고객사: A금융그룹 8개사 (금융기업)
프로젝트 기간
– 7개 금융계열사 – 2011년 6개월간 수행, ISO27001과 BS10012 인증획득
– 추가 1개 금융계열사 – 2012년 2.5개월간 수행, ISO27001과 BS10012 인증획득
프로젝트 배경 및 주제
Global수준의 정보보안 및 개인정보보호 목표 달성이라는 금융그룹 정책에 따라 8개 계열사들이 정보보안 국제표준인 ISO27001인증과 개인정보 BSI표준인 BS10012인증 획득을 위한 컨설팅을 의뢰하였다. 최초 7개 금융계열사가 순차적으로 2개의 인증 컨설팅을 동시에 추진하여 인증을 획득하였고, 하반기에는 나머지 1개사가 예산을 확보하여 두개 인증컨설팅을 받고 인증을 획득하였다.
프로젝트 수행 당시 주요 금융기관에서 대규모의 개인정보 유출사고가 발생하였고 개인정보보호법과 시행령이 통과되면서 비즈니스 환경적 분위기가 적시에 맞아 떨어져 고객사들의 실무 담당자가 사업을 추진하는데 큰 무리가 없었다. ISO27001인증과 BS10012인증은 일부 공통적인 통제항목들이 있으므로 두개의 인증을 동시에 추진하는 것이 고객사 입장에서는 비용이나 시간적인면에서 효율을 가져왔으며, 인증규격에 따라 운영관리체계를 확보함으로써 내부 유관조직간의 변경관리 측면에서도 효율성을 확보할 수 있었다. 대부분의 기업이나 기관이 인증획득 이후의 인증유지관리에는 내/외적으로 익숙치 않은 환경때문에 애를 먹는 경우가 있으므로 1회의 사후심사 지원을 제공함으로써 변화된 운영관리 환경에 안착할 수 있도록 하였다. 인증범위는 동일하게 IT전부문을 대상으로 인증 컨설팅을 수행하였으며, 계획대로 모든 계열사가 인증을 획득하였다.
IT 및 정보 보안 환경
비즈니스 및 IT환경
고객사의 주요 사업영역은 투자, 생명, 캐피탈, 지방은행 등으로 비즈니스 영역이 상이하였다.
IT환경은 규모 면에서 크지 않고 조직이나 처리업무에 따라 보호해야할 개인정보의 양은 크게 달랐다.
정보보호 환경
대부분의 계열사들은 금융감독원의 규제를 받고 있는 금융기업이지만 그 규모가 작은 2차 또는 3차 금융기업이므로 보안조직이나 정책적인 면에서는 1차 금융기업에 비하면 상당히 열악한 환경이었다. 보유하고 있는 보안솔루션도 방화벽, IPS 등 네트워크 영역의 기본적인 솔루션들을 갖추고 전자금융과 관련된 대외 서비스들을 제공하고 있었다. IT의존도가 상당히 높은 산업군에 속하는 고객사는 CSO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호 위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직 체계를 운영하고 있다.
프로젝트 CSF
- ISO27001과 BS10012 인증 범위의 이해관계자들에게 정확하게 통제항목들을 이해시키고 공감대를 형성
- 인증범위내·외에 있는 정보자산의 정확한 파악 (특히, 문서와 같이 Non-IT 영역의 정보자산)
- 인증획득이후 인증의 유지관리를 위한 이해관계자들간의 R&R이해와 공감대 형성
- 계열사 별 환경과 여건에 적합한 정책, 지침 제·개정
주요 Activity와 산출물
| 수행 단계 | 주요 수행 내용 | 결과 산출물 |
|---|---|---|
| 인증범위 정의 | – IT 및 정보보호 현황분석 – 인증범위 협의 및 확정 | – ISO27001 인증 범위 정의서 – BS10012 인증 범위 정의서 |
| 정보자산 평가 및 취약점 분석 | – 정보자산 분류 및 중요도 평가 – 정보자산의 취약점 진단 수행 – 내/외부 모의해킹 진단 | – 자산목록 및 중요도 결과서 – 서버 취약점 진단결과 보고서 – 네트워크 및 보안시스템 취약점 진단결과 보고서 – PC 및 DBMS 취약점 진단 결과 보고서 – 모의해킹 진단결과 보고서 |
| 관리체계 현황분석 및 위험평가 | – ISO27001 인증 통제항목별 취약점 진단 – BS10012 인증 통제항목별 취약점 진단 – 관련 문서검토, 인터뷰, 현장실사 – 위험평가 및 조치 계획 수립 | – ISO27001 관리체계 Gap 분석 – BS10012 관리체계 Gap분석 – 위험평가보고서 – 위험조치계획서 |
| 인증관리체계 구축 | – 정보보안 정책, 지침 제·개정 – 정보보호 개선계획 수립 – 정보보호 효과성 측정표 – 통제항목별 요건 문서 작성 – 정보보호 효과성 분석 | – 정보보안정책 및 지침서 – 정보보안 마스터플랜 보고서 – 관리체계 적용성(SOA)보고서 – 효과성 측정지표 보고서 |
| 인증체계 이행지원 | – 통제항목 별 이행증적 확보 지원 – 내부심사 실시 및 개선 | – 지침, 절차 이행증적 지원 – 내부심사 계획서 및 결과서 |
| 인증관련지원 | – 심사대비 교육실시 – 본심사 및 문서심사 대응지원 – 부적합사항 대응지원 | – 심사 대비 교육계획서 및 교육자료 – 부적합사항 조치계획서 |
컨설팅 수행 특징
대부분의 계열사들은 정보보안 환경이 열악하기 때문에 인증규격에서 요구하는 정보보안과 개인정보보호 정책면에서 부분적이거나 상당히 미흡하였다. 관련 지침이나 매뉴얼도 상위감독기관에서 하달된 지침을 그대로 사용하거나 유사계열사의 문서를 현행화되지 않은 채 운영하고 각 담당자별 개인 업무역량에 따라 표준화된 기준없이 운영되고 있었다.
특히, 인증범위내의 정보자산이 정비되어 있지 않아 정보자산 목록을 확정하는데 가장 많은 시간이 소요되었고, 중요도를 평가하는 과정에서는 소유자와 관리자에게 평가과정을 이해시키고 평가결과를 도출하는데 어려움이 있었다. 상대적으로 관리체계가 많이 미흡했기 때문에 정보보안과 개인정보보호 관리체계를 설계하고 관계자들에게 이해시키는 데는 크게 어려움이 없었다.
- 산출물 예시 : 통제항목별 Gap분석, 위험분석보고서, 위험 조치계획서, 적용성 보고서, 관리체계 관리운영계획서, 도메인별 증적자료 목록
