정보보안 관련 인증-ISO27001:2013

<정보보안 관련 인증-ISO27001:2013>

정보보안과 관련된 인증과 관련된 내용에 대해서 정리해 볼까 합니다.

개인적으로 직접 진행한 인증도 있고 관련 부서와의 협조로 진행한 것도 있고, 관련된 내용만 공부한 것도 있습니다.

우선 개인적으로 직접 진행한 인증에 대해서 간략히 정리해 볼까 합니다.

국제 정보보안관리체계 인증(ISO 27001:2013)

- 해당 인증은 2005 버전에서는 총 11개의 영역에서 133개의 통제항목을 만족해야 했으나 2013 버전으로 변경되면서 총 14개의 영역의 114개의 통제항목을 만족해야 하는 인증입니다. 국제 표준 인증으로 ISO 에서 제정하여 진행하는 인증으로 국내 인증업체도 있으며 국제적으로 유명한 인증업체도 있습니다.

ISO 인증은 필수적인 인증은 아니지만 해당 14개의 영역이 기업에서 기본적으로 지켜야 할 보안 관리체계에 해단 전반적인 영역을 체크할 수 있는 인증으로 많은 기업들이 인증을 받거나 요구하는 인증중에 한 가지입니다.

국내의 많은 기업들이 해당 인증을 시작으로 ISMS 등의 인증을 많이 받는데 물론 그렇지 않은 곳들도 있습니다. 이유로는 제가 알기로 국내 ISMS 인증도 ISO 인증을 어느 정도 차용하여 국내만의 인증으로 발전시킨 것으로 알고 있습니다.

해당 인증은 최초 인증 획득 이후 매년 1회 사후 인증을 진행해야 하며, 3년에 한 번 갱신 심사를 진행해야 합니다. 그리고 혹시 사업장의 이동이나 확장 등의 이슈가 있을 경우 확장 심사도 진행해야 합니다.

인증은 정식 심사원 자격을 갖춘 인원이 진행을 하며 기업의 크기게 따라 다르지만 보호 작으면 1명 많은 명 2~3명의 인원이 2~3일의 기간 동안 심사를 진행합니다. 개인적으로 심사 대응을 진행해 본 결과 심사의 초점은 보안에서 가장 기본이라고 할 수 있는 부분에 대해서 확인을 많이 하는 편이었습니다.

 

기억이 나는 부분은 기본적으로 신규로 등록되는 자산에 대한 위험평가 및 해당 위험에 대한 진행을 어떻게 하고 있는지에 대한 증적 확인,  각 부서의 보안 담당자들과 임직원들의 보안 인식 수준이 어떤지 인터뷰를 통하여 진행하였습니다.

그리고 기본적인 시스템에 대한 보안 설정 등을 확인하였습니다. 과거 근무하였던 회사에서 월 1회 신규 입사자에 한해서 보안교육을 필수적으로 진행하고 보안 교육을 받을 것에 대한 서명을 받고 있었습니다. 필수 교육이었기 때문에 교육을 받지 않으면 수습 평가가 진행되지 않았었습니다.  한 직원이 심사 기간중 휴지통에 이력서를 버린 것이 적발되어서 심사원이 해당 내용에 대한 교육을 받은 적이 없는지에 대한 문의 사항에 대해서 해당 직원은 당당히 교육을 받은 적이 없다고 하여 지적을 받은적이 있었습니다. 제가 분명히 교육을 한 것을 기억하는데..

그래서 차후 관련된 내용에 대해서 어떻게 조치를 취할 것인지 해당 직원에 대해서는 어떻게 처리를 할 것 인지애 대해서 논의를 한 적이 있었습니다.

이처럼 ISO 인증 심사는 기술적인 부분도 보지만 회사 내부에서 기본적으로 지켜져야 할 사항에 대해서 제대로 운영이 되고 체계적으로 관리가 되고 있는지에 대해서 좀 더 중점적으로 진행이 되었었습니다.물론 심사원에 따라 진행 방식이 많이 차이가 있을 것이라고 생각됩니다.

관련 심사를 진행하기 위해서는 심사원 자격이 있어야 하며 심사원 자격은 약 2박 3일간의 교육 및 시험을 통하여 심사원(보) 자격이 주어지고 10일이상의 심사 참관과 2회 이상 직접 심사 진행과 보고서 작성을 해야 하며, 관련된 선임 심사원의 추천이 있어야 심사원 자격이 주어지는 것으로 알고 있습니다.