실무에서의 환경 변화를 정책이 매번 바로바로 따라잡기란 요원한 일이다. 그렇기에 우리는 정책, 법안, 프레임워크에 지나치게 맹신을 해서는 안 되는 것이다. 그런데 단순히 변화를 따라잡지 못한다고 해서 그런 정책들을 맹신하면 안 된다고 하는 것은 아니다. ISMS-P가 2024.6.20에 새로 갱신되었다고 해서, 그것이 24년 6월의 실무적 환경을 모두 반영하는 것은 결코 아니기 때문이다. 결국 정책은 사람이 만드는 일이고, 구멍이 생길 수밖에 없다. 같은 이유에서 ISO 27001, GDPR도 마찬가지다.
그리고 여기서는 ISMS-P를 더욱 효과적으로 적용할 수 있는 방안에 대해 논의하도록 한다. 실무가 100이라고 했을 때, 기존의 ISMS-P가 50의 도움을 준다고 하면, 이를 60-70으로 올리는 것은 분명 의미있는 일이다. ISMS-P의 개선을 도모하기 위해, 우선 ISMS-P의 문제점을 짚어 보도록 한다.
① 인증 대상 기관별 인증기준 적용의 모호성
다양한 유형의 인증 개체에 동일한 인증 기준을 적용할 때 문제가 발생한다. 당연히 기관마다 차이는 있을 수밖에 없고, 각 기준은 맞춤형이 될 수가 없는 실정이다. 모든 조직에 맞춤형을 적용할 수는 없겠지만, 각 기관이 유형을 구분하여 유형에 따라 다른 인증기준을 적용함으로써 더욱 현실에 부합한 체계를 갖출 수 있을 것이다.
⑴ 공공기관: 개인정보보호법에 따른 개인정보처리자
⑵ 대기업: '중소기업 상호협력 촉진에 관한 법률'에 따른 대기업
⑶ 정보통신 서비스 제공업체: '정보통신망법'에 따른 정보통신서비스 제공자
⑷ 특별법에 따른 사업체: 업종별로 특정 법률에 따라 운영되는 사업체(병원, 학교, 공인인증기관 등)
⑸ 소기업: 중소기업기본법에 따른 중소기업 지원대상 기업
⑹ 소상공인: 소상공인법에 따라 해당하는 소상공인
② 인증 기준 관리항목의 적용 모호성
ISMS 인증관리란에 법으로 보장할 필요가 없는 요건이 포함된 조직도 있다는 문제가 있다. ISMS 인증만 취득하려는 조직에게는 불필요한 요구사항을 제외하고 인증심사를 진행하는 것이다. 개인정보보호 요구사항이 포함된 ISMS 인증기준의 개선사례는 다음과 같다.
1.1.1 경영진 참여: 정보보호 관리체계 구축 및 운영체계 구축
1.1.3 조직: 정보보호의 효과적인 이행을 위한 효과적인 조직 구성 및 운영
1.1.4 설정범위: 문서 정보 처리 작업, 조직, 자산 및 물리적 위치
1.1.6 자원할당: 정보보호 분야의 전문성을 갖춘 인력 확보
1.2.2 상태 및 흐름 분석: 정보처리현황 분석
1.4.1 법적 요구사항의 준수 여부 검토: 정보보호 법적 요구사항의 준수여부를 지속적으로 검토
2.1.2 조직유지관리: 정보보안과 관련된 역할과 책임 부여
2.3.2 외부계약담보: 계약의 정보보호 요구사항 파악 및 표시
2.3.3 외부인 보안관리: 계약에 명시된 정보보호 요구사항 준수
2.6.4 데이터베이스 접근: (삭제)
2.8.1 보안 요구사항 정의: 정보보호를 위한 법적 요구사항과 같은 보안 요구사항 정의
③ 인증 심사 시 적용되어야 할 법률의 불명확성
ISMS를 의무적으로 받아야 하는 기관과 의무가 없는 기관 간에 적용되어야 하는 법이 다르다는 문제가 발생한다. 인증심사 시 인증 대상기관이 따르는 특별법의 근거에 따라서만 ISMS 운용 여부를 심사한다면, 실제 적용하지 않는 법에 의한 결함으로 인해 보완 조치를 해야 하는 불필요한 상황을 제거할 수 있다.
개선된 ISMS-P 인증기준을 인증심사 시 적용하게 되면, 현행 제도 운영 시 나타나는 인증 대상기관별 인증기준 적용의 모호성, 인증기준 관리 항목의 모호성, 인증심사 시 적용해야 하는 법의 모호성이 개선될 것이다. 이를 통해 각 기관은 더욱 합리적인 관리체계를 운영할 수 있을 것이다.
'보안 > 논문' 카테고리의 다른 글
| MZ세대 특성을 고려한 보안 교육용 컨텐츠 제작 방안 (0) | 2024.06.24 |
|---|---|
| 정보보안 정책, 기술, 그리고 커뮤니케이션 불확실성의 영향: 정보보안 역할 정체성의 역할 (0) | 2024.06.17 |