보안뉴스에 ISMS(정보보호관리체계)에 대한 기고글입니다.
[게재 순서] ⑦ISMS(정보보호관리체계)
승인 받지 않는 외부인의 접근통제에서 승인된 내부인의 권한 오남용이 최근 보안 이슈로 떠오르고 있다.
따라서 과거와 같이 단순히 외부 보안 컨설턴트의 도움을 받아서 보안 정책을 만들고, 그에 따른 절차와 지침을 만드는 정도로는 부족하다. 이제 보안은 내부 통제의 일 부분으로 인식되어야 하며, 지속적인 관심이 필요하다.
따라서 이러한 보안 체계에 취약점을 점검하고 지속적인 개선의 노력을 제공하는 것이 바로 정보보호 관리체계(ISMS)이다. 본 글에서는 정보보호관리체계의 필요성과 구성, 인증 절차에 대해서 알아보고자 한다.
정보보호 인증체계의 필요성
정보 자산의 가치에 대해 인식하고, 보안 전문 컨설팅 업체와 협력을 통해 사내 정보보호에 대한 체계를 수립한 조직의 위협은 오히려 내부에서부터 시작된다. 초기에 정립된 절차와 표준이 시간이 지나면서 단순화 되고 잘 지켜지지 않고, 점차 사람들의 관심 밖으로 밀려나게 된다. 최근의 급변하는 경영환경이나 경기의 어려움은 정보보호에 대한 투자까지 낭비 요소로 지목되기도 한다. 그러나 적절한 보안 수준을 제공하지 못한 경우 오히려 더 큰 위험을 초래할 수 있고, 기업 가치에까지 좋지 않은 영향을 줄 수 있다. 더구나 기술의 발달과 새로운 기법의 등장으로 하루에도 새로운 보안 취약점이 발견되는 등 정보보호 책임자와 담당자는 밖으로는 기술로 중무장한 해커를 대응하랴, 내부적으로 최고 경영자를 설득하고, 업무 담당자와 협조하는 노력이 더더욱 절실해진다.
이렇게 초기에 잘 정립된 보안 체계를 주기적으로 점검하고, 지속적인 정보보호에 대한 관심을 고조하기 위한 대안 중 하나가 바로 정보보호 관련 인증이다. 따라서 정보 자산에 대한 위협에 대한 기술적인 대응 노력뿐만 아니라 지속적인 정보보호 관리를 통해 기업 내 정보자산의 무결성과 신뢰성을 확보를 위한 노력이 필요하다. 이러한 필요성으로 정보보호 관리체계(Information Security Management System, 이하 ISMS)가 필요하게 되었다. 이러한 정보보호 관리체계에는 BS7799, OSI 27001 등이 있으며, 국내에는 정보 한국정보보호진흥원 (Korea Information Security Agency : KISA)이 시행 중에 있는 ISMS 인증제도가 있다.
정보보호 인증체계 비교(BS7799와 ISMS)
| 구분 | KISA ISMS | BS7799 | |
| 시행주체 | 한국정보보호진흥원 | BSI(영국) | |
| 근거 | 정보통신망이용촉진및정보보호등에관한법률 제47조 | 민간 제3자 인증 | |
| 시행시기 | 2002년 5월 1일 | 1998년 2월 15일 | |
| 대상 | 정보통신서비스제공자, 물리적 시설제공자 및 정보통신망을 운영하는 민간사업자 | 공공, 민간 전분야 | |
| 인증 체계 |
인정기관 | - | UKAS (The United Kingdom Accrediation Service) |
| 인증기관 | KISA(현재까지는 단일 인증기관) | 7개 인증기관(BSI 등) | |
| 인증기준(표준화) | 인증심사기준(방송통신위원회 고시) TTA(한국정보통신기술협회) 표준 |
ISO 27001, 27002로 국제표준화 됨 | |
| 배경 | 국내 민간조직의 정보보호 역량강화 | 인증을 부여하여 대외 신뢰 이미지 제고 | |
| 구조 | 정보보호 5단계 관리과정 14개 통제항목, 문서화 3개 통제항목, 정보보호대책 15개 분야 120개 세부통제항목 | 10개 관리통제영역, 36개 통제목적, 127개 통제사항 | |
| 심사원 | KISA 정보보호전문가, 전산 감리사, IT 업체 실무자 위주로 심사원 구성 | 정보보호전문가는 아니지만 국제수준(ISO)의 심사원 | |
| 심사방법 | 간략한 문서심사와 실제 원격 취약점분석 및 모의해킹(신청기관 요청시) 등 기술심사 | 문서심사 및 현장확인 | |
정보보호 인증체계의 심사 대상과 기준
ISMS인증제도는 국가 정보통신망의 안정성을 확보하고 조직의 정보자산을 보호하기 위해 기술, 관리, 물리적 정보보호대책을 구현하여 지속적으로 관리 · 운영하는 종합적 시스템이다. 따라서, ISMS 인증제도란 정보통신서비스제공자, 정보통신서비스를 위해 물리적 시설을 제공하는 자, 민간사업자 등 인증대상기관이 수립․운영하고 있는 ISMS의 기술, 물리, 관리적 정보보호대책이 인증심사기준에 적합한지를 한국정보보호 진흥원이 객관적으로 평가하여 인증하는 제도이며 정보통신망이용촉진및정보보호등에관한법률 제47조에 근거를 두고 있다.
