[ISMS] 내가 만일 ISMS 담당자라면 - 1.보안 거버넌스

이번에는 시리즈를 연재하려고 합니다.
이미 ISMS 관련 도서가 있긴 한데 기존 심사원 교재를 참고한 정도입니다.

그 동안 많은 기업들 인증 심사를 참여하면서 느낀 점을 남겨볼까 합니다.
컨설턴트나 담당자의 입장이 아니라 심사원으로 많은 사례를 보면서 내가 담당자라면 어떻게 할 것인가...

어찌보면 맥주에 노가리까면서 할만한 이야기를 하고자 합니다.

다만 관련 법령에 의하면 심사기간 중 지득한 내용은 외부 유출을 금지하고 있습니다.
그러나 심사원의 역할이 꿀벌이 꽃가루를 퍼트리는 것처럼 각 기업의 잘된 사례를 알리는 것도 인증제도의 품질을 올리는데 기여할 것이라고 판단됩니다.

혹시 어? 이 사례는 우리 회사이야긴데 하겠지만 서로 다른 기업이라고 해도 통신사나 금융사는 그들 나름대로 유사한 점이 많기 때문에 특정 기업을 대상으로 하지 않을 것입니다.

첫 번째 이야기로 보안 거버넌스에 대해서 다루려고 합니다.
ISMS와 관련 없을 것같지만 보안 업무를 담당하는 입장에 중요한 사항이고 인증의 근간이 되기도 하기 때문에 꼭 언급을 해야 합니다.

만약 소속조직에서 보안 사고가 발생했다고 한다면 그 책임은 보안 담당자에게 있을까요? 아니면 경영진에게 있을까요?
아무래도 1차적인 책임은 담당자에게 있겠지만 경영전반에 대한 책임은 경영진에게 있다고 봐야겠지요.
사실 둘 다 책임입니다. 그런 좀 보안담당자 입장에서는 억을하죠
내가 원해서 한 일도 아니고 인사명령 받아서 할 수 없이 하는데 책임까지 지라면 어쩌란 말이냐 할 수 있을 것입니다.
경영자 입장에서는 내가 전문 지식이 없어서 채용했는데 사고 난 책임까지 내가 질 순 없다고 할 수 있습니다.

그래서 거버넌스 개념이 필요합니다.
거버넌스는 행정학 용어로 통지구조의 일종인 협치에 해당합니다.
다수에 의해서 통치하고 상호 견제하는 통지 구조입니다.

보안담당자는 전문지식을 가지고 조직에 필요한 프로세스와 장비를 관리합니다.
그래서

우리 회사는 보안에 관심이 없어서 보안장비를 구매하겠다고 기안 올려봐야 소용없어.. 라고 합니다.

그럼 큰 일 납니다. o_O

 

보안 담당자로써 사내 보안을 강화하기 위한 제안을 할 책임이 있으며

담당 임원은 보안 담당자의 제안에 의사결정할 책임이 있습니다.

 

따라서 보안담당자가 올바른 의사결정을 위해 정보를 제공했지만 경영진의 잘 못된 의사결정이 있는 경우 경영진의 책임이 되며,

반대로 보안담당자가 잘 못된 정보를 제공해서 잘 못된 의사결을 하는 경우 그 책임은 보안 담당자가 가지는 것입니다.

보안담당자라고 해도 예산과 조직에 대한 지원을 할 책임은 경영진에게 있기 때문입니다.

- 개정된 ISMS 심사 기준에도 경영진의 참여가 명시된 이유입니다.

 

따라서 무조건 기안을 올려야 하며, 거절된 내용이라도 반드시 보관해야 합니다.

보안 사고 발생시 보안담당자의 책임이 감경되는 이유입니다.

 

사실 보안 사고가 나면 보안 담당자에게만 책임을 물을 것이 아니라 예산을 배정하는 총무팀이나 인력을 관리하는 인사팀도 포함해야 한다고 생각합니다. 여력이 부족하다고 보안 예산을 배정하지 않거나 적은 인력을 배정하고 제대로된 보안을 수행하라고 하는 것은 억지가 아닌가 합니다.

 

회계 담당자와 인터뷰하다 보면 꼭 여력이 없다기 보다 당장 필요하지 않으면 예산을 배정하지 않으려고 하는 것같습니다.

보안 교육을 받을 사람들은 바로 경영진과 예산 담당자, 인사 담당자입니다.