ISMS / 정보보호관리체계의 수립

정보보호관리체계의 수립

인증을 받기 위해서는 제4장 제1절 인증 요구사항의 정보보호관리과정 요구사항에 따라 정보보호관리체계를 수립하고 운영해야 한다.

즉, 앞 장에서 설명한 5단계 관리 과정을 수행하여 정보보호관리체계를 수립하고 이를 운영해야 한다. 이 개략적인 과정은 다음과 같다.

첫째, 전 조직에 적용되는 최상위 정보보호정책을 수립한다. 이 최상위 정보보호정책에 근거하여 위험분석 등 정보보호를 수행하기 위한 기본적인 정보보호 조직 및 조직의 역할과 책임을 정의한다.

둘째, 정보보호관리체계를 수립할 조직 범위를 설정하고 범위 내의 정보자산을 식별한다.

셋째, 이 식별된 자산에 기초하여 위험관리를 수행한다. 위험관리는 위험관리 전략 및 계획을 수립하고, 위험을 구성하는 요소들을 분석하고, 위험의 규모를 평가하여 필요한 정보보호대책을 선택한 후, 이들을 구현하기 위한 정보보호 계획을 수립하는 5가지 세부 과정으로 이루어진다.

넷째, 정보보호 계획에 따라 정보보호대책을 효과적으로 구현하고 대책에 관련된 교육과 훈련을 진행한다. 대책의 구현에는 상세한 정보보호정책의 수립 및 관련절차 수립 등이 포함된다. 이렇게 구현된 대책은 안전하게 운영되어야 한다.

정보보호관리체계 인증을 신청하기 위한 운영기간은 최소 3개월 이상이다. 그러나 직원들이 정책과 절차를 이해하고 안정적으로 체계를 운영하기에는 3개월로는 충분치 않다. 제대로 정보보호관리체계를 운영하고 구현의 효과성을 판단하기 위해서는 각종 정책과 절차가 안정적으로 적용될 수 있도록 6개월 이상 1년 정도를 운영한 후 신청하는 것이 좋다.

다섯째, 사후관리 단계에서는 이렇게 일정 기간 운영을 하면서 정보보호관리체계를 모니터링하고 또한 그 효과성을 재검토하기 위한 감사 및 검토를 수행하여 그 결과에 따라 정보보호관리체계를 개선해야 한다. 즉, 정보보호관리체계 인증을 위해서는 정보보호관리체계의 내부감사를 수행하고 그 결과를 경영자가 검토하여 정보보호관리체계를 평가, 개선한 후 신청해야 한다. 이것은 사후 관리에 관련된 최소한의 요구사항이다.

정보보호관리체계를 수립하기 위해 필요한 구체적인 업무에 대한 상세한 설명은 정보보호관리체계 관리과정 가이드에 수록되어 있다.