“인증을 쉽게 받을 수 있는 방법이 있나요?"
ISO27001 인증을 준비하는 기업 담당자과 이야기를 나누면 위와 말을 종종 듣게됩니다. 우선 결론부터 말씀드리면 (불행하게도…) 그런 방법은 없습니다. 하지만 각각의 업무를 좀 더 쉽게 할 수는 있습니다. 인증 준비에 어려움을 겪고 있는 담당자를 위해, 16가지 팁을 의역하여 정리하였습니다.
< 원활한 ISO27001 이행을 위한 16가지 체크리스트 >
1. 경영진의 지원을 득하라
경영진의 지원을 받아야하는 하는 것은 당연해 보이지만, 보통은 심각하게 고려되지 않습니다. 즉 경영진과 별개로 전산팀이 개별적으로 진행하면 되지 않나 라는 생각을 하는 조직이 많습니다. 그러나 경험상으로 이것은 ISO27001 프로젝트가 실패하는 주 이유입니다. 프로젝트를 수행하기 위해 필요한 예산 및 인력등을 원할히 제공받기 위해서는 경영진의 지원이 반드시 필요합니다. (참고)
2. 하나의 프로젝트로 인식하라
ISO27001는 다양한 업무, 많은 사람들으로부터 복잡하게 수행되는 복잡한 이슈입니다. 즉 이것은 하나의 프로젝트입니다. 무엇을 해야하는지, 누가 업무를 해야하는지 언제까지 해야하는지에 관련한 명확한 계획 및 규정이 없다면, 성공적으로 ISO27001을 마무리 할 수 없을것입니다.
3. 범위를 정하라
규모가 큰 조직인 경우, 특정 부서만 국한하여 ISO27001 인증을 받을 수도 있습니다. 그로인해 프로젝트 수행히 발생할 수 있는 비용적 인력적 측면의 리스크를 줄일 수 있습니다. (참조)
4. ISMS 정책서을 작성하라
ISMS 정책서은 ISMS 에서 가장 높은 레벨의 문서입니다. 이것은 아주 디테일하지 않아도 되지만 정보보안을 위한 기본적 이슈들은 명시가 되어야 합니다. 그러면… 정책서가 아주 디테일하지 않아도 된다면, 대체 정책서는 목적은 무엇을까요? 정책서의 목적은 경영진이 무엇을 성취할지, 어떻게 그것을 통제할 것인지를 수립하는 것입니다.
5. 위험평가 방법론을 정의하라
위험평가는 ISO27001 수행 업무 중 가장 복잡한 업무 중 하나입니다. 핵심은, 1) 자산, 취약점, 위협을 식별하고 2) 이러한 위험(RISK)의 영향도, 발생가능성을 확인하며, 3) 조직내에서 수용할 수 있는 위험의 수준을 정하는 것입니다. 만약 이러한 방법론이 정확하지 않으면, 완전 엉터리 결과가 나올 수도 있습니다. (참조)
6. 위험 평가(Risk assessment) 및 위험 조치(Risk treatment)를 수행하라
수립한 위험평가 방법론을 기준으로 위험평가, 위험조치를 수행합니다. 큰 기업일 경우 몇 달이 걸릴 수도 있는 복잡한 작업이기 때문에 여러 인원이 상호협력하여 업무를 수행하여야 합니다. 핵심사항은 조직전체의 위험에 대한 큰 그림(comprehensive picture)을 이해하는 것입니다.
위험 평가 프로세스의 기본적인 목적은 수용할 수 없는 위험을 감소시키는 것입니다. 보통 Annex A 의 통제항목을 적용하여 계획을 세웁니다.
이번 단계에서는 ‘위험평가’, ‘위험조치 프로세스’와 관련된 모든 내용이 포함된 ‘위험평가보고서'가 산출되어야 합니다. 또한 도출된 잔여 위험(residual risk)에 대해서는 반드시 승인을 받아야 합니다. 승인은 별도의 공문 형태이든, 자체 문서든 상관없습니다.
7. SOA(Statement of Application) 를 작성하라
위험 조치 프로세스가 끝나면, Annex 중에 어떤 통제항목이 적용되어야 하는지 정확히 알아야 합니다. (전체 114개 통제항목이지만, 모두 해당되지 않을 수도 있습니다.) 흔히 SOA 라고 불리는 이 문서의 목적은 아래와 같습니다.
- ISO27001에서 요구하는 전체 통제항목을 나열하고
- 어떤 항목이 우리 조직에 적용되어야 하는지를 정하며, 제외한 항목의 경우 사유를 기재합니다.
- 그리고 통제목적에 근거하여 실제 조직이 어떻게 해당 항목을 준수하고 있는지 기술하는 것입니다.
또한 SoA는 ISO27001 인증과 관련하여 경영진보고 및 승인을 위한 가장 알맞은 문서입니다.
8. 위험 조치 계획을 작성하라
여기서 끝이 아닙니다. 위험과 관련해서 마지막으로 ‘위험 조치계획’을 작성해야 합니다.
