ISMS / 문서의 준비

문서의 준비

정보보호관리체계 인증에는 많은 문서가 필요하다.

기본적으로 인증이란 제3자가 심사를 통하여 정보보호관리체계가 인증심사기준에 적합한지를 판단하는 것이기 때문에 내부자가 아닌 외부자에게 짧은 인증심사 기간 동안에 전반적인 정보보호관리체계의 운영 현황과 적절성을 신뢰할 수 있도록 하기 위해서는 정보보호관리체계의 내용과 규정, 그리고 실행에 관한 사항이 문서로 작성되어 있어야만 한다. 또한 정보보호관리체계의 규정에 따라 관리를 수행한 결과를 역시 문서나 전자 문서 등의 기록으로 증거 자료를 남겨야만 심사원들이 인증심사기간 외에도 정보보호관리체계가 잘 운영되고 있음을 확인할 수 있다.

이러한 문서는 또한 정보보호관리체계를 운영하는 데도 필수적이다. 해야 할 사항과 해서는 안 될 사항이 문서화되고 이의 수행 및 검토 결과 역시 문서 기록으로 남지 않으면 조직의 내부자조차도 시간이 지나 여러 가지 변화가 발생할 경우 필요한 사항을 수행하지 못하게 된다.

따라서 문서화는 관리과정의 실제 수행 못지않게 가장 중요한 사항 중의 하나로서 많은 노력이 들어가야 하는 부분이다. 「정보보호관리체계 관리과정 가이드」에서 인증에 필요한 문서와 이의 작성법을 관리과정의 단계 별로 설명하고 있으므로 본 가이드에서는 인증에 필요한 기본적인 문서 목록을 간단히 설명하도록 한다.

다음의 문서는 정보보호관리체계 인증을 준비하는 단계에서 필요한 기본 문서들이다. 각 문서의 명칭은 본 가이드에서 제시한 것과 달라질 수 있다. 이들은 가장 기본적인 문서일 뿐이며 위험관리 과정에서 선택한 정보보호대책에 따라 각 대책의 구현, 운영, 검토에 필요한 문서가 추가된다.

◦ 정보보호정책서

◦ 위험분석․평가 보고서

◦ 정보보호계획서

◦ 정보보호대책명세서

◦ 정보보호관리체계 내부감사결과보고서

◦ 주요정보통신설비의 목록과 시스템 구성도

◦ 정보보호관리체계와 관련이 있는 주요문서 목록

이들 문서 각각은 다음과 같다

 

정보보호정책서

  정보보호에 관한 명확한 목표를 제시하고 정보보호에 대한 조직의 의지와 지원을 표명하는 최고 수준의 정보보호정책서가 작성되어 있어야 한다. 또한 이를 준수하기 위하여 필요한 분야별 정책, 지침, 절차, 표준 등이 체계적으로 마련되어야 한다.

위험분석․평가 보고서

  정보보호관리체계 범위 내의 정보자산을 식별하여 정보자산의 형태, 소유자, 관리자, 특성 등을 포함하는 정보자산 목록을 작성하고 이에 대한 위험을 분석한 위험평가서를 작성해야 한다.

위험평가서에는 조직에 적합한 위험분석 방법과 수행 절차, 수행 책임 등을 명시하고 자산에 대한 위험을 분석해야 한다. 또한 조직의 정보보호정책과 목표에 부합하도록 수용 가능한 목표 위험 수준을 정하고 그 수준 이상의 위험을 관리하기 위한 전략을 수립해야 한다.

  정보보호계획서

  위험관리 과정에서 채택한 대책들을 구현하기 위한 일정, 담당, 소요자원, 구현 방안 및 절차, 관련 교육 등을 구체적으로 설명한 계획서가 작성되어야 하며, 구현 후에는 구현 결과를 문서화하여 보고해야 한다.

  정보보호대책명세서

  위험평가서에서 마련된 전략에 따라 위험을 관리하기 위하여 채택한 정보보호대책과 그 구현현황을 구체적으로 명시한 정보보호대책명세서를 작성해야 한다. 이때 정보보호대책은 인증 요구사항 중 통제사항의 분류를 사용하되 구체적인 대책을 명시한다. 통제사항을 선택하지 않았을 경우 그 이유를 타당하게 명시해야 한다. 만일 인증 요구사항에 인증심사기준의 137개(관리과정요구사항 14개, 문서화 요구사항 3개, 정보보호대책 120개) 통제사항에서 제시되지 않은 통제사항을 추가하는 경우에는 통제사항의 일관성을 유지할 수 있도록 한다.

또한 명세서의 마지막 부분에 선택한 통제사항의 갯수와 선택하지 않은 통제사항의 갯수를 명확하게 표시해야 한다.

