DevOps는 ISMS-P와 상극이네요

어제 술자리에서 들은 이야기...

요즘 DevOps가 뜨고 있는데 ISMS-P 심사에는 항상 결함이네요.

글쎄...

CISA, CISSP 미국 놈 자격증 공부할때 개발과 운영이 분리되어야 좋은 거다고 할때는 언제고
이제와서는 개발과 운영을 함께해야 좋은 거라고 하네..

개발과 운영을 분리하는 것은 책임과 권한을 명확히 하는 것을 의미한다. 개발자가 몰래 운영 환경에 와서 소스 코드를 변경하지 않도록 통제하는 것이다.(미국은 그런 일들이 비일비재했었나보다. SOX 법까지 만들 정도면...)

DevOps는 개발자가 개발하고 운영하고 모니터링하는 환경인데... 예를 들면 추적성을 명확히 식별할 수 있다면 문제가 없지 않을까?

개발과 운영을 명확히 분리하는 이유가 책임 추적성을 위한 것이라면 DevOps도 동일한 목적을 달성하지 않나?

물런 금융기관은 다르다. 시티은행과 같은 외국계 은행은 우리나라와 다르지 않게 직무 분리를 요구하고, 망분리를 요구한다.

하지만 기만한 서비스 제공이 생명인 온라인 기업에 까지 동일하게 요구해야 할까?

명색이 전문가인 심사원인데 인증 기준에 있으니까 결함이라는 옹색한 변경 보다는 인증 기준의 의미를 고민해 보는 것도 어떨지..사실 하나의 인증 기준으로 다양한 업종과 규모를 만족하는 것은 어렵지 않을까... 하는 조심스러운 생각을 해본다.(혹은 위험한 생각일 수 있다.)

* KISA 공식적인 의견은 아니고 일개 심사원 의견임