물류매거진

ISO 28000 이해와 구축 : 문서화

admin

ㆍ게재년/월

2012/02

ISO 28000 이해와 구축 : 문서화
일관성 있는 보안 경영·실행·유지·관리 위해 문서화 필요

글 _ 미래물류 컨설팅 박찬석 대표(mincho79@empal.com)

Gap 분석을 통해 경영에 추가적으로 반영해야 할 대상을 파악한 후 보안경영의 기획·실행 및 운영 등을 추진할 수 있도록 문서를 체계적으로 작성해야 한다.
ISO28000에서는 ‘4.4 실행 및 운영(Implementation and Operation)’ 내의 ‘4.4.4 문서화(Documentation)’와 ‘4.4.5 문서 및 데이터 관리(Documentation and Data Control)’에서 이를 요구하고 있다.

1. 문서화의 범위
문서화의 범위는 좁은 의미로는 ISO28000을 실행 및 운영하는 한 절차로, 다음과 같은 문서체계를 유지하는 것이다.
①보안경영방침(Security Management Policy), 목표(Objective) 및 세부 목표(Target), 이행 프로그램
② 보안경영시스템 범위에 대한 명시
③ 보안경영시스템 주요 요소와 그들 요소간의 상호작용, 관련 서류의 참조에 대한 명시
④ 해당 국제규격에서 요구하는 기록을 포함한 문서들
⑤ 기록을 포함하여 중요한 보안위협 및 Risk와 관련된 프로세스를 효과적으로 계획·운영 및 관리하는 것을 보장하기 위하여 필요하다고 기업이 결정한 문서
넓은 의미로는 ISO28000을 도입하기 위한 과정의 문서와 기록에서부터 기획·실행 및 운영, 점검 및 시정조치, 경영검토 및 지속적 개선으로 순환하는 과정에서 필수적으로 만들어야 하거나, 그에 따라 행동한 증거로 생성되는 문서를 유지·관리하는 것까지를 포함해야 한다.
즉, 전체 운영과정을 통해 다음의 기록 역시, 보존되고 관리되어야 하는 문서화 범위에 포함시킬 수 있다.
① 준법사항(Legai, Statutory and Other Security Regulatory     Requirements) 검토, 위험식별, Gap 분석 결과
② ISO28000 요구사항을 기반으로 자사에서 발굴한 위험을 관리할 수 있는 보안경영매뉴얼, 각종 절차서 및 지침서
③ 실제로 각 부서에서 ISO28000을 도입·실행 및 운영한 사실이 기록된 최고경영자 승인사항, 추진팀 구성, 기획안, 교육훈련 실시 내역, 시설·장비 설치 및 운영 기록, 위험 발생 및 대응 계획·연습·실제 조치사실 기록, 출입문 통제기록
④ 점검기록, 체크리스트, 시정조치 사항, 부적합 사항에 대한 보완조치

2. 문서화의 필요성(목적과 가치)
ISO28000 문서화는 기업에서 위협요소를 발굴하여 관리해 나가는 모든 과정, 즉 기획, 실행, 점검, 개선 단계에서 ISO28000 요구사항의 충족을 위해 그 의도 및 지침에 맞게 일관성 있게 보안 경영을 실행·유지 및 관리하고 있다는 증거자료로서의 가치를 지닌다.
ISO28000인증 획득을 위한 증거자료가 될 뿐 아니라, ISO28000을 도입, 실행, 지속 개선하는 과정에서 다음과 같은 역할을 한다.
① ISO28000의 요구사항과 자사와의 관련사항을 도출하여 ISO28000 인증 요건을 만족시킬 수 있는 보안관리 범위를 도출하고, 자사가 관리해야 할 보안목표, 관리방안, 조직 및 인원, 세부 행동을 명시적으로 작성하여 사내에서 누구나 지켜야 할 규범(규정) 설정, 전 종업원에게 공표, 관련부서간 의사소통 및 공유하는 수단으로서의 역할
② ISO28000 도입을 위한 추진팀, 관련부서 담당자, 거래 기업, 공급사슬내 관련자에게 세부 목표, 임무에 대한 적용사항과 요건, 행동지침, 위험 발생시 조치 및 보고, 기록 작성 등의 구체적인 정보를 전달하는 역할을 하며, 모든 관련 부서에 관련 문서(또는 전산망을 통해 이용할 수 있는 자료)를 비치하고 업무 수행중 참조하여 일관성 있게 처리하는 시스템, 혹은 방법론을 제공하는 역할
③ ISO28000의 요구사항을 충족할 수 있는 다양한 방법 가운데 자사의 현실에 맞는 관리 범위의 명시, 관리 방법을 선택하는 의사결정 기능, 권한과 책임의 배분, 효율적인 이행체계를 결정하는 역할
④기업의 보안목표 달성을 위한 도구, 최종적으로 ISO28000요구사항에 대하여 적합성을 달성하고 인증을 가능하게 하는 도구 및 보안 수준을 지속적으로 끌어올리는 도구로서의 역할
⑤ 사건 발생 또는 점검 과정을 통해 부적합 사항 또는 개선 필요 사항의 원인을 발견하고, 도출된 문제점을 시스템 상에서 개선할 수 있도록 하는 도구의 역할
⑥ 신입직원 채용, 인사 이동, 기존 직원의 퇴사 등으로 인해 교육 수요 발생시 적절한 교육훈련 자료로서의 역할 또는 보안 조치의 증거
⑦ ISO28000 요구사항을 충족하도록 실행한 사실에 대한 객관적 증거 제공, 부적합 사항이나 보안상 결함에 대한 추적 및 보안경영시스템 전반에 걸친 효과 측정을 지원하는 역할

