작년에도 4월에 했으니, 올해도 4월에 할 것 같았고, 올해도 나를 참여시킬 것이 뻔히 보였다. 그래서 미리 준비를 해둔 게 있다.
아무래도 미리 준비하기에 가장 적합한 것은 교육적인 부분이었다. 정보보호 전문서비스 기업에 등재된 전문인력의 경우, 최근 1년 동안 20시간 이상의 정보보호 및 정보통신의 교육을 수료해야 한다. 컨설팅의 경우 보통 연초에는 사업이 끝나고 비수기를 맞이하면서 인원들이 많이 모이게 되는데, 나도 1월에 철수하고 나서 인원들을 많이 만나 최대한 교육에 대한 가스라이팅 아닌 가스라이팅을.. 했다. 이사님들에게도.. 했다.
본사에서 인증심사를 준비하는 것이 벌써 3번째인데, 아마 꽤나 많은 동료들은 이 인증심사를 준비하는 것을 싫어할 것이다. 그런데 나는 이게 썩 싫지는 않다. 물론 컨설팅을 나가서 새로운 환경, 새로운 과제, 새로운 네트워크 등을 접하는 것이 정말 좋은 일이기는 하지만, 컨설팅과 달리, 본사에서 인증심사를 준비하는 일은 마치 담당자의 입장에서 일을 하는 것과 같기 때문이다. 내가 나중에 담당자의 업무를 수행할 것을 고려한다면, 본사에서 인증심사를 직접 준비하는 일은 정말 필요한 일이라고 할 수 있다.
특히 이번 심사는 내가 주도적으로 준비하는 데 의의가 있다. 우선 현장실사는 급한 일이 아니니 서류심사부터 준비를 하고 있는데, 이 과정은 정말 협조와 소통이 얼마나 중요한지 느끼게 해준다.
① 교육
50명에 조금 덜 미치는 인원의 교육자료를 취합해야 한다. 이미 KISA에서 인정한 최근 1년의 기간은 지난 상황이며, 나는 몇몇 인원들이 4월 이전까지 20시간을 채우지 못할 것을 인지하고 있었다. 따라서 연초부터 이사님들을 통해 사내 교육을 요청드렸다. 사실 주임, 선임, 책임 급들은 교육을 들으라고 내가 잔소리를 하면 듣게 되어있다. 결국 교육을 하면서 성장을 해야 하는 레벨에 있고, 교육을 듣는 게 본인에게 절대 손해가 되지 않기 때문이다. 하지만 수석급 이상들은 교육에 그다지 열의를 보이기 힘든 레벨에 있으니, 최대한 강의를 해주실 것을 요청하는 게 나았다.
그런데 개인적으로 늘 불만인 게 있는데, 물론 정보보호 전문서비스 기업이지, 개인정보보호 전문서비스 기업은 아니긴 하다만, 교육에서 개인정보보호 교육을 인정하지 않는 게 정말 아쉽다. 우리가 하는 사업 중 꽤나 많은 부분은 분명 개인정보 컨설팅이며, 나도 그 부분을 계속해서 수행하고 있기 때문이다. 개인정보 쪽으로 계속해서 성장하고 싶은 마음이 크기에 개인정보 위주로 교육을 미친듯이 듣고 있는데, KISA에서 개인정보는 인정하지 않는 게 참 아쉽다. 그래서 355시간 수료밖에 적지 못하였다.
② 설비 & 자산 보유 현황
어느 사업에 들어가건, 특히 자산 식별은 최우선적으로 이뤄져야 한다. 그러나 그렇지 않은 경우가 상당히 많다. 담당자가 명확히 식별하지 못하는 경우가 생각보다 많고, 그러다 보니 사업 중간중간 계속 추가되는 경우도 많다. 그리고 우리 같은 컨설팅 업체의 경우 인원들이 모두 회사에 있는 게 아니라 출장을 자주 나가다 보니, 자산 보유 현황을 식별하는 것이 쉽지는 않은 일이다. 단순히 노트북 만을 취급하는 게 아니라, 노트북 안에 내장된 사내 고유 자산에 대해서도 모두 식별해야 하기 때문이다. 작년의 경우 600개가 넘는 자산 현황이 있었는데, 올해도 그걸 하나하나 다 따지고 있다..
설비의 경우, 상대적으로 수월하다. 물론 그렇다고 해서 중요하지 않은 영역은 아니다. 이 부분과 관련하여 작년에 지적사항을 하나 받은 것이 있기 때문이다. 이 설비 관련된 것을 보면서 느끼는 것은, 보안 회사라고 해서 보안이 철저하기는 힘들다는 점이다. 어느 회사나 결국 예산의 문제에 발목을 잡힐 수밖에 없고, 이곳도 마찬가지일 것이다. 그러나 회사 내의 취약점분석실 같은 경우는 설비를 갖추기 위해 올해 초에 경영지원팀에 미리 요청을 넣었다. 지적사항이 나왔음에도 그걸 고치지 않는다면, 그건 의지가 없다는 것으로 해석될 수밖에 없기 때문이다. 표면으로 올라온 문제를 고치려는 것은 최소한의 노력이라 생각한다.
③ 자체점검표
이것도 정말 귀찮은 일이다. 경영지원팀과의 협조가 계속 필요한 항목도 꽤나 있고, 작년에 비해 더욱 발전한 모습을 보여야 한다고 개인적으로 생각하기 때문이다. 그래서 특히 개선항목에 대해서는 사진 자료를 첨부해서 자랑(?)할 생각이다. 이런 인증심사를 받을 때마다 느끼는 게 있는데, 자랑할 게 있으면 자랑해야 하고, 칭찬받을 게 있으면 앞에서 대놓고 말해서라도 칭찬받아야 한다는 것이다. 우리가 KISA의 인증심사에 얼마나 순응(?)하는지를 보여주기 위해 여러 준비를 하고 있다.
사실 서류심사는 시작에 불과하다. 진짜는 본심사인데, 아직 본심사는 일정이 꽤나 남은 상황이기에 더욱 많은 준비가 필요할 것으로 보인다. 그 기간에 컨설팅에 투입된다면 어떻게 될지 모르겠지만 말이다..
'기타' 카테고리의 다른 글
| 개인정보 유출 = 홈페이지를 통한 공개는 바꿀 수 없는 걸까 (0) | 2025.05.02 |
|---|---|
| 개인정보 처리방침 작성지침 설명회 관련 요약 (0) | 2025.04.29 |
| 개보위 개처방 파먹기 (0) | 2025.04.02 |
| 기업 보안 담당자의 역할과 필요한 역량 소고 (0) | 2025.02.24 |
| [IDSP 2025] 제 13회 정보보호&데이터 프라이버스 컨퍼런스 방문기 (1) | 2025.02.11 |