 정보보호관리체계 내부감사결과보고서

  구현된 대책들을 최소한 3개월 이상 운영하고 그 성과를 감사한 내부감사결과보고서와 감사에서 지적된 사항의 조치 결과 보고 등이 이루어져야 한다. 또한 이 결과에 따라 정보보호관리체계의 검토와 개선이 이루어질 수 있다.

  주요 정보통신설비의 목록과 시스템 구성도

  전반적인 자산 목록의 일부로서 정보통신설비의 목록과 시스템 구성도가 작성되어 있어야 한다.

  정보보호관리체계와 관련이 있는 주요 문서 목록

  이 외 정보보호관리체계에 관련된 각종 주요 문서의 목록이 만들어져야 한다. 일반적으로 포함되어야 할 것들은 다음과 같다.

 

정보보호관리체계 설명서

  정보보호관리체계 설명서에는 정보보호관리체계의 범위를 명확하게 명시하여야 한다. 이 범위는 별도의 범위서로 만들어 질 수 있다. 또한 정보보호관리체계를 수립․운영하는 방법과 절차, 정보보호관리체계 관련 주요문서의 목록, 국내․외 품질경영체제의 인증을 취득한 경우에는 그 내역을 명시한다. 또한 관련 문서를 관리하는 절차가 마련되어야 한다. 이 문서관리 절차는 별도의 문서로 만들질 수 있다.

 

정보보호 조직 및 책임 정의서

  정책에 따라 정보보호 관리활동을 체계적으로 이행하기 위하여 정보보호 조직 및 보고 체계를 구성하고 각 조직의 정보보호 책임과 역할을 보이기 위한 조직도 및 책임 정의서가 작성되어야 한다.

책임 정의서는 정보보호에 관련된 직위와 그 책임, 그리고 조직의 기존 직위에 대한 정보보호 책임을 정의하는 것이 일반적이지만 이 문서가 정확히 배포, 교육되지 않아 해당 직위에 있는 자가 자신의 정보보호 책임을 인지하지 못하는 경우가 종종 발생한다. 이를 보완하기 위해서는 직무기술서나 업무분장표를 사용하는 것이 좋다.

직무 기술서는 해당 직무 수행자가 해야 할 일상적, 정기적 및 수시 업무 책임과 보고 책임, 해당 직무 수행에 필요한 자격 및 교육 조건 등을 기록한 것이다. 이러한 직무기술서는 새로운 직원이 해당 직무에 임명될 때 자신의 역할과 책임을 이해하게 하고 자격 조건 등을 심사하거나 업무량을 파악, 조정하는 데 활용된다. 아직 국내에서는 직무에 따른 책임 구분이 엄격하게 이루어지지 않는 경향이 있어 직무기슬서가 잘 활용되지 않고 있으나, 직무기술서가 있는 경우에는 이 직무기술서에 정보보호 책임을 명시하는 것이 좋다.

직무기술서에 정보보호 책임이 명시되면 다른 업무책임과 동등한 수준에서 정보보호 책임을 인지하고 수행하기 때문에 기존의 업무 책임을 인지하고 수행중인 상황에서 별도의 책임 정의서를 보고 책임을 이해하고 수행하는 것 보다 효과적이다.

책임 정의서를 보완하는 방법으로 업무분장표도 많이 사용되고 있다. 업무 분장표는 조직, 팀 또는 팀 내 직원들에 대한 업무 책임을 표시한것으로 누가 어떤 업무를 수행할 책임을 지고 있는지를 확인하는데 사용되지만 직무기술서보다 변동 가능성이 높아 엄격히 적용되지 못하는 경향이 있다.

 

정보보호관리체계 운영에 따라 만들어지는 기록

  정보보호관리체계가 운영되는 과정에서 정보보호정책, 지침, 절차 등에 명시한 여러 가지 목록이나 대장, 일지, 로그기록 등이 생성되게 된다. 이러한 기록들은 정책이나 절차에서 명시한 바에 따라 생성, 보존되어야 한다. 또한 개별 대책의 수립 계획이나 보고문서 등 정보보호과정의 효과적인 계획, 운영, 통제를 위한 기타 문서들이 정보보호관리체계 운영기록에 포함될 수 있다.

이러한 기록 문서들은 정보보호관리체계의 운영을 확인할 수 있는 증거자료라는 측면에서 증적이라고도 부른다.

 

이외에도 정보보호관리체계를 구성하는 각 대책의 구현, 운영, 검토에 필요한 문서가 포함되어야 한다. 또한 이 모든 문서들은 제4장 제1절 인증 요구사항에서 설명한 문서화 요건을 만족해야 한다.