국가정보전략연구소

2. ISO 17799

ISO 17799는 조직 내의 모든 자산에 대한 위험분석과 위험관리를 위한 지침을 제공한다. 정보보안경영시스템(ISMS : Information Security Management System) 구축을 통한 기업정봊산의 예방에 초점을 뒀다. 기업의 고유특성을 고려해 정보보안경영시스템을 구축할 수 있도록 <표 5>와 같이 10개의 보안관리항목, 36개의 통제목표, 127개의 세부 통제방안을 제시한다. 조직의 정보보호관리체계(ISMS)의 수립과 실행에 대한 가이드를 제시하는 장점이 있다.

10개의 보안관리항목은 보안정책(security policy), 보안조직(security organization), 자산의 분류 및 통제(asset classification and control), 인원보안(personnel security), 물리적/환경적 보안(physical and environmental security), 통신과 운영(communication and operation), 접근통제(access control), 시스템 개발 및 유지보수(system development and maintenance), 사업연속성관리)business continuity management), 준거성(compliance) 등이다. 개별 영역에 대한 세부 내용은 표를 참조하도록 한다.

<표 5> ISO 17799의 영역과 세부내용[책참조]

ISO 17799SMS 2개의 파트로 구성되어 있다. Part 1은 정보보호관리의 ‘Best Practice’의 집합으로 정보보호관리체계 구현에 대한 조언을 포함하고 있다. Part 2는 정보보안경영시스템 개발에 대한 프로세스의 정의를 설명하고 있다.

미국과 유럽 대부분의 국가에서 채택하고 있어 기업이 채택할 경우 대외적인 신뢰도 향상에 도움이 된다. ISO 17799의 운영체계는 <그림12>와 같다.

<그림 12> ISO 17799의 운영체계[책참조]

- 이하 생략 -

(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p68)

3. 물리적 보안의 정책

기술적 보안과 마찬가지로 물리적 보안도 기술적 보안과 유사한 딜레마(dilemma)를 안고 있다. 물리적 보안에 투입되는 경비원, CCTV, 출입문 시스템 등의 운영을 인원보안에 포함시킬 것인지 고민을 하게 된다. 보안규정이나 절차를 준수하는 것은 사람이므로 인원보안에 포함시키는 것이 합리적이다. 경비원은 물리적 보안의 도구에 해당되므로 물리적 보안으로 봐야 한다.

정책적 측면에서는 내부 직원뿐만 아니라 컨설팅업체, 협력업체, 관공서 등 외부인의 시설 출입도 등급을 분류해 관리해야 한다. 외부인의 경우 일시적인 보안 교육이나 서약서 징구만으로 부족하므로 지속적으로 이행상태를 확인해야 한다. 주요 시설을 방문하는 외부인이 신분을 위장ㅎㄹ 수도 있으므로 사전에 인원보안 측면에서 신원조사의 필요성을 검토해야 한다.

2993년 삼성전자의 직원 2명이 LG전자의 냉장고 공장에 잠입하여 생산공정을 살펴보다가 발각된 사건이 일어났다. 이들은 LG전자 협력업체 명함에 자신들의 이름을 새겨 출입한 것으로 밝혀졌다.

물리적 보안정책의 중요성은 시설의 확충보다는 운용이 보안에 효과적이라는 점에서 증명된다. 출입자와 주요 기자재의 입·출입을 통제, 감시하는 방법도 보안정책에 포함시켜야 한다. 하지만 보안정책이 직원의 과도한 사생활 제약이나 감시를 포함하고 있는지도 한번쯤 고민해봐야 할 문제이다. 보안상 중요성이 떨어지는 화장실, 휴게실, 탈의실, 계단 등의 장소에 CCTV 설치나 출입문에 전신 스캐너의 도입은 지양하도록 한다.

- 이하 생략 -

(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p66)

[출처:산업보안학ISS-민진규저, 국가정보전략연구소]