3. 문서의 종류와 단계별 활용
ISO28000 요구사항중 자사와 관련된 보안 관리대상을 파악한 경우, 자사의 실정을 반영하여 문서화에 착수하게 된다. 세부적으로 동일한 문서화라 할지라도 개별기업마다 형식과 분량이 달라지고 세부 보안절차나 보안지침서, 관리기록 등도 자사에 해당사항이 없을 경우 생략할 수 있다.
보안방침, 매뉴얼, 절차서, 지침서는 다음과 같은 계층구조를 이루고 있으며 ISO 도입하는 초기에 문서화되어야 한다.
매뉴얼, 절차서, 지침서는 다음과 같이 기술한 내용과 특성으로 구분할 수 있다.
공급사슬 보안경영시스템은 계획-실시-점검-조치(PDCA)로 알려진 방법론에 기초하고 있으며, 이와 같은 PDCA 방법론에 따라 ISO28000 공급사슬보안경영시스템은 Plan(4.3 보안리스크평가 및 기획)-Do(4.4 실행 및 운영)-Check(4.5 점검 및 시정조치)-Action(4.6 경영검토 및 지속적 개선)으로 구성된다.

1) 보안기획 단계
보안경영방침을 추진하기 위하여 추진 기간, 보안경영목표를 설정하고 자사의 업무 범위에 내재된 보안리스크 식별 및 평가, 법률적 요구사항 및 그 밖의 보안규정 요구사항에 따라 자사가 준수해야 할 사항 파악하며, 세부목표, 보안경영 프로그램을 규정하는 문서화 작업이 필요하다.
관련부서 전 직원에게 이를 알리고 ISO28000 요구사항을 충족하기 위하여 준수해야 할 임무를 부여하고, 실행 및 운영 단계에서 관련 부서 또는 개별 임직원이 구체적으로 이행할 목표와 방법론(절차서)을 제공하는 것을 보장하도록 한다.

2) 실행 및 운영 단계
▲ 보안기획에 따라 모든 관련부서, 관련 임직원들이 실행하고 보안성과를 달성하는 방법과 세부활동을 문서로 제공할 뿐 아니라 시설이나 장비를 설치 및 운영하고, 시스템 구축과 운영, 업무 절차 개선을 실행한 사실을 기록하는 문서를 생성한다.
▲ 실제 운영을 보장하는 수단으로서 조직, 소속 직원별 역할, 책임 및 권한을 배정하는 구조를 정립하여 운영하고, 필요한 자원을 충분하게 공급하는 조치를 보장하는 문서화를 포함하여 실제 실행한 조치를 증빙할 수 있는 문서를 생성한다.
▲ 보안기획 단계에서 문서화된 보안경영매뉴얼에 구체적 이행방법론이 누락된 경우, 단위 업무에 대한 절차서를 문서화해야 한다.
▲ 정비, 시설 및 업무절차(Process)를 설계, 운영, 관리하는 인원이 적절한 자격이 있음을 보장하는 학력, 경력을 보유하고, 필요한 교육훈련 사실이 있음을 보장하는 절차와 실제 실행 조치에 대한 기록을 생성한다.
▲ 보안기획이나 보안매뉴얼이 전체 종업원, 계약자 및 그 밖의 이해관계자에게 충분히 의사소통되도록 보장하는 절차와 그러한 절차를 이행한 기록을 생성한다.
▲ 문서화된 다양한 문서들이 적절한 절차로 작성되고 모든 관련 임직원에게 배포되어 적절하게 관리되고 보안이 민감한 사항에 대해서는 비인가자의 접근을 예방할 수 있도록 문서화하고, 실제로 관리하고 있음을 기록으로 생성한다.
▲ 모든 ISO28000 관련 문서, 데이터 및 정보가 적절한 장소에 비치되고, 권한있는 자만이 접근 가능하며, 적절한 관리상태가 주기적으로 검토되고 필수적인 이용자에게 최신 문서, 데이터 및 정보가 이용 가능한 상태로 제공되고 있고, 효력이 상실된 내용은 제거되어 사용되지 않음을 보장하고 기록으로 관리한다.
▲ 운영 과정에서 보안경영방침이나 보안기획에서 식별된 중대한 위협이 감소했거나, 식별되지 않은 중대한 위협이 인지되었을때, 또는 법률적 강제요구사항의 개정으로 적합성이 변경되었을때 등은 관련 문서(보안경영방침, 보안기획, 보안 매뉴얼)에 해당하는 사항을 신설, 수정, 보완하여야 한다.
▲ 공급사슬의 이전 단계(업스트림) 또는 다음 단계(다운스트림)에서 야기되는 리스크를 평가하여 변화된 위협요인에 대해 개선 사항을 반영하여 당초 누락된 사항을 개정해 나가야 한다.
▲ 보안사건 및 비상사태의 잠재적 발생가능성을 파악하고 이에 대한 대응, 이러한 상황과 관련하여 일어날 수 있는 심각성 또는 최악의 상황을 방지하고 완화시키기 위한 계획 및 절차를 수립하고, 연습·이행 및 유지를 보장하는 절차와 실제로 이행한 문서기록을 생성한다.
▲ 비상계획과 수습 절차에는 비상 상황 중에 또는 그 이후 필수적으로 요구되는 동일한 장비, 시설 또는 서비스의 조달과 수리에 관련된 정보를 포함하고 있는 문서와 실제로 이행한 기록을 생성한다.

