ISMS / 정보보호관리체계 인증심사 기준

정보보호관리체계 인증심사 기준

정보보호관리체계의 인증심사는 정보통신망법 및 시행령에 근거하여 정보통신부가 고시한 「정보보호관리체계 인증심사기준」(정보통신부고시 제2002-22호)과 「정보보호관리체계 인증업무지침」(한국정보보호진흥원 2003. 12. 24 개정)에 따라 수행된다.

이 「인증심사기준」은 BS7799, ISO/IEC TR 13335 등 국외의 표준들을 참조하여 국내 환경에 적합하도록 보완하여 개발한 것이다. 타 유사기준은 관리적 측면을 강조하여 세부적인 구현 사항은 구체적으로 명시하지 않은 반면에 정보보호관리체계 인증심사기준은 운영 부분의 세부 사항을 보강하였다. 또한 최근의 기술 발전을 반영하여 무선 및 이동통신과 전자상거래 관련 신기술에 대한 통제사항을 보강하고 실제 활용 측면을 중요시하여, 현실적으로 구현이 어려운 요구사항은 삭제하는 등의 조치를 취했다.

또한 심사기법측면에서는 표본 추출한 시스템에 대하여 모의진단을 선택적으로 적용할 수 있게 하는 등 실무적, 기술적 심사를 강화하여 관리적 체계 뿐 만 아니라 실제적인 정보보호가 이루어지도록 하는 데 초점을 맞추고 있다.

 

인증심사 기준

이 절에서는 정보보호관리체계 인증심사의 중요한 3가지 요구사항에 대하여 간단히 설명한다.

정보보호관리체계 인증을 받기 위해서는 다음의 세 가지 요구사항을 만족시켜야 한다. 첫째는 5단계 정보보호관리과정에 따라 정보보호관리체계를 수립하고 운영해야 한다. 둘째로 정보보호관리체계 수립과 운영에 관련된 사항을 관련자들이 쉽게 이용할 수 있도록 문서화해야 한다. 셋째로 위험분석을 통해 필요한 통제사항을 선정하고 이에 해당하는 정보보호대책을 구현하고 운영해야 한다.

 

정보보호관리과정 요구사항

정보보호관리체계는 정보보호정책 수립, 정보보호관리체계 범위 설정, 위험관리, 구현, 사후관리의 5단계 과정을 거쳐 수립, 운영된다.

그러나 한번 정보보호관리체계를 수립한 것으로 정보보호가 완료되는 것은 아니다. 조직 내부의 정보 자산, 사업 내용의 변화나 조직 외부의 위협 요소의 변화 또는 새로운 취약성의 발견 등에 의하여 정보보호 환경과 그 위험은 지속적으로 변화하고 있다. 이러한 변화에 대응하여 초기 수립 시에 설정한 목표 위험 수준을 유지하기 위해서는 변화의 영향을 분석하고 새로운 대책을 선정하는 위험분석을 주기적으로 수행해야 한다.

따라서 이 관리 과정은 일회적인 단계가 아니라 지속적으로 유지 관리되는 순환 주기의 형태를 가진다. 

본 가이드에서는 인증준비 과정에 초점이 맞추어져 있으므로 정보보호관리체계 수립에 대해서는 각 요구사항의 의미를 이해하기 위한 기본적인 설명만을 제공한다.

 

문서화 요구사항

앞서 언급하였듯이 정보보호관리체계 수립 및 운영의 근거는 항상 문서화되어 있어야 한다. 이런 문서들은 이해하기 쉽게 작성되고 찾아보고 확인하기 쉽게 관리되어야 한다. 문서에 관한 요구사항은 문서화 자체에 대한 ‘문서요건’, 문서의 관리에 대한 ‘문서의 통제’, 그리고 운영 기록 관리에 대한 ‘운영기록 통제’의 3가지 사항으로 이루어진다.

 

정보보호대책 요구사항

정보보호관리체계는 정보보호에 관련된 위험을 통제하기 위한 대책을 수립하고 관리하는 체계이다. 정보보호관리체계 인증심사기준에서는 15개 통제분야에 대하여 120개 통제사항을 제시하고 있다.

이 15개 통제분야는 [표 4-3]과 같다.

통제 분야	통제사항의 수
정보보호정책	5
정보보호 조직	4
외부자 보안	4
정보자산 분류	4
정보보호 교육 및 훈련	4
인적 보안	5
물리적 보안	12
시스템 개발 보안	13
암호 통제	3
접근통제	14
운영관리	22
전자거래 보안	5
보안사고 관리	7
검토, 모니터링 및 감사	11
업무연속성 관리	7

 

정보보호관리체계를 수립하기 위해 15개 통제분야의 120개 통제사항을 모두 선택하여 구현해야 하는 것은 아니다. 위험분석을 통해 조직이 가지고 있는 자산에 대하여 수용할 수 없는 수준의 위험이 식별된 경우, 그리고 통제를 구현하여 이 위험을 적절한 수준으로 감소시키기로 결정했다면 해당위험에 대한 통제를 15개 통제분야 120개 통제사항 중에서 선택하면 된다. 다만 선택하지 않은 통제사항의 경우 인증심사 시에 그 사유의 적정성을 검토하게 되므로 불필요하거나 선정하지 않은 구체적인 사유를 정보보호대책명세서에 명시해야 한다.

