1.25 인터넷 대란을 비롯해 최근 온라인 위협이 갈수록 심각해짐에 따라 보안에 대한 관심이 급증하고 있다. 특히 사고를 미리 예방할 수 있고, 사고 발생시 즉각적인 대응 조치가 가능한 관리적 보안에 대한 관심은 이미 상당한 수준에 이르렀다. 이글루시큐리티가 최근 발표한 정보보안 관리체계 구축 지원 도구 ‘BSPiCE’는 이와 같이 적합한 정보보안 관리체계에 대한 관심을 갖고 있는 기업들에게 충분한 해답이 될 것이다. <편집자>

정보보안 관리체계를 구축한다는 것은 보안사고가 발생할 수 있는 위험을 찾아 미리 예방하고, 사고가 발생하더라도 적절하게 대응해 기업의 업무 연속성을 유지시키는 체계를 갖춘다는 것을 의미한다. 기업은 정보보안 관리체계를 구축함으로써 보안 사고로 인한 금전적인 손실이나 이미지, 또는 신뢰도의 실추를 최소화할 수 있다. 하지만 정보보안 관리체계를 구축한다는 것은 그 기업 환경에 맞도록 구축해야 하므로, 기업의 환경을 정확히 분석해 구축해야 한다. 이글루시큐리티는 기업 환경에 맞는 정보보안 관리체계 구축을 위해 BSPiCE라는 정보보안 관리체계 구축 지원도구를 출시했다.

BSPiCE는 ISO 17799/BS 7799라는 정보보안 관리체계 표준을 근간으로 정보보안 관리체계를 구축할 수 있도록 지원하며, 정보보안 관리체계 구축에 필요한 전과정을 지원한다. 또 IPAV(Information Process selection & Asset Valuation), ISSA(Information Security Self Analysis), RAM(Risk Assessment & Management), IPSE(Information Policy & Soa Editor) 등 총 4개의 모듈로 구성되어 있으며, 각 모듈은 정보보안 관리체계 구축 시 각 단계에서 필요한 기준과 평가 방법을 제공한다.

IPAV

IPAV(Information Process selection & Asset Valuation)는 정보보안 관리체계 구축 범위를 설정하고 효과적인 정보보안 관리체계 구축을 위해 정보자산 중요성 평가를 실시하는 모듈이다. 정보보안 관리체계 구축 범위를 설정하기 위해 기업의 업무 프로세스를 식별하고 정보보안 관리체계를 통해 정보보안을 실시할 기업의 업무 프로세스를 선정한다.

또한 정보보안 관리체계를 통해 정보보안을 실시할 업무 프로세스의 중요 정보 자산을 식별하고 자산의 중요도를 평가한다. 정밀한 자산 중요도 평가를 위해 BSPiCE IPAV는 자산 유형별 자산 중요도 평가 기준을 제공한다. 이 밖에 정확한 자산 중요도 평가를 위해 자산 평가 전문가와 정보 자산 소유자가 자산 중요성 평가를 실시하고, 두 가지 결과를 비교하고 조율하여 정확한 평가를 지원하는 기능을 제공한다. BSPiCE IPAV를 통한 작업 내용은 정보보안 관리체계 선정 및 자산 중요성 평가 보고서로 생성된다.

ISSA

ISSA(Information Security Self Analysis)는 정보보안 현황분석을 실시하는 모듈로, 정보보안 현황분석을 통해 기업의 정보보안 실태를 파악해 정보보안 목표를 설정할 수 있다. 기업의 환경에 맞춰 정보보안 현황분석을 실시할 수 있도록 불필요한 정보보안 현황분석 항목을 제외하거나, 좀 더 자세한 평가를 위해 정보보안 현황분석 질의를 추가할 수 있다.