[그림] 정보보호관리체계의 필요성 : 산발적인 대응에서 체계적인 대응에 의한 통제의 구조화가 필요하다.
출처 : 한국정보보호진흥원
정보통신망법 제47조제1항에 따라 인증심사 대상은 정보통신서비스 제공자, 정보통신서비스를 위한 물리적 시설을 제공하는 자, 그 밖에 정보통신망을 운영하는 자로서 대통령령이 정하는 자로 규정하였다. 즉, 기간, 별정, 부가통신을 위한 전기통신사업자로 등록된 회사나 IDC(인터넷 데이터 센터)와 같이 네트워크나 서버 등의 통신시설을 관리하는 조직 등은 기본적으로 인증대상이 될 수 있으며, 사실상, 인터넷과 연동된 정보통신망을 운영하는 사업자는 대부분 ISMS 인증의 대상이 된다고 볼 수 있다.
ISMS 인증심사 기준은 정보보호 5단계 관리과정 요구사항 14개 필수항목, 문서화 요구사항 3개 필수항목, 정보보호대책 15개 분야 120개 세부항목 총 137개 항목으로 구성되어 있다. 즉, ISMS 인증을 받기 위해서는 위의 3가지 요구사항을 만족해야 한다. 첫째로 5단계 정보보호관리과정에 따라 ISMS를 수립하고 운영해야 하며 둘째로 ISMS 수립과 운영에 관련된 사항을 관련자들이 쉽게 이용할 수 있도록 문서화해야 하고 셋째로 위험분석을 통해 필요한 통제사항을 선정하고 이에 해당하는 정보보호대책을 구현하고 운영해야 한다.
[그림] 정보보호관리체계 인증 심사기준 : 5단계 과정과 15개 통제 분야가 있다.
ISMS는 정보보호정책 수립, ISMS 범위 설정, 위험관리, 구현, 사후관리의 5단계 과정을 거쳐 수립, 운영된다.
[그림] 관리 과정은 일회적인 단계가 아니라 지속적으로 유지 관리되는 순환 주기의 형태를 가진다.
출처 : 한국정보보호진흥원
정보보호대책 요구사항으로. ISMS 인증심사 기준에서는 15개 통제분야에 대하여 120개 통제사항을 제시하고 있다. ISMS를 수립하기 위해 15개 통제분야 120개 통제사항을 모두 구현해야 하는 것은 아니다. 위험분석을 통해 조직이 수용할 수 없을 정도의 위험이 식별되고, 통제를 구현하여 이 위험을 적절한 수준으로 감소시키기로 결정했다면 해당위험에 대한 통제를 15개 통제분야 120개 통제사항 중에서 선택하면 된다. 다만 120개 통제사항 중 선택하지 않은 통제사항의 경우에는 인증심사 시 미선택 사유의 적정성을 검토하게 되므로 선택하지 않은 구체적인 사유를 밝혀야 한다.
