ISMS인증제도와 ISMS인증심사원
ISMS인증제도는 기업 스스로 체계적인 정보보호 활동을 위한 관리체계가 수립되어 있는지, 그리고 관리체계가 수립되어 있다면 법적 요구사항 및 ISMS인증제도 자체의 기준을 충족하는지를 평가하고 수립되어 있는 정책, 지침에 따라 지속적인 정보보호활동을 하고 있는지를 평가하고 인증해주는 제도다.
그리고 ISMS인증심사원은 인증기준에 맞춰 정보보호관리체계를 운용하고 있는지 실사 및 평가를 수행하는 인력이다. ISMS인증심사원은 2013년 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률과 이하 시행령 및 고시에서 그 자격에 대해 명시하고 있다.
“보”를 떼다.
인증심사원 자격을 취득하고 나면 심사 참여 경력이 없기 때문에 심사원(보)의 자격을 부여한다. “보”를 떼기 위해서는 심사 참여 4회 이상과 심사일수의 합 20일을 넘겨야 하는 두 가지 기준을 모두 충족해야 한다.
2015년 신설된 필기시험을 통과하여 인증심사원 자격을 취득하고 2016년 1월 말… 드디어 첫 인증심사에 참여하게 되었다. 모 시청의 사후심사로서 3일간 진행된 심사였다. 그리고 2016년 여름과 늦가을에 두번의 인증심사(각 4일과 5일)에 참여하였고 2017년 5월, 5일로 진행되는 심사(최초심사) 2회에 참여하여 심사참여 4회, 심사일수 20일의 조건을 모두 충족시킬 수 있었다.
그 과정에서 아쉬운 점이 있었는데… 순수하게 실제 심사를 보고 배울 기회가 없이 바로 실무에 투입된다는 점이다. 심사에 참여하면 심사팀장은 인증기관(KISA, TTA, KAIT, 금융보안원)에서 담당하며 심사원은 KISA의 ISMS 홈페이지에 공고하여 모집한다. 그리고 심사팀이 구성되어 심사를 수행하게 되면 관리과정은 심사팀장이 담당하고 보호대책의 13개 분야를 나머지 팀원이 분할하여 심사를 수행하는 것이 일반적이다. 이 때 심사 경험이 있든 없든… 몇개 분야를 맡아서 심사를 진행해야 한다. 즉, 처음 심사를 나가는 심사원은 맨땅에 헤딩을 하는 상황이 발생한다.(물론 5일 간의 심사원 교육을 받기는 했지만….) 게다가 심사일정이 매우 빡빡하기 때문에 다른 심사원의 도움을 기대하는 것도 불가능하다. 때문에… 심사원(보) 때는 심사원 1명을 함께 보내 OJT 형태의 심사를 수행하도록 하는 것이 바람직하지 않을까 싶다.
어쨌든 “보”를 떼고 본격적인 인증심사 경험을 쌓기 위해 열심히 심사 참여 신청을 하고 있다.