ISMS-P 결함사례 고찰 #2.1. 정책, 조직, 자산 관리

2.1.1 정책의 유지관리

인증기준: 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제·개정하고 그 내역을 이력관리하여야 한다.

 

결함사례#1

지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우가 있다. 일관성이 없다는 것은 분명한 한 가지를 의미한다. 당연히 규칙 중 하나 이상은 패스워드 설정 규칙의 정도가 약할 수밖에 없다는 것이다. 패스워드라는 것은 분명 인증 시스템 중 가장 약한 축에 속하는 편이고, 그렇기에 일관적으로 그 정도를 가능한 높일 필요가 있다. A와 B가 있는데 B의 규칙이 더욱 편함에 치중되어 있다면, 이용자들은 B의 규칙을 선호할 수밖에 없을 것이다. 이점을 간과하지 말고, 설정 규칙에 일관성을 두는 것은 물론이거니와, 규칙의 강도에 대해서도 고민할 필요가 있을 것이다.

 

결함사례#2

정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우가 있다. 비단 보안 뿐만이 아니라, 문서화한 프레임워크와 실질적인 절차서를 다르게 여기는 경우가 빈번하다. 그사람들은 절차의 현실성을 지적하곤 한다. 물론, 서류는 FM으로 하려고 다들 작성하지만, 실제로 FM대로 행동한다는 것은 어려운 일이다. 나만 잘해서 되는 게 아니라, 조직 전체가 도와야만 하는 일이기 때문이다. 그런데 보안에서는 그걸 봐줄 수가 없다. 보안 부서가 아무리 농담반 진담반으로 일반 직원들에게 적으로 규정된다 한들, 보안 팀은 언제나 규정에 의거하여 실제 지침과 절차를 수행할 필요가 있을 것이다.

 

결함사례#3

데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 접근통제 솔루션을 신규로 도입하여 운영하고 있으나, 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우가 있다. 접근통제나 작업이력, 로깅, 검토 등은 정말 필수적인 기록이라 할 수 있다. 그렇기에 이것은 의도적인 누락이라기 보다는 실수에 가깝지 않을까 싶기는 하다. 귀찮음의 결과건, 실수건, 해당 기록을 누락하는 일은 없어야 할 것이다.

 

결함사례#4

개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우가 있다. 정책 시행 기준일은 실수로 누락하는 경우가 종종 있을 것으로 보이나, 작성자 및 승인자의 경우는 지나치게 무신경했던 것이 아닌가 하는 생각이 든다. 매번 개정과 제정 등이 있을 때 날짜와 관련자를 기록하는 습관에 대해 잊지 말아야 할 것이다.

 

결함사례#5

개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나, 이러한 변경이 개인정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우가 있다. 당장 올해 3월에도 개인정보 보호 관련 법령에 개정이 예정되어 있다. 소소한 변경사항이 있다고 하더라도, 시행문서에 미치는 영향을 검토할 필요가 있다. 물론 정기적인 검토와 별개로, 이 경우에는 특별 검토가 요구될 것이다.

 

2.1.2 조직의 유지관리

인증기준: 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다.

 

결함사례#1

내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우가 있다.최소권한, 독립성 확보 등의 이유로 인해 각 담당자마다 역할과 책임이 확실히 있어야 하는 것은 필수적이다. 이런 부분은 조직의 유지관리 항목을 제외하더라도 문제가 될 수 있으며, 이에 대한 인식의 제고가 필요하다.

 

결함사례#2

정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우가 있다. 목표, 기준, 지표에 대한 체크리스트 따위의 문서를 만드는 것이 요구되며 이때에 또 주의할 게 있다. 그 목표, 기준, 지표 같은 것들에 대해서도 매 주기마다 검토가 필요하다는 것이다. 이것을 놓치기 쉬워 결함사례에 선정되는 경우가 꽤나 있으며, 이에 대한 주의가 요망된다.

 

결함사례#3

내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가 시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우가 있다. 지침을 따르지 않은 경우가 되겠다. 지침을 무시하는 형태 역시 쉽게 찾아볼 수 있는 사안 중 하나이며, 보안에서 만큼은 지침은 유도리를 발휘할 수 없는 것임을 받아들여야 할 것이다.

 

결함사례#4

정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우가 있다. 올해에도 책임자 관련 개정이 있는 만큼, 법령의 개정에 관해서는 항상 주목하고 있어야 한다. 그리고 법령이 개정될 때마다 언제나 직무기술서와 지침에 수정할 사항이 있는지 확인하는 것은 필수적이다.

 

2.1.3 정보자산 관리

인증기준: 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립·이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다.

 

결함사례#1

내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우가 있다. 보안등급에 대한 수정을 하지 않아 결함사례로 지적되는 경우도 문제인데, 이것은 그보다 더한 문제다. 데이터 자산에만 중요도, 보안등급을 매길 것이 아니라, 문서에도 등급을 표기하는 것은 당연하게도 필수적이다. 물론, 표시를 하고 주기적으로, 혹은 변동이 있을 경우에 특수하게 그 등급에 대한 수정을 하는 작업에 대해서도 잊으면 안 될 것이다.

 

결함사례#2

정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우가 있다. 항상 기억해야 한다. 주기적인 것과 별개로, 무언가 변동이 일어날 경우에는 그와 관련된 프레임워크를 전부 검토할 필요가 있다는 사실을 말이다.

 

결함사례#3

식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나, 보안등급에 따른 취급절차를 정의하지 않은 경우가 있다. 이것도 생각보다 누락되는 경우가 있는 사례로 보인다. 보안등급이 (중)이면 어떻게 취급해야 하는지, (하)면 어떻게 취급해야 하는지, 이것을 인지하지 못하는 경우가 많다. 군대 시절이 생각나는데, 당시 나는 비밀인가 등급이 당연히 병사에서 줄 수 있는 한계에 있었음에도 불구하고, 작전과장 급이 접할 수 있는 비밀서류를 작업하기도 했고, 등급에 따라서 다르게 취급하지도 않았던 기억이 난다... 당시에는 보안에 대해 상대적으로 무지하기도 했고, 내가 할 수 있는 선에서는 한계가 분명했다는 핑계를 대본다. 그러나 내가 담당자가 된다면, 이에 대한 취급과 분류를 명확하게 하고 싶은 욕심이 있다.