관련링크

지난 두 포스팅에서는 네트워크 및 사용자 분리 방법, 개발 환경의 보안 수준 향상 방법 등에 대해서 설명드렸습니다. 오늘은 클라우드 환경에서 최소 비용으로 ISO27001 인증 취득하는 방법, 그 마지막 포스팅으로 ISO-27001 인증을 위한 경영시스템 구축 방법을 준비하였습니다.

ISO는 ISMS 사이클인 PDCA를 가장 주목하여 심사합니다.

• 규정/지침/절차 수립 여부
• 규정/지침/절차 준수 여부 및 이를 뒷받침할 문서
• 규정/지침/절차의 효과성 검증 여부

1단계 문서 심사에서 규정/지침/절차가 존재하는지 확인하며, 2단계 현장 심사에서는 이를 준수하고 관련 근거 자료가 있는지 확인합니다.

인증을 위한 문서가 아닌 업무를 수행함에 있어 보안 길잡이 역할을 해주는 합리적인 내용이 포함되어 있으며, 공공기관을 위한 CSAP 인증과 글로벌 표준을 위한 ISO 인증 항목들, 개인정보보호법, 클라우드컴퓨팅 법 등 내부적으로 지켜야 하는 법령까지 아우를 수 있는 전반적인 내용이 필요했습니다.

따라서 우선 회사의 전반적인 업무 프로세스와 사용하고 있는 자원, 각 부서별 업무 환경 등을 정확히 파악하였습니다. 개인정보를 다루고 있는 부서, 운영 환경에 접속이 필요한 부서 등 부서별 접근할 수 있는 정보를 분류하였으며, 해당 정보를 접속하는 환경에 수정사항이 있는지 확인하였습니다. 해당 과정에서 사용하고 있는 자산을 조사하여 정보자산 목록표를 작성하였으며, 운영/개발 환경 구분 및 중요도를 설정하였습니다.

또한, 회사가 지켜야 하는 법령 체크리스트를 작성하였습니다. 업무를 진행할 때 항상 지켜야 하는 것과 침해 사고 등 이벤트가 발생하였을 때 지켜야 하는 것을 구분하였으며, 이를 어느 부서가 담당하고 있는지, 담당해야 하는지를 파악하였습니다.

이를 바탕으로 전체 큰 틀의 보안 정책을 기술하는 정보보호 정책을 작성하였습니다. 포함된 일부 항목은 아래와 같습니다.

• 정보자산 관리
• 침해 사고 관리
• 서비스 연속성 관리
• 접근통제
• 네트워크 보안
• 데이터 보호 및 암호화
• 개발 보안
• 개인정보 처리 및 관리

그리고 정보보호정책서에 있는 내용을 기반으로 자세한 지침을 만들었습니다. 지침서는 총 13개이며, 정책서에 있는 내용을 기반으로 와탭랩스 사용자가 지켜야 하는 전반적인 지침을 담았습니다.

• 정보보호 조직관리 지침
• 인적 보안 지침
• 정보자산관리 지침
• 침해 사고 관리 지침
• 서비스 연속성 관리 지침
• 외주인원 보안 지침
• 가상화 보안 관리 지침
• 접근통제 관리 지침
• 정보시스템 보안 지침
• 데이터 보호 및 암호화 지침
• 시스템 개발보안 지침
• 개인정보보호 지침
• 보안감사 지침

해당 지침서에는 최신 법령을 반영하였으며, 용어와 적용 범위를 정의하였습니다. 여기서 적용 범위란 회사 내의 부서, 사용자 등을 말합니다.

정책서와 지침서가 회사 내에서 효력을 발휘하기 위해서는 경영진 승인이 필수입니다. 적합한 절차로 경영진 승인을 받아야 하며, 승인 절차에 대한 증적 자료가 남아야 합니다. 와탭랩스는 내부에서 사용하고 있는 ERP 시스템인 “유니포스트”를 이용하여 승인 결재를 진행하였습니다.

경영진 승인이 완료된 정책서와 지침서는 전사 배포를 진행해야 합니다. 배포 방식은 이메일, 사내 게시판 등 다양한 방법을 통해 진행해야 하며, 관련자들이 언제 어디서나 확인이 가능한 위치에 문서를 배치해두어야 합니다.

연 1회 이상 정책/지침서를 검토하여 최신화해야 하며, 법령 변경 또는 내부 시스템 변경과 같은 이벤트가 일어나는 경우에도 관련 정책서 또는 지침서를 검토하여야 합니다.

경영 검토 회의를 통해 최종적으로 정책/지침서를 신규 제정합니다. 이때, 참석 인원의 만장일치로 가결이 필요합니다. 참석위원은 CEO, CISO, CPO와 보안 담당 인원은 필수이며 이 밖에 마케팅, 개발팀, 운영팀의 팀장들도 참석이 필요할 수 있습니다.

최종적으로 확정된 정책/지침서 역시 경영진 승인 후 전사 배포를 진행합니다.

ISO 인증 심사에서 가장 중요한 문서는 적용성보고서(SoA)입니다. 관리 체계 요구사항에 대응하는 정책/지침서를 적용 지침으로 사용하며, 정책/지침서를 제대로 수행하였을 때 나오는 기타 서류(보안서약서, 침해 사고 모의훈련 계획서/결과서) 등은 적용 증적으로 사용됩니다.

연 1회, 분기별 1회 등 설정한 검토 주기에 맞춰 증적 자료를 생성하면, 따로 준비할 필요 없이 사후심사 대응이 가능합니다.

지금까지 와탭이 클라우드 환경에서 최소 비용으로 ISO27001 인증 취득하는 과정을 보셨습니다. 자사 서비스인 와탭으로 리소스 모니터링뿐만 아니라 보안 로그 모니터링까지 함께 진행하여 적은 비용으로 인증 취득이 가능했습니다.

또한, KISA에서 제공하는 다양한 프로그램과 지원 사업을 함께 진행하면 비용 절감과 보안성 향상 두 마리의 토끼를 잡을 수 있습니다. 많은 어려움이 있겠지만 국제보안인증 ISO27001 취득에 관심이 있는 분들께 조금이라도 도움이 되는 포스팅이었길 바랍니다. 감사합니다.