ISMS는 “정보보호관리체계(Information Security Management System)”이다. 즉 조직(기업 혹은 공공기관 등)의 정보서비스를 수행하는 시스템과 정보(Information 혹은 Data)를 보호하기 위한 전체적인 정보보호시스템을 체계적으로 구축하고 문서화하고 운용하기 위한 체계다.
그리고 ISMS 인증은 독립된 제3자가 조직의 정보보호관리체계를 평가하고 그 수준이 만족스러울 경우 정보보호관리체계가 잘 운용되고 있음을 인증해주는 제도다.
그렇다면 당연히 정보보호관리체계를 평가하기 위한 인증 기준이 존재할 것이다. 그리고 이 기준은 정보보안의 전반적인 이슈와 ISMS의 여러 요소들에 대한 중요도에 따라 변경이 일어나는 것이 당연하다.
그리고 ISMS 인증에 대해 공부를 하면서 이 기준이 최근에 일부 변경되었음을 알게 되었다. 어떤 자료에서는 137개 통제항목 및 446개 세부 점검항목이라고도 하고 어떤 문서에서는 104개 통제항목에 253개 세부 점검항목이라고 기록되어 있는 바람에 “도대체 뭐가 맞는거지?”라는 의구심을 가질 수 밖에 없었다.
그리고 KISA의 2013년 10월 자료인 “정보보호관리체계(ISMS)_인증_제도_안내서(13.10.8)”를 보고 인증 기준에 변경이 있었기 때문이라는 것을 알게 되었다.
정보보호관리체계 인증 기준의 변경
정보보호관리체계는 5단계의 정보보호관리과정과 13개 분야의 정보보호대책으로 이루어진다. (변경된 인증기준) 하지만 변경 전과 비교해보면 그 수가 조금 다름을 알 수 있었다.
“정보보호관리체계(ISMS)_인증_제도_안내서(13.10.8)”의 37페이지에 정답이 있었다. 관리과정이 5단계 14개항목에서 5단계 12개 항목으로 통폐합되었고 문서과정 3개 항목은 삭제 되었다. 그리고 정보보호대책도 120개 에서 92개로 통폐합 되었다.
인증기준의 주요 변경 내용은 다음과 같다.
아무래도 정보보안을 위한 경영진의 마인드가 아직은 부족하다보니 인증 기준 자체에 경영진의 책임을 강화하여 경영진의 참여를 유도하기 위해 “경영진의 책임”을 명시하고 정보보안관련 법규와 보조를 맞춰 임원금의 정보보호책임자 지정을 의무화한 것으로 보인다.
그리고 기업이나 공공기관에서 사용하는 서비스 애플리케이션의 데이터 입력에서 부터 출력, 그리고 데이터 검증은 현실적으로 인증심사원들이 짧은 기간동안 검증하기가 쉽지 않기 때문에(사실 직접 검증할 수 있는 심사원도 얼마 되지 않는다고 본다.) 삭제한 것으로 보인다.
그리고 이렇게 변경된 인증심사기준의 적용 시기도 명시하고 있었다.
변경된 인증기준을 즉각적으로 적용할 경우 구 기준에 따라 인증심사를 통과한 기업이나 조직의 어려움을 고려해 일정기간 유예를 시킨 것으로 보인다. 하지만 ISMS인증의 유효기간이 3년이고 유효기간이 만료될 경우 최초심사와 같은 갱신심사를 받아야 하므로 그 시점부터 새로운 인증기준을 적용하게 될 것 같다.
세부적인 인증 기준의 점검항목의 변화는 다음과 같다.
이걸 달달달~외워야 하는 걸까???