K-ISMS 제도 개선에 관한 말씀 - 초안 기록 보존 필요성

K-ISMS 심사 현장에서
자료의 유출 방지 목적으로

심사원들이 사용하도록 강제되고 있는
보안USB를 대체하는
Web기반 차세대 심사 플랫폼(시스템)이
개발 중
이라는 소식이 있던데,

오랜 세월 아쉽던 사안이
이번에 해결될지 기대가 큽니다.

이제까지 심사 작업 진행은,
심사원들이 포착한 결함성 사항들을
"예비결함" 또는 "한줄결함"으로 기록하고,
지급받은 보안USB에 저장해서
심사팀장에게 전달하고,

심사팀장이 취합/편집해서
(팀 내부 협의 후)
신청기관에 전달해서 의견/소명을 받고,
합의 된 사항들을 공식적 결함 보고서로 작성하는
순서로 진행됩니다.

그런데,
그 과정에서
심사팀원이 기재한 내용이
심사팀장에 의해서
결함 후보에서 권고 수준으로 강등되거나,
부분 또는 전체가 삭제되는 경우
가 있습니다.

K-ISMS 인증심사 작업 흐름 - 현행 - 보안USB 사용

심사팀원/팀장 누구도 완벽하지 않으므로,
짧은 시간에 서로 도와서
정해진 결과물을 만들어 내는 과정 전체 시각으로 보면
심사팀장의 그런 편집 수고는 참 고마운 '도움'입니다.

오탈자, 어이없는 실수나 잘못이
신청기관에 전달되기 전에 교정해 주는
안전 장치
이기도 하지요.

그렇더라도,
인증심사가
매우 엄격한 기준으로 시행하는 법률적 활동
이므로,
Data 무결성이나
CoC ( Chain of Custody. 기록 보관 연속성 ) 관점에서는
아무래도 개선이 필요
한 상황이었습니다.

(CoC는 Forensics 또는 Evidence 관리에 적용하는 개념이지만,
 심사 결과의 무결성 보존 측면에서
 충분히 참조할만한 원칙입니다)

출처: Keiser University

즉,
심사팀원 개개인의 기록이
잘 작성된 것이든, 그렇지 못하든,
각 심사원의 공공성 다분한 업무 기록이므로,
제출 시점의 상태 그대로 보존되고,

(가능하면) 그 원본 그대로
신청기관에 전달할 필요가 있다고 생각합니다.

지금 한창 준비중이라는 차세대 심사 플랫폼에는
그러한 당연한 원칙이 구현되어 있기를 기대합니다.

K-ISMS 인증심사 작업 흐름 - 개선 - WebSite System 사용


Powered by Blogger.