[ISMS] 정보보호 조직 + 예산 (개인공부)

요약

• 모든 목록 중에서 가장 먼저 선행 되어야 하는 업무이다.
• ISMS 심사를 진행하기 위해서는 정보보호 활동을 진행할 수 있는 조직이 반드시 필요하다.
  • 최고 책임자, 조직 및 협의체, 정보보안 회의록 증적
• 정보보호 활동에 대해서 의사결정을 할 수 있는 조직과, 정상적인 의사결정을 수행하고 있었다는 증적자료가 필요함

내용

• 필요한 ISMS 정보보호대책 목록은 아래와 같다. (많다...)
  • 정보자산 분류 → 인증 범위 산정, 자산 데이터 정리
  • 정보보호 정책
  • 정보보호 조직 → 관리 체계 조직 마련 (회의록, 관리자 선정)
  • 외부자 보안
  • 인적 보안
  • 물리적 보안
  • 운영 보안
  • 시스템 개발 보안
  • 암호 통제 → 암호키 관리, 계정 관리
  • 접근 통제
  • 침해사고 관리
  • IT 재해복구

메뉴얼 기반으로 내가 이해한 내용 기반으로 정리한 것은 아래와 같다.

• 최고경영자는 정보보호를 위한 조직을 구성해야 한다.
• 최고책임자(임원급) 및 정보보호 관리 협의체 조직 및 운영해야 한다.
• 조직에는 정보보호를 위한 실무조직, 결정을 할 수 있는 위원회, 부서 별 담당자로 구성된 협의체 필요
• 최고경영자는 전문성을 갖춘 인력을 확보하고, 관리체계를 유지하기 위한 예산 및 자원을 할당하여야 한다.

배울 점 및 생각

• 결국 책임을 질 수 있는 경영진이 정보보호 조직에 참가하고 있고, 결정을 하고 있는 지 증적이 필요한 것 같다. ( 회의록 작성도 이런 맥락 같다 )
• 크게 필요한 조직과 구성은
  • 최고책임자 (보안최고책임자 CSO)
  • 정보보호 실무 조직 (실제 업무 수행 및 보안 직무 수행)
  • 각 부서 보안담당자 (각 부서에서 보안을 담당하는 자)
  • 각 부서 담당자 + 실무자 + 최고책임자 = 협의체 (이것을 경영자가 관리해야 함)
• 협의체에서는 결국 운영활동 전반에 대한 정책을 설정하고 보안 등 결정사항에 대해서 의결을 진행한다.

추후 해야할 것

• 정보보호 정책을 세움에 있어서 고려해야할 것 들을 정리해보자