“정보보호 관리체계가 뭐지?”, “정보보호 및 개인정보보호 관리체계 인증은 어떻게 받는 거야?”

신간 ‘클라우드 환경까지 고려한 ISMS-P 인증실무 가이드’가 출간됐다. 현업 정보보안 담당자로 그리고 ISMS 인증심사원으로 오랜 기간 활동해 오고 있는 연수권·신동혁·박나룡 등 저자 이름만으로도 이 책의 무게감이 더 해진다.

이 책은 통합된 정보보호 및 개인정보보호 관리체계(ISMS-P)의 이해하고 실제 실무에서 활용할 수 있도록 구성되어 있다. 집필진은 기업에서 15년 이상 정보보호 업무 및 다양한 회사의 ISMS, PIMS 인증 경험을 수행한 내용을 기반으로 인증제도 및 정보보호 실무를 정리했다.

이 책은 정보보호를 공부하거나 ISMS-P를 공부하고 있는 학생, 현업에 종사하고 있거나, 이제 막 실무에 입문해 정보보호 업무를 수행할 분들에게 추천한다. 또한 실무 및 정보보호 인증에 대한 지식을 쌓고 싶은 보안 담당자, 클라우드 환경에서의 ISMS-P 인증 실무지식을 쌓고 싶은 ISMS-P 인증심사원 등에게 도움이 될 수 있도록 구성했다.

챕터1에서는 통합된 ISMS-P 인증에 대한 이해도를 높이기 위해서 인증제도 소개, 법적근거, 인증체계, 인증기준 등에 대해 다루고 있다.

챕터2에서는 정보보호 인증 취득하기 위해 사전에 준비해야 할 정책/지침 수립, 개인정보 및 정보서비스 흐름도 작성, 취약점 분석, 위험분석 및 평가, 정보보호 감사, 정보보호 및 개인정보보호 관리체계 운영명세서에 대해 다루고 있다.

챕터3에서는 정보보호인증 심사기준 관리체계 수립 및 운영(16개 항목), 보호대책 요구사항(64개 항목), 개인정보처리단계별 요구사항(22개 항목)에 대해 인증기준을 설명하고 각 인증항목별 인증준비사항, 실무사례, 증적자료, 심사원 중점 검토사항을 다루고 있으며, 특히 클라우드 서비스 사용시 확인이 필요한 통제항목에 대해서도 실무사례 제공하고 있다. 또한, 인증통제 분야별로 가상 시나리오를 작성하여 실제 심사와 동일하게 정책 및 지침 확인, 인터뷰 또는 실사를 통한 확인, 결함요약, 결함보고서(2종)를 사례로 제공함으로써 ISMS-P 인증의 시작부터 끝까지 모든 내용을 다루고 있다.

이 책은 각 종 IT시스템이나 정보보호에 대한 기본지식, 정보보호 인증에 대한 기본지식을 보유하고 있는 분들은 쉽게 이해할 수 있다. 또한 ISMS-P준비 절차, 각 항목별 설명, 사례, 결함 도출 및 결함보고서 작성 등에 대한 이해도를 높여 실무에 활용하거나 정보보호 인증심사원 자격 취득을 준비하는 분들에게 도움을 주는데 목적이 있다.

이 책의 특징과 주요 내용은 다음과 같다.

△입문자를 고려해 정보보호 및 개인정보보호 인증실무 제도에 대해 설명

△정보보호 인증심사 수검 준비를 위해 필요한 필수 업무에 대해 설명

△ISMS와 PIMS가 통합되면서 추가되거나 변경된 업무에 대해 설명

△통제 항목별 인증기준, 인증 준비사항, 증적자료에 대해 설명

△통제 항목별 실제 기업에서 수행하는 프로세스기반으로 실무사례 설명

△클라우드 환경에서 검토되어야 할 통제항목 설명 및 실무사례 설명

△통제 항목별 인증심사원이 중점적으로 검토해야 할 사항에 대해 설명

△통제 영역별 가상의 기업환경 시나리오를 작성하여 결함도출 및 결함보고서 작성에 대해 설명

공동저자 박나룡 보안전략연구소 소장은 “기업의 핵심 정보를 보호하기 위해 정보보호 관리체계는 선택이 아닌 반드시 구축해야 하는 필수요소다. 그러나 그 넓은 정보보호 업무영역을 빠짐없이 체계적으로 관리한다는 것은 여간 어려운 일이 아니다. 다행히 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)와 같은 체계적인 인증제도가 마련되어 있어 그나마 대략적인 업무 범위를 산정하고 내가 해야 할 업무를 정의할 수 있다”며 “그러나 특정 영역의 정보보호 업무 영역을 담당하고 있거나 실무 경험이 부족한 경우에는 전체 정보보호 업무 영역을 이해하고 실무에 활용하는 데는 한계가 있다. 이 책은 이러한 문제를 해결하는데 도움을 주고자 집필되었다”고 설명했다.

★정보보안 대표 미디어 데일리시큐!★