정보시스템 등급별 보안관리 제도 확산 나선다
보안수준 강화, 보안관리 효율성 두 마리 토끼 잡는다
내가 기관 사이버 보안 담당자라면 나는 평소 어떤 업무들을 수행해야 할까? 그리고, 한정된 예산과 인력으로 어떤 시스템에 우선순위를 두고 얼마만큼의 자원을 투자해야 하는 것일까?
행정안전부(장관 진영)는 기관 보안담당자들의 이런 의문을 해소하기 위해 2015년부터 등급별 보안관리 제도를 준비해 왔다.
등급별 보안관리 제도는 중앙부처 및 지방자치단체 등에서 운영 중인 정보시스템들을 취급 정보의 중요도 등에 따라 5개 등급으로 분류하고, 각 등급에 따라 차등화 된 보안관리를 적용하는 것이다.
국방, 외교, 통일 등 중요한 업무를 다루는 시스템은 높은 등급을 부여해 더 강화된 보안을 적용하고, 단순한 정보제공을 위한 시스템들은 낮은 등급으로 분류해 기본적이고 필수적인 수준에서 보안관리를 시행하는 개념이다.
결론적으로, 중요한 시스템들에 대한 보안관리는 강화하면서도, 한정된 자원을 효율적으로 사용할 수 있도록 하는 장점이 있는 제도다.
등급별 보안관리 제도의 또 다른 장점은 기관 담당자들이 보안업무를 수행하는 데 있어 업무 가이드 역할을 한다는 것이다.
이 제도에서는 기관 담당자들이 개별 정보시스템에 대해 수행해야 하는 보안관리 업무를 7개 분야의 96개 항목으로 제시하고 있고 각 항목별로 세부적인 업무수행 기준을 명시하고 있어 누수 없이 체계적인 보안관리가 가능하게 한다.
행안부는 등급별 보안관리 제도가 체계적이고 효율적인 보안관리를 가능하게 해 공공부문의 전체적인 보안 수준을 향상시킬 수 있는 핵심적인 제도로 인식하고 제도의 확산 및 안착을 위해 적극적으로 노력할 계획이며 2015년 제도의 기본 틀을 마련했고, 2016년에서 2017년까지 시범기관 및 선도기관 적용을 통해 제도를 보안해 왔다.
2018년부터는 지방자치단체에 적용하기 위한 컨설팅을 진행 중이며 올해까지 전 지자체에 대한 컨설팅을 완료할 예정이며 또한, 올해에는 제도 확산을 위한 중앙부처 대상 설명회를 시작으로 권역별 순회 설명회 개최하고 기관이 참조할 수 있도록 등급별 보안관리 가이드를 마련해 배포할 예정이다.
김혜영 행안부 정보기반보호정책관은 “등급별 보안관리 제도는 행안부가 상당 기간에 걸쳐 연구하고 보완해온 제도로서 빠른 시일 내 정부와 자치단체에 안착돼 보안 수준 향상에 도움이 되기를 바란다.”라며, “올해 전자정부법에 등급별 보안관리 제도의 근거를 마련해 실행력도 확보할 것”이라고 말했다.
★정보보안 & IT 대표 미디어 데일리시큐!★