나는 10월 4주 차부터 정보보호 수준진단 인터뷰를 실시하고 있다. 이제 약 2/3 정도 진행이 되었는데, 진척이 되면 될수록 '과연 이게 정말 보안 수준을 반영하는 지표가 맞는가'에 대한 의구심만 커지고 있다. 그래서 내가 정보보호 수준진단 인터뷰 및 판단을 실시하며 느꼈던 문제점과 더 나은 방안에 대해 논해보고자 한다. 문제점 1. 기본 점수를 퍼준다 특정 항목이 대상 시스템에 해당하지 않는 항목이라면, 그 항목은 '해당사항 없음'으로 판단하여 점수 계산에서 배제가 되어야 한다는 게 내 생각이다. 즉, 0점 만점에 0점으로 계산해야 한다는 것이다. 허나 실상은 그렇지 않다. 예를 들어, 2.2.1 항목에서 정보자산 신규 도입 시 도입 절차를 수립하고 이행하고 있는지 여부를 따지는 항목이 있다. 그리고..
