• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

말 많은 ‘정보보호 관리등급 제도’ 놓고 갑론을박 2013.08.22

각 항목별 심사기준, 기업의 실질적인 혜택 등 보완되어야


[보안뉴스 김경애] 기존의 ISMS보다 업그레이드된 ‘정보보호 관리등급 제도’. 이를 두고 정부, 기업, 법·제도 분야 등 각각의 전문가들이 면밀히 점검해야 할 사항과 보완사항들을 제시하며 열띤 토론을 펼쳤다.


기존 ISMS인증보다 한층 강화된 인증체계인 만큼 다양한 의견이 제시되었는데 중점으로 논의된 사항으로는 고시에 관한 용어 정리 △인증 취득에 대한 인센티브 적용 기업이 이의제기할 수 있는 시스템 구축 필요 인증 취득 시 기업에 제공될 수 있는 실질적인 혜택 △각 항목별 심사기준의 형평성 및 명확성 등이었다.  이에 본지는 ‘정보보호 관리등급 제도’ 시행을 앞두고 논의된 내용을 다음과 같이 정리해봤다.


이 강 용 미래창조과학부 정보보호정책과 사무관- 3.20 및 6.25 사이버테러가 발생함에 따라 정부차원에서 7월경 관계부처와 함께 관련 정책을 마련했다. 그러나 정책 수혜대상이 되는 기업, 개인이 스스로 나서서 정보보호를 실천하지 않으면 무형지물이 될 수밖에 없다. 따라서 정부는 기업이 자발적으로 참여할 수 있도록 유도하고, 적극 지원할 방침이다. 또한, ISMS인증을 받으면 기업에 있어 여러모로 이득이 된다고 인식할 수 있도록 유도할 계획이다.

‘정보보호 관리등급’ 제도는 국민의 알권리 측면에서 접근한 것으로, 이를 바탕으로 사용자는 기업을 선택하고, 기업은 자발적으로 참여하도록 함으로써 정보보호시장 활성화를 꾀할 방침이다.


손 태 진 법무법인 선우 변호사 -  KISA는 법률이나 시행령에 제정된 사항은 엄격하게 규제해야 한다. 다만,  법적인 측면에서 수정·보완해야 할 사항으로 각각 조항에 대한 용어의 정의나 기준을 명확히 해야할 것으로 본다. 특히, 고시 안에 대해서는 누가 봐도 오해의 소지가 없도록 용어를 정확하게 정리해야 하며 제3자가 보더라도 이해할 수 있어야 한다. 또한, 기업이 인증심사에 이의를 제기할 수 있는 절차가 고시 항목에 반드시 포함되어야 한다고 본다.   


고 규 만 한국인터넷진흥원 책임연구원 - 3.20 및 6.25 사이버테러 발생 이후, 설문조사 결과 64.2%의 국민이 정보보호의 필요성을 인식하게 된 것으로 집계됐다. 그러나 기업의 정보보안 실무에서 발생한 일들이 제대로 전달되지 않는 실정이다. 정보보호 실무담당자들은 의사소통 능력을 높여 경영자 및 임원진들에게 정보보호의 중요성이 효과적으로 전달될 수 있도록 해야 한다. 정보보호 관리등급 제도의 경우 세부적 수치, 횟수 등에 있어 기업의 의견을 수렴해 정량화시키도록 노력하고, 인증취득 시 기업 보안투자에 있어 인센티브를 확대할 수 있도록 할 방침이다.


윤 석 진 언스트앤영 상무 - 관리등급제를 시행할 때 기업의 입장에서 가장 현실적인 혜택은 보안사고 시 면책조항이라고 본다. 책임여부에 있어서도 최고정보보호책임자(CISO)에게 전적으로 책임을 지우기보다는 공동 책임이 이루어져야 한다는 생각이다. 또한, 기업 입장에서는 인증에서 탈락하면 3개월 후 다시 재신청해야 하기 때문에 시간·비용 측면에서 부담스러운 부분이 많다.

이에 대해 미달사유, 보완사항 등에 대해 미리 정보를 줘서 실행단계에서 보완될 수 있도록 하고, 제도 자체의 성격을 훼손하지 않는 범위 내에서 필수항목 외에 선택항목을 넣고, 선택항목에 대해서는 기업이 각 특성에 맞게 자율적으로 유지관리할 수 있도록 할 필요가 있다.  


김 성 훈 열심히커뮤니케이션즈 이사 - 의무사항이 아닌 정보보호 관리등급제가 활성화되기 위해서는 인센티브 외에 차별화된 혜택이 적용돼야 한다. 또 한 가지는 심사기준의 경우 전체 기업예산에서 정보보호 예산을 IT예산의 일부로 포함시키고 있는데, 이는 업무 특성에 따라 적절하지 않을 수도 있어 조정이 필요할 것으로 본다. 심사기준에 있어 보안전담인력은 전체 인력을 기준으로 하고, 보안예산은 IT 예산의 일부로 평가하고 있는 항목의 불균형을 해소해야 한다는 얘기다.  


김 정 덕 중앙대학교 교수 - 기업이 제품을 생산하는데 있어 얼마나 품질 있는 제품을 만들 수 있고 체계가 갖춰져 있는지의 프로세스로 기업을 평가하듯 등급제도 또한, 기업이 안전한 서비스를 제공하고 있는지 여부 등의 프로세스를 고려한 평가로 고객이 기업을 신뢰할 수 있도록 해야 한다.


이외에도 심사위원 자격조건 기준, 심사를 받은 기업이 이의제기할 수 있는 공식적인 채널 마련, 그리고 사용자 입장을 고려한 평가항목 등이 좀더 마련되어야 한다는 의견도 제기됐다.


따라서 이제 막 초안이 마련된 ‘정보보호 관리등급 제도’에 좀더 심층적인 분석과 보완작업이 필요할 것으로 보인다. 특히, 평가기준에 대한 면밀한 검토와 함께 정부가 추구하는 자발적 참여 취지에 맞게 기업과 사용자의 적극적 참여를 유도할 수 있는 방안 등이 고려되어야 한다는 게 각계의 의견이다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>