정보보호관리체계(ISMS) 인증심사 결함사항 분석에 관한 연구

  • 장상수 (한국인터넷진흥원(KISA) 인터넷.정보보호본부 기업보안관리팀) ;
  • 이호섭 (한국인터넷진흥원(KISA) 인터넷.정보보호본부 기업보안관리팀)
  • Published : 2010.02.28

Abstract

인터넷이 급속하게 확산되면서 그 동안 오프라인 환경에서만 가능하던 많은 일들을 사이버 상에서도 가능하게 해준 반면에 해킹이나 바이러스 등 새로운 보안위협도 증가하게 되었다. 최근 기업이나 조직에서는 산발적인 보안 관리에서 종합적이고 체계적인 정보보호관리체계가 요구되고 있으며 국내에서도 2001년 7월부터 정보보호관리체계(ISMS) 인증제도가 시행되어, 2009년 12월 현재 77개 업체(기관)가 인증을 받았으며, ISO27001 인증 건수도 100여건에 이르고 있다. 이와 같이 ISMS 인증제도가 국내에 도입된 이래 인증수요는 꾸준히 증가하여 기업경쟁력의 중요한 수단으로 인식되어 가고 있는 추세인 반면 ISMS 인증의 실수요자가 인식하는 인증의 효과성 등의 질적인 측면이 미흡하다는 문제는 끊임없이 제기되어 오고 있다. 본 고에서는 그동안 인증취득기관의 정보보호관리체계(ISMS) 인증 심사과정에서 지적된 결함사례를 분석하고, 국내 중소, 대기업들이 정보보호관리체계를 수립하여 운영하는 과정에서 공통적으로 나타나는 결함사항을 도출함으로써, 향후 기업들이 정보보호관리체계를 수립하는 과정에서 중점적으로 고려해야 할 사항들이 무엇인지 고찰하고자 한다.

Keywords

References

  1. 정보통신부, "정보통신망 이용촉진 및 정보보호 등에 관한 법률 제7262호 제 47조", 2006.
  2. 정보통신부, "정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제23조의2", 2006.
  3. 정보통신부, "정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙 제6조", 2006.
  4. 정보통신부, "정보보호관리체계 인증심사 기준", 정보통신부 고시 제2002-22호, 2002.
  5. 한국정보보호진흥원, "정보보호관리체계 인증업무 지침", 2003
  6. 한국정보보호진흥원, "정보보호관리체계 인증 가이드 5종", 2003
  7. 장상수, "정보보호관리체계 인증제도 시행", 한국정보보호진흥원, 2003.