K-ISMS 제도 개선에 관한 말씀 - 초안 기록 보존 필요성
K-ISMS 심사 현장에서
자료의 유출 방지 목적으로
심사원들이 사용하도록 강제되고 있는
보안USB를 대체하는
Web기반 차세대 심사 플랫폼(시스템)이
개발 중이라는 소식이 있던데,
오랜 세월 아쉽던 사안이
이번에 해결될지 기대가 큽니다.
이제까지 심사 작업 진행은,
심사원들이 포착한 결함성 사항들을
"예비결함" 또는 "한줄결함"으로 기록하고,
지급받은 보안USB에 저장해서
심사팀장에게 전달하고,
심사팀장이 취합/편집해서
(팀 내부 협의 후)
신청기관에 전달해서 의견/소명을 받고,
합의 된 사항들을 공식적 결함 보고서로 작성하는
순서로 진행됩니다.
그런데,
그 과정에서
심사팀원이 기재한 내용이
심사팀장에 의해서
결함 후보에서 권고 수준으로 강등되거나,
부분 또는 전체가 삭제되는 경우가 있습니다.
| K-ISMS 인증심사 작업 흐름 - 현행 - 보안USB 사용 |
심사팀원/팀장 누구도 완벽하지 않으므로,
짧은 시간에 서로 도와서
정해진 결과물을 만들어 내는 과정 전체 시각으로 보면
심사팀장의 그런 편집 수고는 참 고마운 '도움'입니다.
오탈자, 어이없는 실수나 잘못이
신청기관에 전달되기 전에 교정해 주는
안전 장치이기도 하지요.
그렇더라도,
인증심사가
매우 엄격한 기준으로 시행하는 법률적 활동이므로,
Data 무결성이나
CoC ( Chain of Custody. 기록 보관 연속성 ) 관점에서는
아무래도 개선이 필요한 상황이었습니다.
(CoC는 Forensics 또는 Evidence 관리에 적용하는 개념이지만,
심사 결과의 무결성 보존 측면에서
충분히 참조할만한 원칙입니다)
| 출처: Keiser University |
즉,
심사팀원 개개인의 기록이
잘 작성된 것이든, 그렇지 못하든,
각 심사원의 공공성 다분한 업무 기록이므로,
제출 시점의 상태 그대로 보존되고,
(가능하면) 그 원본 그대로
신청기관에 전달할 필요가 있다고 생각합니다.
지금 한창 준비중이라는 차세대 심사 플랫폼에는
그러한 당연한 원칙이 구현되어 있기를 기대합니다.
| K-ISMS 인증심사 작업 흐름 - 개선 - WebSite System 사용 |