정보보안 현황분석 스케줄을 관리해 현황분석 담당자가 BSPiCE ISSA에 로그인 하면 담당자 별로 할당된 정보보안 현황분석 항목과 질의를 보여준다. 여러 명의 담당자가 같은 항목에 대해 정보보안 현황분석을 실시한 경우 모든 담당자의 결과를 비교해 정확한 평가를 실시할 수 있는 기능을 제공한다. 또한 정보보안 분야별로 개선안을 쉽게 작성할 수 있도록 정보보안 현황분석 결과 집계와 담당자별/정보보안 현황분석 항목별 메모 기능을 지원한다.

RAM

RAM(Risk Assessment & Management)은 정보자산의 위험을 평가하고 효율적인 정보보안 관리체계 구축을 위해 위험관리기준에 따라 위험관리 대상선정을 지원하는 모듈이다. 정보자산의 위험을 평가하기 위해 자산의 취약점과 위협을 식별하고 자산의 취약점과 위협 정도를 평가한다.

BSPiCE의 위험 평가는 자산의 중요도와 취약점/위협 평가 결과를 모두 반영하므로 자산의 중요성과 위험성을 모두 고려할 수 있다. 특히 위험순위, 법규 및 규제, 비용, 이행용이성 등 위험관리 기준을 적용해 다양한 관점에서 위험관리 대상을 선정한다. 다양한 관점을 통해 위험관리 대상을 선정하므로 기업에 중요하고 꼭 필요한 자산을 우선으로 보호할 수 있도록 지원하고 있다.

IPSE

IPSE(Information Policy & Soa Editor)는 정보보안 관리체계 구축을 위해 필요한 문서를 작성하는 모듈이다. 정보보안 관리체계의 방향을 설정하는 정책서 작성을 지원한다. 정책서는 정보보안 관리체계 구축 방향에 맞추어 정보보안 관리체계의 영역별로 작성할 수 있다.

또 정보보안 관리체계의 운영을 위한 절차와 지침을 담은 지침서를 작성한다. 지침서는 정보보안 관리체계 운영을 위해 각 운영 단위별로 작성할 수 있다. 정보보안 관리체계에서 구현할 통제 항목과 통제의 목표, 통제항목 선정 근거를 보여주는 SOA(Statement of Applicability)를 작성한다.

기대 효과

BSPiCE를 통한 정보보안 관리체계 구축 작업은 기업의 정보자산을 분류해 중요하고 사고의 위험이 높은 자산을 우선적으로 보호할 수 있는 효과적인 정보보안 관리체계를 구축할 수 있다. 또한 정보보안 관리체계를 구축하면서 정보자산에 대한 평가를 실시하게 되므로, 정보자산 관리자와 사용자에게 보안 의식을 고취시킬 수 있는 기회가 된다.

BSPiCE는 기업 내부 인력으로 정보보안 관리체계 구축하는 것을 지원한다. BSPiCE 기초 DB에는 자산유형 DB, 자산유형별 위협/취약점 DB, 자산 평가 기준, 위협/취약점 평가 기준, 현황분석 체크리스트 등이 들어 있으며 이러한 내용은 기업의 상황에 맞게 관리된다. 특히 CS 환경을 지원하므로 BSPiCE를 사용해 정보보안 관리체계 구축 컨설팅을 진행하게 되면 컨설팅 결과가 모두 서버에 저장된다.

때문에 컨설팅 업체의 전문 컨설턴트와 원격지 작업이 가능해지게 되므로 컨설팅 이후 컨설팅 업체의 전문 컨설턴트와의 업무 의사소통이 원활하게 돼, 기업의 정보보안 관리체계 유지보수가 수월해지게 된다. 컨설팅이나 정보보안 관리체계 구축에서 사용한 각종 기준과 체크리스트를 DB에 저장하므로, 인원교체나 컨설팅 이후에도 축적한 노하우가 이어질 수 있도록 구성되어 있다.

■ 문의 : 이글루시큐리티
■ 02)3404-8625
■ isms@igloosec.com