K-ISMS 제도 개선에 관한 말씀 - 결함 도출의 기본 원칙
요즘 KISA에서
심사 과정에서 '중결함' 판정의 기준을 수립 중이라던데,
그에 관련하여 몇줄 적어보겠습니다.
요점은,
인증심사 작업에서
어떤 사안을 '결함군'으로 도출하고,
개선을 요청해야 옳은가?
입니다.
실은 약 7년 전에 게시했던 내용의 ReWriting이기도 합니다.
ISMS-P 심사원 고시방 | KISA 심사에 관련한 생각 몇줄 | Facebook
https://www.facebook.com/groups/ismsp/permalink/813434465738389/
(이 본문에 잎서,
위 URL 글, 댓글 반응과,
저의 답변 전체를 먼저 읽어보시기를 권유 드립니다)
그럼,
인증 제도 안내서에서 '결함'과 '중결함'의 정의를 확인해 보겠습니다.
| KISA ISMS 인증제도 안내서 -202407 - p.48 |
두 결함의 공통.
"신청기관의 정보보호 관리체계가
인증심사기준에 규정된 요구사항을
충족하지 못하는 사항이 발견되고 있음"
에 주목합니다.
KISA가 스스로 정의한 대로,
ISMS-p 제도는 분명히 관리체계를 심사하는 제도입니다.
따라서, 결함 도출은
(특정 장비의 설정 누락을 지목하는 것이 '아니고' (또는 '보다는')
"정보를 보호하기 위한 관리 체계가 요구사항을 충족하지 않는 상황"을
짚어야 합니다.
"특정 장비의 보안 설정 일부 누락"같은
지엽적 현상은
"관리체계의 결함"이 아니고,
"관리체계에 결함이 있다는 증거이자 후속결과"입니다.
그러므로,
심사는
해당 장비의 설정 누락이 어떻게 발생하게 되었는지,
그 발생 원인을 찾아서 명확하게 서술하는 작업입니다.
해당 관리체계를 분석하려면,
업무절차는 물론,
정책서 조항, 조직 구성, 업무 할당, 역할/책임, 자산 운용
등을 검토해야 합니다.
PDCA Cycle 전체를 조감하는 작업이고,
그 중에서 특별히 P(Plan)을 우선/중점적으로 검토하는 활동입니다.
이 글을 읽어주시는 분 중에,
심사활동 참여 이력이 있는 분들,...
심사 참여 시에 작성하는 보고서가
이런 개념/원칙을 준수하는지요?
일단 저는 찔립니다.
제가 작성 해온 보고서들 역시
Pdca보다는 pDCa 에 더 가깝습니다.
그 이유는...
변명까지는 불필요하겠구요.
심사 현장을 경험하신 모든 분들이
동일하게 경험하셨고, 짐작하시는 그대로입니다.
(대소문자 구분은 일부러 그렇게 표기한 것입니다.
대문자: 우선/본질적 문제
소문자: 차선/후속 효과 라는 의미입니다)
위에 서술한 주장이 대략이라도 맞다면,
이번에 개선/보완 중이라는
K-ISMS제도의 기반정책과 실무 운영 계획에
이러한 기초적인 개념들을 반추/재검토하기 바랍니다.
KISA ISMS 인증제도는
"'정보'를 '보호'하는 '관리'의 '체계'"를 심사하는 제도
이니까요.