3) 점검 및 시정조치 단계
▲ ISO28000의 요구사항중 ‘4.5.1 보안성과 측정과 모니터링’을 보장하는 문서와 실제 충족 여부를 측정 및 모니터링하여 조치한 기록을 생성한다.
▲ ISO28000의 요구사항중 ‘4.5.2 시스템 평가’를 보장하는 문서와 실제로 주기적인 검토, 시험, 사건 후 보고서, 교훈, 성과측정과 연습(Exercises) 내용 등의 기록을 생성한다.
▲ 관련 법규, 산업의 모범사례(Industry Best Practice)의 이행 사항과 자사의 목표(Objectives)와 보안 경영방침의 적합성을 주기적으로 점검하도록 보장하는 문서와 실제로 시행한 주기적 평가결과를 문서기록으로 생성한다.
▲ ISO28000의 요구사항중 ‘4.5.3 보안관련 실패(Failures), 사건 발생(Incidents), 부적합(Non-conformance) 그리고 시정조치 및 예방조치’를 보장하는 문서와 실제로 시행과정에서 그대로 조치한 문서를 생성한다.
▲ ISO28000의 요구사항중 ‘4.5.4 기록관리(Control of Records)’를 보장하는 문서화와 요구사항에 대한 적합성과 달성한 결과를 실증하는데 필요한 기록을 생성한다.
▲ ISO28000의 요구사항중 ‘4.5.5 심사(Audit)’를 보장하는 보안심사프로 그램을 문서화하고 실행, 유지하여야 하며 주기적으로 수행된 결과가 보안경영시스템이 만족스러운지, ISO28000 요구사항과 보안경영 계획에 적합한지, 목표달성에 효과적인지를 결정하고 경영자에게 보고 및 부적합 사항을 시정하기 위한 조치사항을 검토하여 조치한 문서를 생성한다.
4) 경영검토 및 지속적 개선 단계
ISO28000 요구사항중 ‘4.6 경영검토 및 지속적 개선’을 보장하는 문서화와 실제로 실행한 문서를 생성한다.
                                                                         (다음호에 계속)

박찬석은 미래물류컨설팅의 대표컨설턴트로 재직 중이며, 물류/SCM 분야 컨설턴트와 한국생산성본부, 한국통합물류협회 등에서 물류/SCM전문 강사로 출강 중에 있다.
이밖에 삼성경제연구소 사이버 포럼인 ‘SCM 연구회’의 대표 시샵을 맡고 있으며, 네이버 블로그 ‘박찬석의 물류/SCM 바로보기(http://blog.naver.com/neologis)’를 운영하고 있다.
주요 관심 분야는 물류보안, 신선물류(농수산물류), 물류Cost 및 성과지표, 물류/SCM 전략과 제3자 물류 및 국제물류 분야이다
* E-Mail: mincho79@emapl.com H.p: 010-4533-8307

<저작권자 ⓒ 월간 물류매거진(www.ulogistics.co.kr) 무단전재 및 재배포금지>