A금융그룹 8개사 (금융기업)

- Global수준의 정보보안 및 개인정보보호 목표 달성이라는 금융그룹 정책에 따라 8개 계열사들이 정보보안 국제표준인 ISO27001인증과 개인정보 BSI표준인 BS10012인증 획득을 위한 컨설팅을 의뢰하였다.
- 최초 7개 금융계열사가 순차적으로 2개의 인증 컨설팅을 동시에 추진하여 인증을 획득하였고, 하반기에는 나머지 1개사가 예산을 확보하여 두개 인증컨설팅을 받고 인증을 획득하였다.
- 프로젝트 수행 당시 주요 금융기관에서 대규모의 개인정보 유출사고가 발생하였고 개인정보보호법과 시행령이 통과되면서 비즈니스 환경적 분위기가 적시에 맞아 떨어져 고객사들의 실무 담당자가 사업을 추진하는데 큰 무리가 없었다.
- ISO27001인증과 BS10012인증은 일부 공통적인 통제항목들이 있으므로 두개의 인증을 동시에 추진하는 것이 고객사 입장에서는 비용이나 시간적인면에서 효율을 가져왔으며, 인증규격에 따라 운영관리체계를 확보함으로써 내부 유관조직간의 변경관리 측면에서도 효율성을 확보할 수 있었다.
- 대부분의 기업이나 기관이 인증획득 이후의 인증유지관리에는 내/외적으로 익숙치 않은 환경때문에 애를 먹는 경우가 있으므로 1회의 사후심사 지원을 제공함으로써 변화된 운영관리 환경에 안착할 수 있도록 하였다.
- 인증범위는 동일하게 IT전부문을 대상으로 인증 컨설팅을 수행하였으며, 계획대로 모든 계열사가 인증을 획득하였다.

• 7개 금융계열사 - 2011년 6개월간 수행, ISO27001과 BS10012 인증획득
• 추가 1개 금융계열사 - 2012년 2.5개월간 수행, ISO27001과 BS10012 인증획득

• 비즈니스 및 IT 환경

- 고객사의 주요 사업영역은 투자, 생명, 캐피탈, 지방은행 등으로 비즈니스 영역이 상이하였다.
- IT환경은 규모면에서 크지않고 조직이나 처리업무에 따라 보호해야할 개인정보의 양은 크게 달랐다.

• 정보보호 환경

- 대부분의 계열사들은 금융감독원의 규제를 받고 있는 금융기업이지만 그 규모가 작은 2차 또는 3차 금융기업이므로 보안조직이나 정책적인 면에서는 1차 금융기업에 비하면 상당히 열악한 환경이었다.
- 보유하고 있는 보안솔루션도 방화벽, IPS 등 네트워크 영역의 기본적인 솔루션들과 대외 서비스 - IT의존도가 상당히 높은 산업군에 속하는 고객사는 CSO를 중심으로 각 영역별 보안활동을 분담 운영하고 있으며, 정보보호 위원회와 실무협의회를 운영함으로써 전사적 차원의 정보보호 이슈들을 사전예방 및 대응할 수 있는 조직 체계를 운영하고 있다.

- 대부분의 계열사들은 정보보안 환경이 열악하기 때문에 인증규격에서 요구하는 정보보안과 개인정보보호 정책면에서 부분적이거나 상당히 미흡하였다.
- 관련 지침이나 매뉴얼도 상위감독기관에서 하달된 지침을 그대로 사용하거나 유사계열사의 문서를 현행화되지 않은 채 운영하고 각 담당자별 개인 업무역량에 따라 표준화된 기준없이 운영되고 있었다.
- 특히 인증범위내의 정보자산이 정비되어 있지 않아 정보자산 목록을 확정하는데 가장 많은 시간이 소요되었고, 중요도를 평가하는 과정에서는 소유자와 관리자에게 평가과정을 이해시키고 평가결과를 도출하는데 어려움이 있었다.
- 상대적으로 관리체계가 많이 미흡했기 때문에 정보보안과 개인정보보호 관리체계를 설계하고 관계자들에게 이해시키는데는 크게 어려움이 없었다.

• ISO27001과 BS10012 인증 범위의 이해관계자들에게 정확하게 통제항목들을 이해시키고 공감대를 형성
• 인증범위내·외에 있는 정보자산의 정확한 파악 (특히, 문서와 같이 Non-IT 영역의 정보자산)
• 인증획득이후 인증의 유지관리를 위한 이해관계자들간의 R&R이해와 공감대 형성
• 계열사별 환경과 여건에 적합한 정책, 지침 제·개정

수행단계별 산출물 목록표는 아래와 같다.

* 산출물 예시: 통제항목별 Gap분석, 위험분석보고서, 위험 조치계획서, 적용성 보고서, 관리체계 관리운영계획서, 도메인별 증적자료 목록