정보보호관리체계는 고기를 직접 잡아주는 역할이 아닌, 고기를 잡을 수 있는 방법을 마련해 줄 수 있는 가장 좋은 툴이라고 볼 수 있다. 조직의 특성에 따른 정보보호 정책을 수립, 운영하고 점검하여 개선할 부분을 개선할 수 있도록 ‘라이프사이클 프레임워크’를 제공하고 있어 조직의 보안관리 역량을 높이는데 도움이 된다. 구축된 관리체계에 대해 객관적인 제3의 인증기관에서 심사를 통해 인증을 받음으로서 내부 조직의 시각에서 찾아내기 어려운 보안 이슈를 개선할 수 있다는 점도 장점이다. 또한, 인증 받은 기업의 경우 정보보호 관리등급 부여 제도를 통해 해당 조직의 수준을 파악하고 추가적인 개선 방안도 마련할 수 있게 되었다.

현재 국내 관리체계는 ISMS, PIMS, G-ISMS로 구분되어 있어 민간과 공공 부문, 개인정보에 대해 관리체계 인증을 줄 수 있는 제도적 준비는 적절하게 이루어져 있으며, 인증에 대한 수요도 급격하게 증가하고 있는 추세다. 이에 따라, 한국인터넷진흥원과 관련 부처에서도 늘어나는 인증 수요를 충분하게 뒷받침해 줄 수 있는 구체적인 실행 방안을 마련할 필요가 있다. 관리체계가 활성화됨에 따라 구축을 필요로 하는 조직이 효과적으로 구축할 수 있도록 지원도 해야 하고, 수요에 따른 인증 수행이 이루어질 수 있는 조직체계를 정비할 필요가 있다. 현재 한국인터넷진흥원의 한 개 팀 단위에서 제도 운영을 총괄을 하고 있는 상황에서 인증 수요를 충족해 줄 수 있는지에 대해서도 검토가 필요해 보인다. 관리체계 구축을 필요로 하는 조직에게 충분한 지원이 가능할 수 있도록 조직과 예산 등의 확대를 포함한 다양하고 적극적인 노력이 필요한 시점이다.

[월간 시큐리티월드 통권 제181호(sw@infothe.com)]

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>