정보자산 보호를 위한 정보보호관리체계란 무엇일까요

1. 정보보호관리체계란 무엇인가

정보보호관리체계란 기업이나 조직에서 중요한 정보자산을 보호하고 관리하기 위한 체계입니다. 정보자산의 기밀성, 무결성, 가용성을 유지하고 보호하는 것이 목표이며 관련된 모든 일련의 정책, 절차, 기술적 및 물리적 제어를 말합니다. 인터넷 세계 속에서 정보는 계속해서 생성되고 보관되고 재창조되고 활용되며 그 양이 방대해지고 있습니다. 특히나 기업이나 조직의 활동에 수반되는 다양한 정보와 사용자의 개인정보를 포함한 모든 유형의 정보는 현대사회에서 매우 중요한 자산이 됩니다. 정보가 침해당할 경우 기업이나 조직은 법적인 제재의 대상이 될 수 있으며 막대한 금전적 손해를 입게되는 위험을 떠안게 되므로 정보보호관리를 위한 체계를 갖추고 주기적으로 관리와 감독을 하는 것은 매우 중요합니다. 

2. 정보보호관리체계의 구성

정보보호관리체계는 정보자산 분류, 위협 분석, 보안 대책 계획 수립, 보안 대책 시행, 감사 및 평가로 이루어져 있습니다. 정보자산 분류 단계에서는 기업이나 조직에서 가지고 있는 정보자산들을 중요도에 따라 분류하는 것을 말합니다. 위협 분석 단계에서는 정보자산들을 대상으로 내부 및 외부의 위협을 분석하고 측정합니다. 보안 대책 계획 수립 단계에서는 위협 분석 결과를 바탕으로 보안 대책을 수립하며, 보안 대책은 물리적 보안, 기술적 보안, 인적 보안 등 다양한 측면에서 이루어집니다. 보안 대책 시행 단계에서는 수립된 보안 대책을 시행하며 보안 정책 수립, 보안 교육 및 훈련, 보안 제어 수행 등으로 구성됩니다. 감사 및 평가 단계에서는 보안 대책이 제대로 시행되었는지 감사 및 평가를 수행하고 개선 방안을 도출합니다. 그리고 일련의 단계는 계속해서 순환하며 주기적으로 정보보호관리체계가 제대로 작동하고 있는지 반복하여 관리감독해야합니다.

 

3. 대한민국의 정보보호관리체계 인증 시스템,  ISMS

 

대한민국의 정보보호관리체계 인증 시스템은 ISMS입니다. ISMS는 정보보호를 위한 국제 표준인 ISO 27001을 기반으로 제작된 인증 시스템입니다. 여기에 개인정보 항목을 추가한 형태로 ISMS-P가 있으며 이 또한 많은 기업에서 인증받고 있는 시스템입니다. 대한민국의 인터넷진흥원(KISA) 혹은 전문인증기관이 인증심사의 주최가 되어 인증을 진행합니다. 관련 법령은 다음과 같습니다. 정보통신망법 제47조와 시행령 제47조~제54조, 시행규칙 제3조에 의하여 정보보호 관리체계 인증 등에 관한 고시가 도출됩니다. 개인정보보호법 제32조의2, 시행령 제34조의2~제34조의8을 통해 개인정보보호 관리체계 인증 등에 관한 고시가 도출됩니다. 이 두 가지를 통합하여 과학기술정보통신부와 개인정보 보호위원회 공동고시로써, 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(ISMS-P)가 탄생하였습니다. 

 

4. ISMS인증을 받는 것의 장점

ISMS인증을 받으면 다음과 같은 장점이 있습니다. ISMS는 기업의 정보보호 수준을 보증하는 역할을 합니다. 고객이나 파트너사 등 제3자가 기업의 정보보호 수준을 확인할 수 있도록 도와줍니다.  국가인증 정보보호 기업이라는 조직 이미지 향상에도 도움이 됩니다. 또한 ISMS인증을 받은 기업이나 조직이 인증을 받지 않은 조직보다 안전하게 운영되고 있다는 증빙이 됨으로써, 보다 경쟁력있는 기업으로 평가받을 수 있습니다. ISMS인증을 받으면 기업이나 조직이 지켜야하는 개인정보보호법, 정보통신망법 상 준수사항을 충족시키는데 도움이 됩니다. 또한 ISMS 인증은 정보보호 관리를 체계적으로 수행할 수 있는 구조와 절차를 제공하기 때문에 기업이나 조직 관리자가 정보보호를 효율적으로 관리하고 개선할 수 있도록 도와주는 역할을 합니다. 무엇보다 ISMS인증을 받았음에도 불구하고 보안에 구멍이 생겼을 경우, 기업이나 조직은 책임을 피할 수 있다는 장점이 있습니다. 책임은 법적 제재나 금전적 적 배상이나 손실의 문제로 이어지기 때문에 국가인증을 받아둘 경우 보안 문제에 직면할 경우에 대한 부담에 대해 보다 자유로워질 수 있게 되는 것입니다.