ISMS 인증 범위 설정: 반드시 포함해야 할 자산

• 1. 개요

• 2. ISMS 인증에서 자산의 개념

• 3. ISMS 인증 범위 내 필수적으로 포함해야 할 자산

• 3.1. DMZ 구간 내 정보시스템

• 3.2. 개발 서버 및 테스트 서버

• 3.3. 관리자 및 개발자 PC

• 4. 추가적으로 고려해야 할 자산

• 5. 자산 선정 시 고려해야 할 요소

• 5.1. 법적 및 규제 요구사항

• 5.2. 비즈니스 영향도 분석(BIA, Business Impact Analysis)

• 5.3. 외부 협력업체 및 클라우드 환경

• 6. 결론

1. 개요

정보보호관리체계(ISMS) 인증은 기업이나 기관이 보안 리스크를 체계적으로 식별하고 대응할 수 있도록 보장하는 중요한 절차이다. ISMS 인증을 받으려면 보호해야 할 자산을 명확히 정의하고, 이에 대한 보안 대책을 수립해야 한다. 그러나 많은 조직이 인증 범위 내 자산을 선정하는 기준을 명확히 이해하지 못하는 경우가 많다.

본 글에서는 ISMS 인증에서 필수적으로 포함해야 할 자산을 상세히 분석하고, 자산 선정 시 고려해야 할 요소를 설명한다.

2. ISMS 인증에서 자산의 개념

ISMS에서 자산(asset)이란 조직의 정보 보호 관점에서 관리 및 보호해야 할 대상을 의미하며, 일반적으로 다음과 같이 분류된다.

• 정보 자산: 고객 데이터, 기업 문서, 소스코드, 데이터베이스 등
• 하드웨어 자산: 서버, 네트워크 장비, 개인용 컴퓨터(PC) 등
• 소프트웨어 자산: 운영체제, 애플리케이션, 보안 솔루션 등
• 인적 자산: 관리자, 개발자, 보안 담당자 등
• 물리적 자산: 데이터센터, 사무실, 문서보관소 등

ISMS 인증을 받기 위해서는 조직의 핵심 정보 자산과 이를 보호하는 시스템 및 인프라를 포함하여 보호 범위를 설정해야 한다.

3. ISMS 인증 범위 내 필수적으로 포함해야 할 자산

3.1. DMZ 구간 내 정보시스템

DMZ(Demilitarized Zone)는 외부 네트워크(인터넷)와 내부 네트워크 사이에서 중간 역할을 수행하는 구역으로, 외부에서 접근할 수 있는 웹 서버나 이메일 서버가 배치되는 공간이다. 해당 영역에 위치한 시스템은 해킹, DDoS 공격 등의 위협에 노출될 가능성이 높아 보호 조치가 필수적이다.

예시:

• 웹 서버 (Web Server)
• 이메일 서버 (Mail Server)
• DNS 서버 (Domain Name System Server)
• 방화벽(Firewall), IDS/IPS(Intrusion Detection/Prevention System)

3.2. 개발 서버 및 테스트 서버

개발 및 테스트 서버는 운영 환경으로 배포되기 전의 소프트웨어 및 서비스가 실행되는 환경이지만, 보안 관리가 상대적으로 소홀하게 이루어지는 경우가 많다. 그러나 개발 및 테스트 서버에서도 중요 데이터가 저장될 수 있으며, 보안 취약점이 운영 시스템으로 확산될 가능성이 있기 때문에 보호 조치가 필요하다.

예시:

• 개발 서버 (Development Server)
• 테스트 서버 (Test Server)
• 소스코드 저장소 (Git, SVN 등)
• CI/CD 빌드 서버 (Jenkins, GitLab CI/CD 등)

3.3. 관리자 및 개발자 PC

관리자 및 개발자의 PC는 업무상 중요한 시스템에 접근할 수 있는 권한을 보유하고 있으며, 내부망을 통해 주요 자산과 연결될 가능성이 크다. 따라서 해당 단말기의 보안 조치를 소홀히 하면 해킹 및 내부정보 유출의 경로가 될 수 있다.

예시:

• 보안 관리자가 사용하는 PC
• 네트워크 및 시스템 엔지니어의 단말기
• 개발자가 사용하는 개발용 노트북 및 워크스테이션
• 원격 접속을 위한 단말기 및 VPN 접속 장비

4. 추가적으로 고려해야 할 자산

ERP, DW, GroupWare와 같은 정보시스템은 조직의 핵심 업무를 수행하는 시스템이지만, 모든 조직에서 반드시 인증 범위 내에 포함해야 하는 것은 아니다. 다만, 해당 시스템이 중요 데이터를 처리하고 있거나 보안 사고 발생 시 기업의 업무 지속성에 영향을 줄 가능성이 크다면 보호 대책을 수립하는 것이 필요하다.

예시:

• ERP 시스템 (SAP, Oracle ERP 등)
• DW 시스템 (데이터 분석 및 저장 시스템)
• 그룹웨어 (메일, 일정, 메신저, 전자결재 시스템 등)
• CRM(Customer Relationship Management) 시스템

5. 자산 선정 시 고려해야 할 요소

5.1. 법적 및 규제 요구사항

• 개인정보 보호법, 정보통신망법, GDPR 등 법적 규제를 준수해야 한다.
• 금융, 의료, 공공기관 등 특정 산업의 보안 가이드라인을 고려해야 한다.

5.2. 비즈니스 영향도 분석(BIA, Business Impact Analysis)

• 특정 시스템이 중단될 경우 조직의 업무에 미치는 영향을 분석해야 한다.
• 중요도가 높은 시스템은 인증 범위 내에서 철저히 보호해야 한다.

5.3. 외부 협력업체 및 클라우드 환경

• 외부 협력업체가 운영하는 시스템이나 클라우드 서비스(AWS, Azure, GCP 등)도 인증 범위 내에서 검토해야 한다.
• SaaS(Software as a Service), IaaS(Infrastructure as a Service) 등 클라우드 기반 자산도 보호 대상이 될 수 있다.

6. 결론

ISMS 인증을 받기 위해서는 조직의 핵심 정보 및 이를 처리하는 시스템을 필수적으로 포함해야 한다. 특히 DMZ 구간의 정보시스템, 개발 및 테스트 서버, 관리자 및 개발자 PC는 보안 위협이 크므로 반드시 보호해야 한다. 또한 법적 요구사항, 비즈니스 영향도 분석, 클라우드 환경 등을 고려하여 보호해야 할 자산을 신중하게 선정해야 한다.

ERP, DW, GroupWare와 같은 정보시스템은 조직의 업무 연속성에 중요한 영향을 미치지만, 반드시 인증 범위 내에 포함해야 하는 것은 아니므로 개별 조직의 보안 정책에 따라 결정해야 한다. 궁극적으로 ISMS 인증은 기업의 보안 체계를 강화하는 과정이므로, 조직의 환경에 맞는 자산 보호 전략을 수립하는 것이 중요하다.