우리나라 대다수가 중소기업에 속하다 보니 정보보호, 보안이 중요하다는 것을 인식 함에도 불구하고 인력과 예산이 없어 보안에 신경을 쓰기가 그리 만만하지는 않다. 그런 의미에서 기업은 임시적인 보안 솔루션 도입이야 어떻게 해 보겠는데 장기적인 관점에서 볼때는 체계적인 정책 마련이 시급하다


1.  정보보호관리체계 권고 사항보단 의무 사항해야

정보보호 관리체계 수립은 그리 만만한 작업은 아니다.  적절한 예시는 아니겠지만 우리가 방에 어지러운 물건들이 있으면 전부 다시 싹 꺼내고 하나씩 정리해 나간는 것과 비슷하다고 보면 된다. 책은 책대로 중요한 것은 중요한 것대로..그러다 보면 여기저기 굴러다니는 볼펜도 있고, 중요한 오백원짜리 동전도 있고 할 것이다. 그런 것과 마찬가지로 체계적인 정책수립도 하나에서부터 전부 해야 한다. 물론 범위를 정해서 할수도 있지만, 전사적인 부문에서는 그럴수 밖에 없다.

인증을 받기위한 범위야 부분적이지만 조직이나 기업으로 보아선 어디는 범위는 보안을 해야 하고 어디범위는 보안을 하지 말아야 하는 것은 아니다.

그럼에도 불구하고 관리체계 인증은 권고 사항이지 의무사항이 아니다.  사실, 조직내에서 수립한다는 것은 그리 쉬운 작업은 아니기 때문이다.


2. 정보보호관리체계(ISMS)도 다양화, 세분화 하면 좋을듯

이러한 정보보호관리체계를 다양화하고 세분화 할 필요가있다. 지금에는 하나의 기준으로 전 산업에 맞추어 인증을 하기 때문에 떄로는 불합리한 부문이 있을수 있다. 오늘자 기사를 보니 건강개인 정보보호 관리체계가 어떤 단체에 의하여 마련이 된다는 기사를 본적이 있다. 아주 고무적인 일이라 생각을 한다. 그쪽 분야는 그쪽에 맞는 정보보호에 대한 정책과 기준, 세부안이 마련이 되면 조금은 더 효율적이고 탄력적으로 제도 운영을 할수 있지 않을까 생각을 한다.



3. 중소기업 정보보관리체계(ISMS) 마련도 시급, 맞춤형 관리체계 마련 해야

사실, 우리나라에 중소기업이 많이 있는데 정보보호체계 마련도 보통 정보보호컨설팅 전문업체에 의뢰하여 수립하는 경우가 많다. 그럼에도 불구하고 중소기업이 대기업에 적용되는 기준을 마련한다는게 그리 쉬운일은 아닌것이다. 그것은 결국 빛좋은 개살구가 될수 밖에 없는 것이다. 필요하다는 것을 알면서 또는 해야 된다는 것을 알면서 하지 못하는 것이다. 매일 같이 그일에만 매달릴수 있는 중소기업이 과연 얼마나 있을까?

그래서 중소기업형 정보보호관리체계 마련이 시급 하겠다. 그것은 지금 사용하고 있는 ISMS 기준을 중소기업에 맞게 조금 완화하여 적용하면 어떨까 하는 생각을 해 본다.


제도의 성공적 운영은 여러가지 측면이 있겠지만 대다수 많은 사람과 업체가 대중성 있게 사용할수 있고 공감하게 운영될수 있는 법과 제도라야만 성공적인 제도라 할 것이다.

앞으로 보안에 대한 중요성은 점점 커서만 가는데 덩치큰 정보보호관리체계수립이 중소기업에게는 그리 달갑거나 녹록한 것만은 아니기 때문이다.  가끔은 중소기업 눈높이에 맞추어 맞춤형으로 하여 조금은 부담이 덜 되고 자체적으로 보안과 정보보호에 힘을 쓰면서 중소기업에서 작지만 실천할수 있는 정보보호관리체계 마련이 시급하다..@ 엔시스


,