| 카드사 ISMS 인증만 받았더라도...어떻게 준비하나? | 2014.01.27 |
지난해 ISMS 인증 기업에게 배우는 보안관련 인증 획득 노하우 ‘리스크 파악·통제항목에 대한 이해 및 내부 협조’가 가장 중요해
문 부장은 “ISMS 인증을 준비하거나 심사를 앞두고 있는 기업들은 우선 인증 획득을 위한 목표와 범위를 명확히 해야 한다”면서 “우리 회사는 정보통신망법상 의무사항으로 규정된 ISMS 인증 획득으로 현행법을 준수하고 통합 보안관리체계를 구축해 보안리스크를 최소화하고자 하는 목표를 수립한 후, 경영진과 지속적인 커뮤니케이션을 통해 전폭적인 지원을 받을 수 있었고, 인증범위를 무선 서비스, 유선서비스, 융합서비스 등으로 구분한 것이 주효했다”라고 설명했다. 또한 그는 “전략적인 차원에서 수행절차와 일정을 수립하고 프로젝트 수행팀을 구성함으로써 조직을 확보해야 한다. 특히 성공적인 인증 획득을 위해서는 유관부서의 협조가 필수적으로, 최대한의 협조를 얻기 위해서는 전체 유관부서에게 현업의 입장에서 쉽게 이해할 수 있도록 구체적인 요청서를 작성해 보내야 한다”고 덧붙였다. 그리고 인터뷰 대상자를 미리 선정해 인터뷰 참여를 적극적으로 유도하고, 효율적 인터뷰 진행을 위해서 확인된 인터뷰 날짜에 대한 변경을 최소화할 것을 주문했다. 또 하나의 사례로, 지난 2012년 ISMS 인증과 PIMS 인증을 획득한 쿠팡의 신동혁 팀장은 “우리가 인증 심사를 받는 동안 컨설팅 없이 자체 인력으로 진행했다. 중요한 것은 ISMS 통제 항목을 세부적으로 쪼개서 업무에 R&R(Role&Responsibility)을 확립하고 업무 책임을 부여함으로써 업무 프로세스에 자연스럽게 흡수되도록 한 것”이라고 밝혔다. 또한 신 팀장은 “쿠팡은 기술적 부분과 관리적 부분으로 나누어 업무를 진행했고 초기부터 경영진의 관심과 CEO의 의지가 중요하다고 생각해 경영진과의 지속적 소통으로 잠재적 이슈에 대한 문제를 해결하고 적극적인 지원을 이끌어냈다”면서 “보안이 세팅 되지 않은 조직에서 프로세스와 시스템 등의 이슈는 현업부서 담당자들이 더 잘 알고 있기 때문에 현업 및 IT 담당자를 통해 이슈를 도출해 내는 것도 중요하다”고 강조했다. 즉 업무에 대한 R&R이 수립되어 업무추진 주체가 정해졌다면 법률, 영업, 서비스, 네트워크, 서버 등의 다양한 담당자들을 만나 이슈 및 현황 파악에 나서야 하며 잘 하고 있는 부분과 개선이 필요한 부분을 확인해야 한다는 것. 이를 바탕으로 개선과제에 대한 세부 활동계획을 수립해야 한다는 것. 이어서 그는 “개선이 필요한 부분에서는 법률 위반인지, 세부 활동계획에서는 적용이 용이한지, 예산 여부에 따라 경영진 의사 결정도 필요하다”면서 “내부적으로 가능한 교육이나 캠페인 등 빨리 진행할 수 있는 것은 곧바로 시행해야 한다”고 덧붙였다. 신 팀장은 “보안 인증을 효율적으로 준비하기 위해서는 리스크 식별 및 개선 작업을 최우선 과제로 삼아 통제항목을 쪼갠 후, 업무 R&R을 확립하고 책임을 부여해야 한다. 그리고 도출된 이슈에 대한 세부 추진계획을 수립한 뒤, 수립된 R&R을 바탕으로 CEO의 전폭적인 지원과 함께 현업의 협조를 받아야 한다”고 당부했다.
이러한 ISMS 인증 획득 사례에서 살펴본 것과 같이 향후 ISMS 인증을 계획하고 있거나 심사를 앞두고 있는 기업에서는 각 통제항목에 대한 이해와 리스크 파악이 무엇보다 중요하다. 또한 내부적으로는 경영진의 강력한 지원과 현업 부서와의 긴밀한 협력이 필수요소라고 할 수 있다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
이와 관련 일부에서는 카드사에서 ISMS 또는 PIMS 인증만 취득했더라도 이러한 정보유출 대란을 피할 수도 있었을 것이라는 아쉬움도 피력하고 있다.