[보안뉴스 김경애]  기업의 실효성 있는 사고예방 체계 마련 및 유지를 위해 2015년 정보보호 관리체계(ISMS)가 한층 강화될 전망이다.

이와 관련 미래창조과학부가 주최하고 한국인터넷진흥원이 주관한 ‘정보보호 관리체계 인증제도 설명회’가 28일 서울올림픽파크텔에서 개최됐다.

이날 설명회에서는 ISMS 사업추진현황 소개, ISMS 인증제도 운영 안내, 2015년 인증심사기관 심사계획 안내(KAIT, TTA), ISMS 구축사례, Q&A 및 설문조사 순으로 진행됐다. 

미래부 노영식 사무관은 “이번 설명회는 정보통신망법에 따라 정보보호를 위한 ISMS 인증제도의 이해도를 높이기 위해 마련된 자리로, 설명회를 계기로 ISMS 운영방안 등을 비롯해 여러 궁금증이 해소되길 바란다”고 말했다.

이어 그는 “지능화되는 사이버 위협으로 인해 정보보호 투자는 이제 기본”이라며 “기업의 정보보호 수준이 한층 향상될 수 있도록 미래부에서도 다양한 지원방안을 강구하고 있다. IT산업 뿐만 아니라 금융, 교육 등 전 분야에서 ISMS 인증이 표준 모델로 발전되도록 노력할 것”이라고 덧붙였다.

먼저 ISMS 인증제도 추진경과를 살펴보면, ISMS는 2001년 7월 도입되어 2002년 5월 인증기준 고시로 제정(정보통신부고시 제2002-22호)됐다. 이후 2012년 2월 정보보호 안전진단을 정보보호 관리체계로 일원화하는 정보통신망법이 개정됐으며, 2013년 2월 안전진단 제도가 폐지됐다. 또한, 2014년 4월 한국정보통신진흥협회가, 지난 2월에는 한국정보통신기술협회가 심사기관으로 지정됐다.

한국인터넷진흥원 지상호 팀장은 “심사원 입장에서는 어떤 기준으로 심사할 수 있는지, 심사를 받는 기업은 어떤 기준으로 인증 취득을 준비해야 하는지 알 수 있도록 할 것”이라며 “3개 인증기관의 심사팀장 간에 관점 차이를 줄이기 위해 워크샵 등을 통한 정보교류 기회를 마련할 예정”이라고 말했다.

지난 2010년 83건이던 ISMS 인증은 2011년 119건, 2012년 152건, 2013년 272건, 2014년 377건으로 2013년 이후부터 매년 급증하고 있는 추세다.

하지만 보안위협이 점차 고도화 및 지능화되고 있어 인증심사원 자질 문제와 인증심사 품질제고, 사후심사의 문제점이 지속적으로 제기되고 있으며, 이에 따라 ISMS 인증제도 역시 한층 강화될 전망이다.

이와 관련 지상호 팀장은 “인증취득을 목표로 정보보호 관리체계(ISMS)를 수립 및 구축하고자 하는 기업을 대상으로 각 운영절차별 정보보호 관리 주안점과 서식 등을 포함한 ISMS 구축·운영 가이드와 인증제도 안내서를 제공하고, 인증심사 품질제고를 위해서는 인증심사 준비단계에서 신청기관이 제출한 관리체계 명세서를 기반으로 현장 또는 서면으로 준비상태를 점검할 계획”이라고 말했다. 만약 준비가 미흡할 경우 심사일정을 연기하는 등 표준화된 인증심사 방법론을 마련할 계획이라고 덧붙였다.

또한, 인증심사원 자격체계를 더욱 강화할 방침이다. 특히, 신규심사원의 경우 경력조항 강화와 함께 8월 예정으로 필기시험이 추가되며, 실무교육(당해연도 필기 합격자)과 실기시험, 자격심의를 거치는 등 자격취득 절차를 강화할 예정이다.

필기시험 출제기준은 인증제도 이해, 인증기준 이해, 정보보호기술 이해, 정보보호관련 법률 이해로 나뉘며, 심사원 보수교육 콘텐츠를 강화해 기존 심사원의 전문성을 향상시키는 데도 만전을 기한다는 계획이다. 또한, 자격유지를 위한 보수교육은 하반기에 시행될 예정으로, 대상 심사원에게 개별 안내할 것으로 알려졌다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>