| 정보보호 투자는 기업 매출증대와 직결 | 2008.05.19 | |
글로벌 정보보호 체계 구축→신뢰도향상→매출향상 정보보호에 대한 기업의 인식과 관심이 높아지면서 ‘ISO27001┖에 대한 기업들의 관심도 증가하고 있다. ISO27001은 국제표준화기구에서 제정한 국제 보안표준규격으로 정보보호 분야에서 가장 권위있는 국제인증으로 통한다. 이 인증을 획득하기 위해서는 정보보호 관리체계 기준에서 정하는 위험관리, 보안정책, 자산분류 및 통제 등 11개 세션, 133개 항목에 대한 심사과정을 통과해야 한다. ISO27001의 11개 세션은 정보보호 정책, 정보보호 조직 및 구성, 자산관리, 인적보안, 물리적&환경적 보안, 통신 및 운영 관리, 접근통제, 시스템도입·유지보수, 침해사고대응관리, 사업연속성 관리, 준거성 등이다. 인증심사 절차는 우선 ISO27001인증을 받기 위한 조직의 정보보호관리체계 구조를 구축하고 인증기관에서 심사에 필요한 기간 및 비용을 산정, 인증심사 요청서 및 계약서 작성·제출, 인증기관에 의한 서면검토 실시, 인증기관에 의한 현장심사 실시 및 개선 권고사항 제시, 심사종료 및 인증서 발행 순이다. 인증심사에서 문서심사는 정보보호관리체계 프레임웍 검토, ISMS 범위, 위험분석 및 관리기법의 적정성, 적용성 보고서, 정보보호정책서 및 보안관련 문서 검토 등이 이루어지고, 현장심사는 구현된 ISMS의 효과성, 정보보호 정책 및 보안관련 문서 내용에 대한 준수, 인터뷰, 관찰, 이행관련 기록 확인 등으로 이루어진다.
동부하이텍은 ISO27001 보안규격을 기본으로 해 현황분석 및 위험분석을 통해 도출된 통제방안을 체계화해 1개 규정, 1개 지침서, 10개 지침서로 정보보안 정책을 설계했다고 한다. 동부하이텍의 내부효과로 기존 정립되지 않았던 정보보안체계를 ISO27001이라는 국제표준에 맞춰 적용함으로써 글로벌한 정보보호 관리체계를 수립하게 됐다. 또 수립한 정보보호 관리체계에 따라 조직이 운영되기 때문에 임직원들의 정보보호 의식이 증대되고 지속적 관리에 의한 정보보호 수준이 높아졌다. 또 동부하이텍 관계자는 “대외적으로도 정보보호관리체계 인증획득을 대외적으로 공표할 수 있게 되어 정보가 ‘안전하게 보호되고 있다’는 신뢰를 고객에게 심어줄 수 있고 비즈니스적으로 홍보함으로써 고객 신뢰도 향상을 가져오고 매출도 증대되는 것을 확인할 수 있다”고 밝혔다. 동부하이텍은 19일 열린 한국산업보안포럼 창립총회와 제1회 산업보안심포지엄에서 ISO27001을 통한 정보보안 강화를 주제로 기업의 체계적인 정보보안을 위해서는 글로벌 정보보호 인증체계가 꼭 필요하다고 강조했다. 모 정보보호 관계자도 “이제 정보보호에 대한 투자는 수익과 직결된 문제라는 인식이 기업인들 사이에서 형성되고 있다”며 “보안투자에 인색한 기업은 언젠가는 보안침해사고로 큰 피해를 볼 것이다. 최근 발생하는 정보유출 사고들도 대부분 보안투자 미비로 발생한 것들이다. 기업들의 인식변화가 필요하다”고 말했다. [길민권 기자(reporter21@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
||
 |
