심사의원 양성교육, 가이드 배포 예정

한국정보보호진흥원은 정보보호관리체계(ISMS: Imformation Security Management System) 인증제도를 운영해오고 있다. 이는 기업에서 수립ㆍ운영하고 있는 ISMS에 대해 인증심사를 하고 인증을 부여해주는 제도이다.

ISMS란 ISO9001(품질경영시스템)과 같이 품질보증을 위한 기업내 일련의 활동 및 체계에 대한 인증과 유사한 개념으로 기업내 정보보호를 위한 일련의 활동과 관리체계에 대해 KISA로부터 객관적인 심사를 거쳐 인증을 취득하는 제도이다. ISMS는 조직에서 관리해야할 정보자산을 식별하고, 식별한 정보자산의 기밀성, 무결성, 가용성을 보호하기 위해 요구되는 기술적, 관리적, 물리적 정보보호대책을 구현하여 지속적으로 관리ㆍ운영하는 종합적인 시스템이라 말할 수 있다.

기업에서는 조직환경에 적합한 정보보호관리체계를 수립하고 적용함으로써 과거에 단편적이고 일회성으로 구현해왔던 정보보호 구현 활동을 체계적이고 지속적인 관리가 가능케하고 전사적으로 균형잡힌 정보보호 활동이 이뤄지도록 한다. 최근 들어 핵심 산업기술 및 영업비밀을 보유하고 있는 기업, 개인정보(금융정보, 의료정보, 학사정보 등)를 취급하고 있는 기업에서는 ISMS 수립에 대한 중요성을 인식하고, 주요 정보자산을 효과적으로 보호할 수 있는 체계를 마련하기 위한 다양한 정보보호 활동과 노력을 하고 있다.

ISMS 인증제도는 시행부터 2004년까지는 통신, 금융, 정보보호컨설팅 전문업체에 인증이 집중됐고, 2005년 이후 운송, 포털 등의 분야로 확대함으로써 인증 제도의 활성화를 위한 전환점을 마련했다. 2006년에는 개인정보를 대량으로 취급하고있는 포털, 금융 시스템, 콜센터 분야로 인증영역이 점차확대됐다. 특히 2007년부터 2008년까지는 진료기록, 학사정보 등 개인정보보호를 취급하고 있는 의료, 교육 분야로 인증 대상이 확대돼 주요 정보에 대한 관리의 중요성이 더욱 강조되고, 이를 인식할 수 있었던 의미 있는 해였다고 할 수 있다.

올해에는 ISMS 인증제도의 발전을 위해 인증 대상의 확대 및 홍보 강화, 실질적인 혜택 부여 방안 마련을 통한 활성화, 인증 제도의 수준 고도화 등 다양한 활동이 이어질 것으로 보인다.

민감한 학사정보를 취급하고 있는 국내 원격대학교 대부분이 인증을 신청해 심사를 받을 것으로 예상하고 있다. 더불어 의료 서비스 등 고객의 민감한 정보를 취급하는 분야와 함께 정보시스템을 이용하거나 혹은 관리해주는 서비스 분야에서의 인증 수요도 증가할 것으로 보인다. 무엇보다 ISMS 홍보 동영상 등 다양한 매체를 통해 제도에 대한 인식을 높일 수 있도록 홍보를 강화할 것으로 보인다.

인증취득 기업에게 부여하기 위한 혜택을 마련하기 위해 기관과의 협력 등 추진 방안을 마련함으로써 기업들이 실질적인 혜택을 받고, 자발적으로 정보보호관리체계를 수립할 수 있는 기반을 조성한다는 방침이다.

인증심사의 품질을 높이기 위해 심사 수행을 위한 정보보호심사원 양성 교육, ISMS 기준 개선, ISMS수립에 관심이 많거나 인증 취득하고자 하는 기업에서 쉽게 활용할 수 있는 ISMS 구현 가이드를 개발해 배포할 계획이다. 아울러 ITU-T, ISO, RAISE 포럼 등의 국제 기구에서의 표준 추진 활동을 통해 정보보호관리체계 인증 제도의 글로벌 경쟁력을 강화할 계획을 밝히고 있다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>