ISMS - Information Security Management System 심사 후기

회사에서 신입으로 입사했을 때 첫 과제로 ISMS 심사 대비하여 관리자 페이지에 관련 메뉴들을 개발하였다.

ISMS 심사가 뭔지도 모른 채 추가해야 하는 메뉴들에 대해 기능적으로만 추가한 적이 있다.

이후 ISMS 심사 인터뷰를 옆에서 지켜보며 왜 했는지, 왜 해야하는지, 추가로 무엇을 해야 할지에 대해 많은 이야기를 들었으며, 현재 미흡한 부분에 대해 ㅎㅎ 당시 사수가 수습하려고 애를 쓰는 모습 또한 인상 깊었다.. 

( 이번 ISMS 심사 인터뷰는 왠지 내가 진행할 것 같아서... 기억을 끄집어 끄적끄적 적어보려고 한다..)

 

ISMS 대상_kisa 출처

 

 

일단 먼저, 인증 심사 절차로는

1. 우리는 인증기관인 KISA에 ISMS-P 심사심청을 한다.

2. KISA는 예비 점검과 계약을 거친 후 신청기관인 우리 회사에  심사팀을 구성한다.

3. 인증 심사팀은 신청기관인 우리 회사에 방문하여 심사를 진행한다.

4. 우리는 심사를 하며 미흡한 부분에 대해 이야기를 전달받고, 보완 조치를 거친다.

5. 보인 조치에 대한 결과 보고서를  심사팀에 제출하고, 이를 심사팀은 KISA, 인증 위원회에 심의, 의결 요청한다.

6. 인증위원회에서 의결 결과에 대해 통보하여 KISA를 통해 우리 회사로 결과를 알려준다.

 

 

 

ISMS 인증 대상에 포함되어 작년에 우리도 진행한 결과, 인증서 발급 통과를 하였고, 인증서 발급현황에서 조회가 가능하다.

노출되는 부분은 지우기.. ㅎㅎ 발급 현황을 조회해보면 대부분의 아는 기업들이 현재 다 발급을 받고있는...

 

여기서 ISMS-P란?

정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산과 개인정보 처리를 위한 수집, 보유, 이용, 제공, 파기에 관여하는 개인정보처리 시스템, 취급자를 포함하는

정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도이다.

 

 

진행하면서,, 개인정보처리에 대한 이야기를 많이 전달 받았는데,

1. 개인정보 수집 시 보호조치

2. 개인정보 보유 및 이용 시 보호조치

3. 개인정보 제공 시 보호조치

4. 개인정보 파기 시 보호조치

5. 정보주체  권리 보호

에 대해 미흡한 부분에 대해 이야기를 많이 전달 받았으며, 이를 고려하여 처리되는 업무 절차, 현재 운영 중인 웹 서비스에 대한 메뉴 구성 등 많이 개선했지만 더 해야 하는 것들에 대해 알게 되었다.

꽤나 개인정보를 보호하기 위해 업무적 절차가 늘어나고, 서비스 운영에서 이루어지는 여러 불필요한 절차라고 생각하는 것들도 많지만,, 그래도 어쩌겠나.. 해야 하는걸.. ㅋㅋㅋㅋ

실제 개선해야 하는 것들은.. 관리자 페이지 로그인 시 단순 ID/PW 는 취약, 개인정보를 보임에 있어 마스킹 처리는 필수, 관리자 페이지에서 이루어지는 모든 행위들의 정확한 내용의 로그가 필요, 개인정보와 관련된 메뉴들의 사용 권한 제한 등 여러 가지 이야기를 들었다.

이러한, 관리자 페이지를 볼 때마다 진짜 단순히 개발자로 클라이언트들이 이용하는 기능에 대한 복잡한 개발만 하는 것이 아니라 뒷단에 운영자들이 운영하고, 관리하는데 필요한 기능, 절차들도 꽤 복잡하고 이런 메뉴들 하나하나 개발해내고, 개발하는 이유에 대해 다시 한번 생각해보게 되었다. (개발과 운영은 떨어지려야 떨어질 수 없는 운명)

내가 1부터 10까지 개발한다고 하면 이러한 부분들까지 신경 써서 개발해줄 수 있을 것 같은데,,, ㅋㅋ

 

 

올해도 진행해야 할 심사이고, PIMS?라는 심사도 진행할 수도 있다고 하는데,,,

( 본인이 진행하면,, 어버버 하다가 심사하시는 분 앞에 쭈구리가 될 것 같지만,, ) ㅋㅋ 그러지 않기 위해 준비를 잘해야겠다.