ISMS-P 결함사례 고찰 #1.3 관리체계 운영

1.3.1 보호대책 구현

인증기준: 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.

 

결함사레 #1

ISMS-P 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우가 있다. '잊지말자 불조심'처럼 계속 외쳐야 한다. '잊지말자 경영진의 실질적 참여'

 

결함사레 #2

위험조치 이행결과보고서는 ʻ조치 완료ʼ로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우가 있다. 이거는 사실 놓치는 것에 고개가 끄덕여지는 사례는 아닌 것 같다. 안일함의 결과가 맞을 가능성이 크다. 그런데 결국 세부적으로 보면 다 드러나기 마련이다. ISMS-P 시험과 업무에 대해서도 알아본 바 있는데, 이런 '대충대충'을 놓치지 말라고 하는 일인 것처럼 느껴지기도 한다.

 

결함사레 #3

전년도 정보보호대책 이행계획에 따라 중·장기로 분류된 위험들이 해당연도에 구현이 되고 있지 않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우가 있다. 개인도 아닌 조직에서 계획이라는 것은 제대로 이뤄지지 않는 것이 다반사일 수도 있다. 특히 그것이 중·장기 계획일 경우에는 더욱 그렇다. 중·장기 계획이라는 것은 결코 후순위로 밀어도 된다는 뜻이 아니다. 중·장기적으로 처리할 필요가 있기 때문에 그런 것이라고 생각한다.

 

결함사레 #4

운영명세서에 작성된 운영 현황이 실제와 일치하지 않고, 운명명세서에 기록되어 있는 관련 문서, 결재 내용, 회의록 등이 존재하지 않는 경우가 있다. 현황을 늘 업데이트하는 것은 위클리 업무처럼 받아들여야 할 것이다. 이게 워낙 하나하나 따지기 쉽지 않은 영역이다 보니, 시기를 놓치게 되면 누락할 만한 요소가 정말 많기 때문이다.

 

결함사레 #5

이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나, 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우가 있다. 미이행을 했다는 것은 그만큼 미뤘다는 것인데, 보통은 합리적인 이유가 있지 않은 채로 미이행으로 귀결되었을 가능성이 높다고 본다. 합리적인 이유를 근거로 미뤘다면, 사유 보고와 후속 조치가 이뤄지지 않았다고 생각하기는 어렵기 때문이다. 결국 이행계획을 짰다면, 방치해서는 안 된다. 

 

1.3.2 보호대책 공유

인증기준: 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다.

 

결함사레 #1

정보보호대책을 마련하여 구현하고 있으나, 관련 내용을 충분히 공유·교육하지 않아 실제 운영 또는 수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우가 있다. 이런 경우가 참 비일비재할 것이다. 타부서에게 이런 보호대책은 귀찮은 것으로 치부될 수 있으니 말이다. 어쩌겠는가 이것도 전부 평가 기준에 들어간다며 좋게좋게 타일러야지 않겠나 싶다. 개인적으로 제일 힘든 것이 이용자나 같은 회사 내 직원들에게 보안수칙에 대한 준수를 요청하는 일인 것 같다.

 

1.3.3 운영현황 관리

인증기준: 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다.

 

결함사레 #1

ISMS-P 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우가 있다. 상시적인 것이면 몰라도, 주기적인 활동에 대한 현황을 정말 놓치는 것은 말이 안된다. 매일 매일 현황을 파악하는 것은 아주 중요하다. 초등학교 때 일기 숙제 있을 때 개학 직전에 몰아서 쓰던 게 생각난다. 당연히 대부분 지어서 쓰곤 했다. 며칠치를 세세하게 기억한다는 것은 도저히 불가하니 말이다. 정 업무가 바쁘더라도 최소한의 메모는 해두는 습관을 들여야 할 것이다.

 

결함사레 #2

ISMS-P 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영현황에 대한 주기적인 검토가 이루어지지 않아 월별 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우가 있다. 주기적 검토와 현황 검사는 조직의 주업무 중 하나로 계속 다뤄야 한다. 이는 ISMS-P 만을 위해서가 아니라, 조직의 보안 업무 활동을 위해서도 지속되어야 할 것이다.