위험 조치 계획의 목표는 SoA의 컨트롤을 어떻게(누가 진행할지, 언제까지 진행할지, 필요 예산은 얼마인지) 이행할지 정하는 것입니다.(다르게 말하면 도출된 위험을 어떻게 조치할지에 대해서도 필요합니다)
9. 컨트롤의 유효성을 측정하는 방안을 정의하라
실제로 많은 담당자들이 해당 항목의 중요성을 간과하곤 합니다. 요점은, ISMS 와 관련하여 수행한 것 업무들을 측정하지 않으면, 기존 목적을 달성했는지 확인할 수 없다는 것이다. 그러므로, 전체 ISMS 와 SoA에서의 각각의 통제항목 적용성에 대해 정하고 목적의 이행을 측정하기 위한 방법을 수립하라
전체 ISMS와 SoA 통제항목에 의 목적을 수립하고, 이를 평가할 수 있는 정확한 측정방법을 수립하여야 한다.
10. 통제항목 및 필수 절차를 수행하라
4가지 필수 절차와 Annex A의 통제항목을 이행하는 단계입니다. (참고) 이는 신규 기술 (혹은 장비) 관점에서 통제하는 사항 뿐만아니라, 조직내 신규부서, 신규 프로세스에도 적용이 되어야 합니다. 필요시 정책 및 절차가 제/개정 되기도 해야하며, 몇몇 인원은 이러한 신규정책을 모르거나 이행하지 않을 수도 있습니다. (그렇기 다음 단계(훈련과 인식 프로그램)가 반드시 수행되어야 합니다. )
11.훈련과 인식(awareness) 프로그램
임직원들이 신규 정책이나 지침을 모두 이행하게 하기 위해서는 가장 먼저 이것이 왜 필요한 지 명확히 설명을 하고, 필요하다면 각 정책지침에서 요구하는 내용에 대해 교육을 실시하는 것이 필요합니다. 해당 항목은 ISO 27001프로젝트가 실패하는 주요 원인중 하나 입니다.
12. ISMS 운영하라
조직내 인원에게 ISO27001가 루틴화하여 적용되도록 하는 과정입니다. 여기서 핵심 단어는 ‘증적(records)’ 입니다. 심사위원은 증적을 정말 좋아합니다. 증적이 없으면, 인증을 받아 보신 분이라면, 해당 활동이 정말 수행되었는지 증명하기가 매우 어렵다는 것을 알 수 있을 것입니다. 또한 예전에 무슨 이슈가 있었는지 모니터링 하고 싶을때 증적을 사용할 수도 있습니다. 그리고 마지막으로 특정 직원 혹은 파트너가 ISMS 에서 요구하는 대로 형식을 준수하는지 확인할 수도 있습니다.
13. ISMS 모니터링
통제 목적이 있고 이를 측정할 수 있는 방법론이 필요합니다. 특정 결과가 초기 목적과 맞는 결과인지 아닌지 확인해야 합니다. 만약 그렇지 않다면, 이는 잘못 수행된 것이며, 이를 보완하고 예방하기 위한 2차 조치가 계획될 것입니다.
14. 내부 감사
일반 임직원들인 보안을 잘 모르기 때문에, 보안에 위배된 행위를 하면서도 그 상황자체를 모르고 있는 경우가 많습니다. (반면, 보안에 위배된 행위인지 알고있지만, (아무도 터치하지 않아서) 모른체하고 하고 있는 경우도 있습니다. 그러나 이러한 문제들을 지속적으로 방치하면 조직측면에서 어떤 사고가 발생할지 모르는 일입니다.
이 항목의 요점은 이러한 감사를 통해 단순히 징계를 주는것에서 그치는게 아니라, 지속적인 내부감사를 통해 보완결점을 발견하면 이를 보완하고 예방하기 위한 다음 액션조치가 이루어져야 한다는 것입니다.(참고)
15. 경영 검토
경영진이 방화벽 설정을 해야하는 아니지만, ISMS 와 관련하여 무슨일이 발생하는지는 알아야 합니다. 경영검토회의를 통해 ISMS 와 관련한 담당자들이 그들의 책임을 완수했는지, ISMS의 결과가 요구했던대로 만족스럽게 도출되었는지 검토해야하며, 일반직원이 할 수 없는 중대한 사안에 대해 결정을 해줘야 합니다.
16. 보완(Corrective) 및 예방 조치
경영 시스템(manaement system)의 목적은 조직내 수행된 업무 중 잘못된 것 (혹은 부적합) 또는 교정된것, 예방해야할 것에 대한 모든것을 확인하는 것입니다. 그러므로 ISO 27001은 체계적인 보완 및 예방 활동을 요구합니다. 이는 부적합을 유발하는 근원은 반드시 확인되어야 하며, 그리고 이를 제거하고, 재확인하는 것을 말합니다.
Reference
