP, IDC, 연간 매출액 또는 이용자수 등이 대통령령으로 정하는 기준에 해당하는 기업이다.

이에 대해 장상수 한국인터넷진흥원 보안관리팀 팀장은 “이는 기존 시행되던 안전진단 제도를 폐지하고 보다 높은 수준의 인증제도인 ISMS로 통합하는 것으로, 그동안 안전진단 준비를 잘해왔던 기업의 경우 정보보호 관리체계 인증에는 무리가 없을 것”이라고 말했다.

인증 절차는 준비-심사-인증 단계로 이루어지고 소요기간은 기업의 내부 준비부터 인증 취득까지 약 6개월 이상이 소요된다. 이에 연내 취득을 위해서는 일정을 역산하여 조기 인증을 위한 준비가 필요하다.

이와 관련 장상수 팀장은 “특정기간 쏠림 방지를 위해 내년에는 인증 대상자의 사업자 등록일이 속한 분기 내에 인증심사를 수행할 계획”이라고 설명했다.

또한, 그는 “이러한 ISMS 인증 취득을 위해서 기업은 정보보호 최고책임자를 지정하고 전담조직을 구성해야 한다. 그리고 인증기준 학습 및 우수사례의 정보수집과 분석이 필요하다”고 설명했다.

아울러 “인증범위, 소요기간(구축일, 인증취득일, 심사일 등)을 고려한 예산 파악과 경영진의 미팅을 통해 예산을 미리 확보해야 하고, ISMS 구축에 필요한 활동을 도출해 기업환경에 반영하는 등 다양한 요소를 고려해 구축해야 한다”고 덧붙였다.

일반적으로 ISMS 구축 프로세스는 정보보호정책 수립-관리체계 범위 설정-위험관리-구현-사후관리 등 총 5단계로 구성된다.

한국인터넷진흥원은 인증 수요 급증에 대비해 1,000여 명의 인증심사원을 확보하고 기업의 체계적인 준비를 돕기 위한 각종 해설서를 개발해 배포할 예정이다.

장 팀장은 “이와 같은 ISMS 인증을 통해 기업은 해킹이나 디도스 공격 등의 침해사고 예방과 피해에 대한 손실을 예방할 수 있고, 체계적이고 지속적인 보안관리가 가능하다. 아울러 위험관리 기반의 조직적이고 종합적인 정보보호 대책을 구현할 수 있다”고 강조했다.

하지만 이러한 ISMS 인증 취득 자체가 기업의 모든 침해사고 예방을 보장하지 않는다. 무엇보다 중요한 것은 인증제도의 실효성을 높이고 침해사고 예방 목적을 달성하기 위해서는 인증취득과 더불어 기업의 인증기준 준수 등의 지속적인 사후관리가 더 중요하다.  

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>