회사에서는 저희 자체 서비스와 솔루션의 글로벌 판매를 위해, 고객사에서 요구한 경영관리 및 보안 관련 인증서를 요구했습니다. 그 중 하나가 ISO-27001 인증이었어요.
ISO-27001 인증이란?
- 처음에 저는 너무 생소한 이름이라서 어떻게 무엇을 언제 시작해야할지 감이 잡히지 않았습니다.
- 그래서 GPT와 구글링을 통해 기본적인 정보를 습득했어요.
컨설팅 회사 선정하기
- 정부에서 지원하는 수출 바우처 사업이 있는데, 이를 활용하여 경영 컨설팅 업체와 협업을 하기로 결정했어요.
- 세군데를 알아보았고, 직접 연락 및 미팅을 통해 최종적으로 1개 업체를 선정하여 협업을 진행하게 되었습니다.
- 혹시 기업 정보를 원하시면 댓글에 남겨주시면 답변 드리겠습니다.
킥오프 미팅
- ISO-27001에 대한 간단한 소개를 해주셨고, 진행 절차와 대략적인 일정을 안내 해주셨습니다. 아무래도 처음 하는 것이다 보니 친절하게 안내를 해주시더라구요.
정보보안체계 인증 범위 정의서 작성하기
- 이 문서는 회사의 기본 정보들을 기입한 문서였으며, 작성 방식은 GPT의 도움을 받았고 필요한 정보는 회사 내부 문서를 열람해가며 기입하였습니다.
- 자산, 조직 범위, 서비스 범위, 사업 범위, 사업장 정보, 사용중인 외부 서비스 등을 상세히 기입합니다.
적용성 보고서(SoA)를 기준으로 전체 문서 구조화 하기
- 적용성 보고서 (State of Applicability) 문서 양식을 컨설팅 업체로부터 받아서 해당되는 문서 구조를 잡았습니다.
- 이를 채우기 위해서는 방대한 양의 문서를 준비해야합니다.
- ISO-27001 수칙들에 대한 지침과 절차서 구비
- 그리고 지침과 절차서를 잘 이행하고 있다는 증적 자료들이 필요합니다.
- 방대한 문서를 한 눈에 파악할 수 있도록 문서의 관계성을 구조화 하고, 이행률을 추적합니다.
문서 준비하기
- 이제 문서를 준비할 차례입니다. 저 같은 경우엔 컨설팅 업체가 이전에 다른 회사를 대상으로 했던 인증 문서들을 샘플로 전달해주셨고, 우리 회사에 맞게 일부 업데이트까지 모두 마친 상태로 주셨습니다.
- 하지만 ISO-27001이 최근에 개정된 버전인 ISO-27001:2022 에 추가된 조항들이 있었고, 그걸 대비하기 위해선 추가적인 서류들이 필요했습니다.
- 이 문서들을 구비하기 위해서 저는 먼저 Gemini로 Google Docs 파일 초안을 잡고, 실제 우리 회사 내에서 조치해야할 것들과 실제로 적용된 내용들을 적용하여 최신화 하였습니다.
- 문서 준비는 굉장히 많은 시간이 걸리기 때문에 전체 업무 시간 중 적어도 1-2시간은 반드시 확보하여 따로 업무를 진행했습니다. 그리고 모든 문서를 구비하기 위해서 한 달 정도는 꾸준히 업무에 임했던 것 같습니다.
지침과 절차에 따른 실제 조치 취하기
- 여러 지침들이 있는데 그걸 실제로 우리 회사에 적용하기 위한 조치들을 취합니다.
- 보안 소프트웨어 설치 및 운용 등
- 이를 위해서 인증 발급 업무 담당자는 경영진을 포함한 회사 전 직원과 팀장님들께 협조 요청을 구합니다.
- 왜냐하면 이 인증은 회사의 모든 사업 범위를 아우르기 때문에 미리 협조 요청을 구해놓고 필요한 자료들과 조치들을 즉각적으로 대응합니다.
인증 기관 최초 미팅
- 컨설팅 업체를 선정하면 인증서를 발급해주는 기관과 매칭됩니다.
- 인증 기관에서 요구하는 사항들을 만족하기 위해,
- 현재까지 준비가 완료되었거나 진행중인 사항들을 공유하고,
- 방대한 준비 범위에서 우선순위를 협의합니다.
1차 미팅 피드백 조치 취하기
- 우선순위로 지정된 조치 사항들을 한 장의 요약 보고서로 정리하고
- 그 보고서를 기준으로 유관 부서 팀장님들을 소집하여 현황과 계획을 공유합니다.
- 각 팀별 상황을 보고 담당자와 일정을 정합니다.
인증 기관 1차 심사
- 우선순위에 대한 조치사항들이 잘 대응이 되었는지 심사를 합니다.
- 문서를 기준으로, 회사의 물리적 공간, 네트워크 공간 등을 확인합니다.
- 여기서 다시 한 번 인증 기관에서 피드백을 주면, 동일한 방식으로 피드백 대응을 진행합니다.
- 예시
- 저희는 우선적으로 피드백 받은 것은 보안 소프트웨어 도입과 네트워크 망 분리, 네트워크 장비에 대한 보안 통제 강화였습니다.
인증 기관 2차 심사
- 피드백 사항에 대해 다시 심사를 진행합니다.
인증 완료
- 인증 기관에서 검토하고, 준비된 부분과 준비를 권장하는 내용을 정리하여 보고서로 받습니다.
- 인증서를 발급 받습니다.
코멘트
- 제일 중요한 것은 준비 범위를 파악하는 것입니다. 문서의 종류만 수십가지이고 총 문서 개수만 120개가 넘었습니다. 생소한 분야에 대해 절차, 지침서, 증빙 자료를 모두 구비해야하기 때문에 이를 체계적으로 관리하는 것이 가장 주요했습니다.
- 컨설팅 업체와 인증 기관과의 커뮤니케이션도 매우 중요했습니다. 인증서를 받는 과정에서 ‘반드시 지켜야할 부분’과 ‘현재는 미흡하나 대응 예정’의 경계에서 많은 커뮤니케이션이 오고 갔습니다.
- 현재 회사의 업무 구조나 비즈니스 상황에서 우리가 대응한 것들을 논리적으로 설명하면 해당 항목에 대한 준비 여부를 긍정적으로 검토해주셨습니다.
- 물론 반드시 지켜야할 부분은 당연히 지켜야 합니다.
- 현재 인증서를 받는 시즌이기 때문에 협조를 해달라는 메세지도 사내에 주기적으로 안내를 해야합니다. 인증을 위해 필요한 정보가 최신화가 안되어 있거나 미비되어 있으면 담당자의 업무가 그대로 늘어날 수 있기 때문에, 먼저 사내에서 스스로 파악할 수 있는 부분을 모두 구비해두고 스스로 파악할 수 없는 부분에 대해 정확하게 요청을 드렸습니다.
보안 전문가가 아니기 때문에 처음에 해당 업무를 맡아서 진행하는 것에는 난이도가 있었으나 기본적인 개념과 구조를 잡고 GPT와 함께 구체화 해나가면 크게 무리될 것은 없었습니다. 인증서 업무를 맡으신 모든 직장인 분들 혹은 대표님들 힘내세요!!