최근 ISMS 인증 의무 대상 범위가 비ICT 및 비영리 기관으로도 확대되면서 ISMS(정보보호 관리체계)인증에 대한 관심이 연일 뜨겁다. 한국인터넷진흥원이 발표한 ‘2016년 정보보호 10대 이슈’ 중 하나로 선정되기도 했고, 정보자산의 안전확보 및 정보보호관리 인식 제고 등의 이유로 ISMS 인증을 받고자 하는 곳이 늘고 있기 때문이다. ISMS가 이슈가 되면서 매년 KISA에서 발표하는 인증심사 주요 결함 목록도 더불어 관심을 끌고 있는데 심사 과정이 복잡한만큼 사전에 철저히 결함 항목을 대비하며 관리하는 것이 중요하다.
2016년 3월 발표된 ‘2015년 ISMS 인증심사 주요 결함 목록’ 중 ‘보안시스템 운영’과 ‘정보자산 식별’은 매년 결함 목록 상위를 차지하고 있는 항목이다. ‘보안시스템 운영(125건)’을 보면 보안시스템 유형별로 관리자 지정, 룰셋 변경, 이벤트 모니터링 등의 운영절차 확립 및 관리가 필요하며, 이 결함은 관리자 IP/MAC 접근통제 및 룰셋 관리 정책 확립과 로그 이벤트 모니터링을 활용해 해결할 수 있다.
‘정보자산 식별(120건)’의 경우에는 정보자산 이력을 관리하는 과정에서 조사 및 식별, 분류 및 등록, 가치 평가 등 여러 취급 절차 관리가 필요하다. 분류기준을 수립하고, 자산 분류를 주기적으로 갱신 및 관리한다면 결함 항목에 대해 적절한 조치를 취할 수 있다고 보이지만 쉽지는 않다는 의견이 많았다.
이너버스(대표 이을석)의 경우에도 인증 심사를 준비하는 고객사에서 통합로그관리솔루션 로그센터(LogCenter)를 도입하며, ‘정책 확립 부재, 식별 누락’과 같은 ISMS 결함을 대비하는 과정이 어렵다는 고충을 다양한 분야에서 자주 들을 수 있었다. 이러한 어려움 해결을 위해 이너버스는 로그관리가 포함되어 있는 운영보안과 정보자산 식별을 통합적으로 할 수 있도록 새로운 2가지 방안을 제시했다.
담당자가 직접 유형, 무형의 정보자산을 등록하고, 기밀성, 무결성, 가용성에 따른 중요도 평가를 기준으로 가치 등급을 구분 지을 수 있다. 이를 통해 등급별 정보자산 수를 바로 파악 가능하여, 자산분류 및 등록 항목을 조금 더 수월하게 관리할 수 있다. 또한, ISMS 심사 인증에 필요한 자산목록표에 기록된 자산식별대상을 가시적으로 토폴로지 맵을 통해 표현할 수 있다는 특징을 가진다.
ISMS 운영 현황에 대해 관련 사항을 인증 심사 단계별, 담당자별 등 카테고리화하여 공유할 수 있기에 관리 절차를 명확히 구분지을 수 있으며, 유관부서와의 협업도 할 수 있다. ISMS 심사 후에도 관리 절차 변경 등의 이슈가 생긴다면 히스토리를 기록할 수 있다. 그렇기에 사후/갱신 심사 시, ISMS 협업에서 기록한 내용을 증적자료로도 활용할 수 있어 주요 결함항목을 제대로 준비했는지 재확인할 수 있는 역할을 한다고 볼 수 있다.
통합로그관리솔루션 로그센터의 새로운 ISMS 관련 기능을 통해 기존의 로그분석, 개인정보 접속 모니터링 등의 활용 뿐만 아니라 정보자산 관리 효과까지도 증대된다는 점과 IT 자산 관리 시간과 비용이 감소할 수 있다는 기대효과가 있다.
이너버스 한준철 총괄 본부장은 “기업의 정보보호는 소요 비용이 아닌 핵심 경쟁력 강화를 위한 투자 비용이다. 이런 인증을 통해 일회성이나 부분적 관리가 아닌 지속적으로 보안 관리를 지향한다면, ISMS 인증과 같은 심사제도도 대응할 수 있어 전사적 보안 수준이 한층 더 높아질 것으로 보인다.”고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★