정보보호관리체계 인증의 필요성

정보보호관리체계는 조직의 필요에 따라 자체적으로 수립하는 것이고 인증은 인증기관에게 자발적으로 신청하여 타인에 의해 조직의 정보보호관리체계를 평가 받는 것이다. 제 3자에 의해 인증를 받으려면 그 인증기관의 요구사항을 충족시켜야 하기 때문에 결코 쉬운 일이 아니다. 하지만, 이러한 어려움에도 불구하고 제3자의 인증을 받아야 하는 이유는 무엇일까?

자체적으로 정보보호관리체계를 수립하여 운영하고 있더라도 조직 전반적인 차원에서 그 신뢰성과 효과에 대한 확신을 갖기는 어렵다. 정보보호 및 내부통제 관리에 대한 전문성을 갖고 있는 조직원은 대부분 이미 그 업무에 종사하고 있으므로 객관적인 입장에서 적절한 판단을 할 수 있는 평가자를 조직 내부에서 찾기가 힘들고 이로 인한 자체 검토는 평가의 신뢰성을 손상시킬 수 있다. 따라서 내부적인 평가만으로 대외 신뢰도를 제고하기는 힘들다.

대외적인 측면에서 정보보호 관리 능력에 대한 보증은 전자거래, 개인정보관리 등의 사업 분야에서 우수고객 및 거래 파트너를 확보하는데 중요한 요소가 될 수 있다. 그러나 조직 내부뿐 아니라 관련 외부자에게 조직의 정보보호 수준에 대한 신뢰를 제공하기란 결코 쉽지 않다. 특히 아웃소싱 등 긴밀한 관계를 맺고 있는 사업 파트너의 경우 상대 조직의 정보보호 수준을 확인하기를 원할 수 있지만 그런 요구를 만족시켜주기 위해 내부의 통제나 세부사항을 공개하기는 어렵다. 따라서 이러한 의문을 해소하고 조직의 정보보호 수준에 대한 대내외적 신뢰도를 높이기 위해서 전문적이고 객관적인 제3자에 의한 평가가 필요하다.

해외의 사례를 보면 영국을 중심으로 한 유럽에서는 BS 7799 표준을 기반으로 인증을 부여하고 이 제도를 활성화하여 장차 인증을 받은 조직 간에서만 정보를 교환하도록 하는 보안관련 무역장벽인 시큐리티 라운드(Security Round)를 구성하려는 움직임을 보이고 있다. 이러한 국제 동향에 대비하기 위해서도 정보보호관리체계 인증 제도를 통해 정보보호 역량을 강화하여 국제적 신뢰도를 향상시켜야 할 필요가 있다.