| ‘정보보호 관리등급 제도’ 핵심 평가기준 살펴보니... | 2013.08.21 | ||
정보보호관리체계 구축범위, 전담조직 및 예산, 관리활동 등 평가
‘정보보호 관리등급제’는 정보보호를 위한 기업의 자발적 참여를 유도하기 위해 ISMS 인증을 취득한 기업이 ‘정보보호 관리등급’ 제도를 신청하면 정부가 심사를 통해 ‘우수’와 ‘최우수’ 등급으로 나눠 인증을 부여하는 제도이다. 이는 기업이 제공하는 웹서비스에 대해 이용자가 안심하고 이용할 수 있는 환경을 조성하고, 기업의 통합적인 정보보호 수준을 제시하기 위함이다. ‘정보보호 관리등급제’ 고시 제정안의 주요 심사기준을 살펴보면 △정보보호 관리체계의 구축범위 및 운영기간 △정보보호를 위한 전담조직 및 예산 △정보보호 관리 활동 및 보호조치 수준 등이다.
▲ 정보보호 관리체계와 정보보호 관리등급 제도 비교 정보보호 관리체계의 구축범위 및 운영기간의 경우 정보보호 관리체계 범위를 전사로 지정하고 있는지의 여부와 정보보호 관리체계 인증을 연속 3년 이상 유지하고 있는지의 여부 등을 판단해 우수 및 최우수 등급이 부여된다.
정보보호를 위한 전담조직 및 예산의 경우 △전담조직 △전담인력 △예산 △정보보호 현황공개로 평가기준을 나누고 있다. 전담조직을 구성하고 있으면 우수 등급이 적용되며, 전담인력의 경우 전체 임직원 대비 정보보호 인력의 1년 평균비율을 0.25% 이상으로 유지하고 있으면 우수 등급이, 정보보호 인력의 3년 평균 비율을 0.5% 이상으로 유지하고 있으면 최우수 등급이 적용된다. 정보보호 관리활동 및 보호조치 수준의 경우 △ 경영진의 정보보호에 대한 의지 및 방향 △ 조직의 정보보호 목적, 범위, 책임 △ 정보보호 법적 요구사항 △ 관리적, 기술적, 물리적 정보보호 활동의 근거 등이 포함된 정보보호 정책을 수립하고 있으면 정보보호 관리활동 측면에 있어 우수등급이 부여된다.
또한, 경영진 책임 및 조직 구성과 관련해서는 경영진에게 정보보호 관련 의사결정 사항을 정리해 분기 1회 이상 정기적인 보고를 수행해야 우수 등급을 받을 수 있다. 이 외에 사후관리 측면에서는 연 1회 이상 ISMS 및 정보보호 대책의 효과성을 검토하고, 발견된 문제점과 개선안 등을 정보보호 최고책임자에게 보고할 경우 최우수 등급이 부여된다. 끝으로 보호조치 수준의 경우 정보보호정책의 재개정 내용을 최고책임자가 직접 또는 명의로 공표하고 있는지, 정보보호 실무담당자로 구성된 실무협의회를 구성하고 있는지를 평가한다. 또한, 핵심성과지표(KPI), 목표관리(MBO), 인사평가 등과 같은 기업 평가체계 내에 정보보호 활동의 책임과 역할을 평가할 수 있는 항목을 포함시켜 최고정보보호책임자(CISO)와 정보보호담당자의 활동을 평가하는지의 여부 등에 따라 등급이 부여된다. <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
[보안뉴스 김경애] 올해 연말까지 기업이 의무로 취득해야 하는 ISMS(정보보호 관리체계) 인증제도보다 한층 강화된 ‘정보보호 관리등급 제도’가 2014년 시행을 목표로 추진될 전망이다. 