Home / / N2SF. 정보를 보호하는 관리체계를 향한 개선 필요성 (Updated)

N2SF. 정보를 보호하는 관리체계를 향한 개선 필요성 (Updated)

Posted: 6/29/2026

이 Blog에서 몇 번
정보(문서) 자산 관리활동이 ISMS 기초임을 여러 번 짚어 왔습니다.

그에 관련한 동향으로,

우리 정부 (KISA)에서 2024 무렵부터

N2SF라는 주제로

"조직의 정보 관리 방안"을 구체화하고

시범 사업까지 계속 진행중입니다.


(National Network Security Framework, 국가 망 보안체계)


제목만 보면, Network 보안에 관한 것으로 보이지만,

실제 내용은

"(망 분리와 연계된) 조직 내부 정보의 관리"

에 관한 Framework입니다.


기준에 따르면,

정보(문서) 식별과 등급분류는 최 우선 필수 작업입니다.

단지 개인정보 아니고,

"영업비밀", "산업기밀", "대외비", "사내한" 등으로 지칭되어 .

'정보' 자체를 관리해야 하는겁니다.


국가 망 보안체계 보안 가이드라인 p.23


N2SF는 정부기관을 대상으로 하는 행정활동이지만,

AI/Cloud에 목마른

금융기관, 대기업, 방산업체 등을 포함하여

지혜로운 보안 담당자분들이 관심을 보이고 계십니다.


물론 민간기업은 등급 갯수나 분류 기준을 재구성해서 응용도 가능하겠지요.


아무튼,
모든 보안 관리 활동은 정보의 식별과 분류를 전제로 합니다.

N2SF 이해 및 활용 안내 p.09


개인정보의 취급에 관해서도, 분명한 차등화를 제시합니다.

AI 개인정보보호 자율점검표 응용 자료 - 이제원 기술사님 작성

N2SF는 보안 통제 항목마저도 정보의 등급에 따라 달리 적용합니다.


K-ISMS의 간편/일반/강화 인증 수준 분리와 유사하면서도,

기반 개념과 적용 전술은 다릅니다.


국가 망 보안체계 가이드라인 - 통제항목 해설서 - 예시 - p.7 

단, 이런 분류체계나 통제 적용 선택은 각 조직에서 Tunning/Customizing해야겠지요.


자, 이제 
K-ISMS 인증 제도를 다시 보겠습니다.


ISMS-p 인증기준 안내서 p.17

1.1.4 세부설명에서 '문서'를 마치 "정책, 지침, 매뉴얼, 운영명세서 등"으로 서술해서인지,
심사 현장에서 정말 "문서자산"을 그런 자료들로 인식하고 나열해 둔 경우가 잦습니다.


정보보호정책/지침/매뉴얼 등이 어떻게 보호의 주 대상이 되겠습니까.
보호의 수단이지요.

그 외에는, 문서(정보)를 향한 보호 개념이 충분히 잘 스며들어 있습니다.

ISMS-p 인증기준 안내서 p.24

ISMS-p 인증기준 안내서 p.54

다만, K-ISMS 기준 1.2.2에서, '흐름분석'을 아래처럼 해설했는데요,

ISMS-p 인증기준 안내서 p.26

본래 정보 흐름 분석은 단지 (대외)(개인)정보처리만 대상으로 하는 작업이 아닙니다.

조직 내 문서정보관리 고도화 지침 (v1.0) p.9

이렇게 정보(문서)의 흐름(유통 전반)을 분석하고 보안관리를 적용하려다보면,

해당 조직의 내부용 시스템 (Groupware, FileServer, 지식관리시스템, 문서관리도구, Mail, Messenger, Office 등)이 포함되지 않을 수 없습니다.


전자문서 보안관리 연구보고서 - NIPA - p.43

그런데, KISA ISMS 인증제도 안내서에는 그런 내부 업무용 시스템을 제외하도록 유도합니다.

ISMS-p 인증제도 안내서 p.27
ISMS-p 인증제도 안내서 p.28


이렇게 발췌 소개 드린 근거에 의해서,

K-ISMS의 운영 중 문서 영역에 보완/개선 조치를 건의/요청합니다.


이렇게 단순하고 투명한 '중결함'에

보완 조치가 너무도 지연되고 있습니다.


KISA에서 이 사안을 확실하게 교정하지 않으면,

심사기관/심사팀장/심사원 그 누구도

진정한 "정보"를 보호하는 관리체계를 심사하지 못합니다.


아래의 조치가 필요합니다.


단기 ::

  1. ISMS-p 인증제도 안내서의 잘못된 부분을 교정 및 재 배포
  2. 문서의 취급에 필요한 내부 업무용 시스템을 필수적으로 범위에 포함
  3. 심사기관에 문서자산 보안관리의 취지와 심사 방법을 교육
중기 ::
  1. N2SF를 감안한 심사기준 (통제항목) 개선
    ( 공공기관의 ISMS-p 의무화를 고려 )


여기까지 읽고, 관심이 닿으시면 아래 두 글도 읽어 주시기 바랍니다.


'정보'를 보호하는 '정보보호'를 위하여 - 2023년 03월 06일


'보안'의 대상 = '자산' -2023년 02월 13일


모든 글을 읽고, 이 주장에 대체로 동의하시면,

KISA, 과기정통부 담당부서에 전달/건의를 부탁드립니다.

Powered by Blogger.