| 통제분야 | 세부통제사항 | 통제사항 수 |
| 1. 정보보호 정책 | 정책의 승인 및 공표, 정책의 체계, 정책의 유지관리 | 5 |
| 2. 정보보호 조직 | 조직의 체계, 책임과 역할 | 4 |
| 3. 외부자 보안 | 계약 및 서비스 수준협약, 외부자 보안 | 4 |
| 4. 정보자산 분류 | 정보자산의 조사 및 책임할당, 정보자산의 분류 및 취급 | 4 |
| 5. 정보보호 교육 및 훈련 | 교육 및 훈련프로그램 수립, 교육훈련의 시행 및 평가 | 4 |
| 6. 인적보안 | 책임할당 및 규정화, 직원의 적격 심사, 주요직무 담당자 관리, 비밀유지 | 5 |
| 7. 물리적 보안 | 물리적 보호구역, 물리적 접근통제, 데이터 센터 보안, 장비보호, 사무실 보호 |
12 |
| 8. 시스템개발 보안 | 분석 및 설계, 구현 및 이행, 변경관리 | 13 |
| 9. 암호통제 | 암호정책, 암호사용, 키관리 | 3 |
| 10. 접근통제 | 접근통제 정책, 사용자 접근 관리, 접근통제 영역 | 14 |
| 11. 운영관리 | 운영절차와 책임, 시스템 운영, 네트워크 운영 및 문서 관리, 악성소프트웨어 통제, 원격 컴퓨터 및 원격 작업 |
22 |
| 12. 전자거래 보안 | 교환합의서, 전자거래, 전자우편, 공개서버의 보안관리, 이용자 공지사항 | 5 |
| 13. 보안사고 관리 | 대응계획 및 체계, 대응 및 복구, 사후관리 | 7 |
| 14. 검토, 모니터링 및 감사 | 법적 요구사항 준수 검토, 정보보호정책 및 대책 준수 검토, 모니터링, 보안감사 |
11 |
| 15. 업무연속성 관리 | 업무연속성 관리체계 수립, 업무연속성 계획 수립과 구현, 업무연속성 계획 시험 및 유지관리 |
7 |
[표] ISMS 인증심사기준 15개 통제분야
정보보호 인증체계의 심사 대상과 기준
누구든 평가를 받는 것을 좋아할 사람은 없을 것이다. 하지만 내부 정보보호 담당자의 입장에서 외부의 객관적이고 독립적인 전문가들의 의견을 구할 수 있고, 지속적인 내부 보안을 강화할 수 있다면 충분히 가치 있는 일이 될 것이다. ISMS인증에 대해서 더 많은 정보가 필요하다면 한국정보보호진흥원 사이트 (www.kisa.or.kr)에서 정보를 찾아 볼 것을 권한다. 최근 인증 업체의 모범 사례집을 다운받아 인증 효과와 인증 수행을 통해 발견된 기업의 취약점 수준도 확인할 수 있다. 또한 플래시로 구현된 ISMS인증 가이드로 다운받을 수 있어 관심있는 정보보호 담당자에게는 좋은 자료가 될 것이다.
| 구분 | ‘01 | ‘02 | ‘03 | ‘04 | ‘05 | ‘06 | ’07 | ’08 | 합계 |
| KISA-ISMS | - | 1 | 6 | 18 | 9 | 4 | 8 | 10(5) | 56 |
[그림] 2008년 인증서 발급 현황(2008년 9월말 기준)
참고자료 및 출처
http://www.kisa.or.kr/isms.html
http://café.naver.com/ekisa
[필자 약력]
-기고자: 유 지 호 기술사/감리사
-정보시스템 감리법인 ㈜프라임에이엔씨 수석 컨설턴트 재직 중
-라이지움 교육센터 전임 강사
-서울디지털대학교 컴퓨터 공학과 초빙교수
-(사)한국정보시스템 감사통제협회 회원
글·유지호(정보처리기술사/정보시스템감리사/ISMS인증심사원/ newzio@naver.com)
'정보보호관리체계(ISMS-P)' 카테고리의 다른 글
| [KISA] '22년 ISMS-P 인증심사원 온라인 워크숍 만족도 조사 (0) | 2022.07.16 |
|---|---|
| 2022년 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증심사원 자격검정 시행공고 (1) | 2022.07.16 |
| 위험 분석 실습 예시 (0) | 2022.07.04 |
| '정보보호 공시 의무화' 앞두고 업계 '술렁' (0) | 2022.06.21 |
| [KISA] '22년 ISMS-P 인증심사원 온라인 워크숍 안내(6.28화) (0) | 2022.06.21 |