이 자리에서 분당서울대병원 황연수 정보보호파트장은 ‘Plan부터 Act까지, 혼자서 하는 ISO 27001 인증’을 주제로 강연을 진행했다.
황연수 파트장은 “ISO 27001 인증을 내부에서 자체적으로 취득하기 위해서는 PLAN-DO-CHECK-ACT 4 단계를 거쳐야 한다. 계획을 세울 때 우선 조직에 대한 상황 정보를 파악하고 리더십 및 의지를 가지고 정보보호 목적 및 계획을 수립한다. 그리고 운영단계에서는 운영 계획 및 정보보호 위험성 평가를 실시하고 체크 단계에서는 모니터링, 측정, 분석 및 평가, 내부감사, 경영검토를 실시한다. 마지막 ACT 단계에서는 부적합 및 개선활동, 지속적인 개선 활동이 필요하다”고 설명했다.
분당서울대병원은 2011년 전자정부 정보보호 관리체계 인증(G-ISMS) 인증을 취득하고 이후 ISO 27001과 정보보호 관리체계 인증(ISMS)을 취득했다. 모두 외부 컨설팅 없이 자체적으로 수행한 결과라 의미가 크다.
황 파트장은 “내부적인 역량으로 정보보호 인증을 획득할 수 있었던 이유는 ISM CUBE 방법론을 구축한 영향이 컸다”며 이 방법론을 적용해 국내 소프트웨어 중소기업도 인증을 획득한 바 있다.
PLAN-DO-CHECK-ACT 등 4단계 주요 내용은 다음과 같다. PLAN 단계는 계획, 준비, 범위정의, 자산식별, 관리체계 수립이다. DO 단계는 현황분석, 취약점 점검, 위험평가 등, CHECK 단계는 관리체계 이행을 위한 BCP 모의훈련, 내부감사, 정보보호 위원회 구축 등이다. 마지막 ACT 단계는 심사신청과 심사수행 단계로 구분된다.
황연수 파트장의 발표자료는 데일리시큐 자료실에 올라가 있으며 문의사항이 있다면 황파트장에게 문의하면 된다.
★정보보안 대표 미디어 데일리시큐!★