2002년 ISMS 인증제도 시작부터 사용되던 현재의 ISMS 인증기준이 내년(2014년)부터 개정된 ISMS2.0이라는 새로운 버전으로 심사가 이루어지게 된다.
 
2014년부터는 ISMS2.0기준으로 인증 심사가 이루어지기 때문에 기존의 ISMS인증 취득기업이나 신규로 인증을 받으려는 기업 모두 ISMS2.0기준에 대한 이해가 필요한 시점이다.
 
신규 기준에서는 모바일 기기 업무 사용(BYOD)의 증가와 클라우드 서비스 활성화, 그리고 APT 등 공격기법 지능화 및 다양화에 대응하기 위한 심사 기준이 새롭게 포함되었다.
 
또한, 기존에 내용이 모호하거나 의무 인증 대상기업들이 부담스러워 하는 부분들을 명확하게 정의하고, 통제항목의 실효성이 비용대비 부족하다고 판단되는 기준에 대해 삭제하는 등의 개정이 이루어졌다.
 
이를 통해 ISMS2.0은 14개의 신규항목을 만들고, 통합 또는 변경된 항목이 128개에서 90개로 조정되었으며 9개 항목이 삭제되어 137개 통제항목, 446개 세부 점검항목에서 104개 통제항목, 253개 세부 점검항목으로 변경되었다.
 
특히, 기존에 정보보호 활동에 대한 경영진의 역할이 불분명하다는 의견에 따라 신규 기준에서는 경영진이 정보보호활동 전반의 의사결정에 참여(대표이사, CISO 등 경영진 보고사항, 보고 및 의사결정 체계 마련)하도록 명시적 기준을 마련(관리과정 2.1 경영진 참여)하였다.
 
CISO를 임원급으로 지정하도록 하고(2.1.1 정보보호최고책임자 지정), 최고경영자가 조직규모를 고려하여 예산/인력을 지원해서 실무조직을 구성하도록 하는 명시적 기준도 추가되었다. (관리과정 2.2 정보보호 조직 구성 및 자원할당)
이러한 기준은 조직의 의사결정 체계에서 정보보호 담당자의 역할을 강화하고 실질적인 보안활동이 이루어지도록 도와주는 역할을 할 것으로 보인다.
 
ISMS인증은 인증을 받은 조직이 P(Plan)-D(Do)-C(Check)-A(Act) 라이프사이클에 따라 자체적으로 보안 수준을 향상시킬 수 있는 프로세스를 마련하고 있다는 것을 의미한다.
 
인증을 받았다고 해서 보안사고가 발생하지 않는 다는 것을 보장(보증)하는 것은 아니다.
하지만, 인증을 받았다는 것은 보안사고 발생을 최소화 하겠다는 조직의 의지를 담고 있고, 보안 사고로 인해 ‘나’와 ‘우리 조직’이 ‘고객’이나 ‘다른 조직’에게 피해를 주지 않도록 하겠다는 최소한의 노력으로 인식하고 이를 적절하게 활용하는 지혜가 필요하다.
 
[글. (주)포워드벤처스 정보보안실 박나룡 실장]