 

인증심사 종류

인증심사에는 인증심사, 갱신심사, 재심사의 3가지 종류가 있다.

인증심사는 정보통신부 장관이 고시한 정보보호관리체계 인증심사 기준에 따라 조직이 수립한 정보보호관리체계가 적절하게 운영되고 있는지를 확인하는 것이다.

갱신 심사는 인증 유효기간을 연장하기 위한 심사로서 인증을 취득한 조직이 유효기간 만료일 이전에 갱신심사를 신청한 경우 수행한다. 갱신 심사의 내용은 인증심사와 동일하다.

재심사는 인증 유효기간(3년) 내에 인증 받은 정보보호관리체계 범위 내에 사무실 이전이나 사업 내용의 변경 등 중대한 변화가 있는 경우 그 변화가 인증 요건에 영향을 미칠 수 있으므로 해당 사항에 대한 심사를 다시 수행하는 것을 말한다. 인증 받은 조직은 중요한 변경이 발생한 경우 3개월 이내에 변경 사항을 인증기관에 통보해야 하며 협의를 통하여 재심사 여부를 결정한다. 재심사 결과가 적합한 경우 인증 유효기간은 재심사 결과 통보일로부터 3년간 연장된다.

또한 정식심사는 아니나 인증을 취득한 기관이 정보보호관리체계를 지속적으로 유지관리하고 있는지를 연 1회 이상 방문하여 점검하는 사후관리가 있다.

구 분	내 용
인증심사	최초로 인증을 받는 경우의 심사
갱신심사	인증 유효기간 만료 이전에 유효기간의 연장을 목적으로 실시하는 인증심사
재심사	인증 받은 정보보호관리체계 범위 내에 중대한 변경이 발생하는 경우 실시하는 인증심사
사후관리	인증 받은 기관이 정보보호관리체계를 지속적으로 유지하고 있는지 점검

 

인증심사 관점

인증심사에서 중점적으로 심사하는 관점은 세 가지로 정리될 수 있다. 첫째로 정보보호관리과정의 전반적인 적절성 및 체계성을 심사하고, 둘째로 문서화와 문서관리가 잘 이루어지는 지를 심사하고, 셋째로 위험관리를 통해 선택된 정보보호대책들이 정확히 구현되고 사후관리 되고 있는 지를 심사한다.

정보보호관리과정의 전반적인 적절성 및 체계성을 심사한다는 것은 정보보호관리체계의 수립과 운영이 적절한 절차와 과정을 거쳐 이루어지고 각 단계의 활동이 체계적으로 수행되고 있는지를 심사하는 것이다. 정보보호의 적절성이란 전문가들 사이에서도 의견이 달라질 수 있고 환경의 변화에 따라 변할 수 있기 때문에 심사하기 매우 어렵다. 따라서 어떤 순간의 정보보호가 잘 이루어졌나를 확인하기 보다는 정보보호를 운영하기 위해 적절한 조직, 절차, 방법들이 사용되고 이들이 체계적으로 관리되고 있는지를 보는 것이다. 이렇게 운영되는 경우 어느 한 순간의 정보보호 적절성은 완전하지 않을 수도 있지만 관리과정과 체계가 잘 운영되고 있다면 이를 통해 문제점이 발견되고 교정될 수 있기 때문에 장기적이고 안정적인 정보보호가 이루어질 수 있다. 이러한 까닭으로 인증심사에서는 심사 당시의 정보보호 허점을 찾아내기 보다는 정보보호관리체계의 전체적인 틀과 운영 상태를 중요하게 심사한다.

문서화와 문서관리는 바로 이러한 틀과 운영의 적절성을 판단할 수 있는 기본 요소이다. 기록과 문서체계가 없다면 한 순간은 훌륭한 전문가가 안전하게 정보를 보호할 수 있더라도 전 조직에 걸쳐 크고 작은 변화가 지속적으로 일어나고 수시로 새로운 취약점이 발견되고 있는 상황에서는 지속적으로 적절한 대응을 한다는 것은 불가능하다. 문서는 가능한 한 멋있게 만들고 실제 운영은 문서와 별개로 되는 경향이 있는데 이런 경우 문서화의 진정한 의미는 사라지고 부담만 될 뿐이다. 따라서, 문서화는 현재의 문제점을 파악하고 교정하기 위한 도구이므로 자체 완결성보다는 현황을 정확히 반영해야 한다. 그렇지 않다면 무엇이 수행되고 있고 무엇이 잘못되었는지를 찾아낼 수도, 교정할 수도 없게 될 것이다.

마지막으로 위험관리를 통해 정보보호대책들이 적절하게 선택되었는지, 선택된 정보보호대책들이 정확히 구현되고 사후관리 되고 있는 지를 심사한다. 이들 역시 중요한 심사 사항이기는 하지만 실제적인 구현 사항은 세 가지 중 가장 마지막 항목이라는 것을 유의해야 한다. 정보보호대책의 평가는 각 대책들이 가지고 있는 현재의 문제점 보다 그러한 문제점들이 발견되고 자체적으로 대책을 세울 수 있도록 관리되고 있는지에 초점이 맞추어진다.