ISO 27001에서 얻은 교훈 - ENTERBRAIN 소프트웨어의 사례 연구

CONTENT

• ISO 27001 사례 연구 - ENTERBRAIN은 인증에 의존합니다
• ISO 27001에 대한 긍정적인 실무 경험
• 성공과 신뢰의 기반이 되는 정보 보안
• Christian Körner와 인터뷰
• 향후 계획 및 ISO 27001:2022
• ENTERBRAIN에서 배운 ISO 27001 교훈 - 결론

ISO 27001 사례 연구 - ENTERBRAIN은 인증에 의존합니다

독일 오펜바흐(Offenbach)에 본사를 둔 ENTERBRAIN Software GmbH는 유럽에서 선도적인 모금 소프트웨어 제공업체 중 하나입니다. 이 단체의 소프트웨어 솔루션은 비영리 단체가 기부금과 회원을 관리할 수 있도록 지원합니다. 무엇보다도 이러한 소프트웨어 솔루션은 개인 데이터와 결제 세부 정보를 관리하는 데 사용됩니다. 이러한 기밀 정보의 보호와 무결성 및 가용성은 소프트웨어 제공업체와 고객에게 법적 측면에서도 최우선 순위입니다.

2019년부터 ISO 27001에 따라 인증을 받은 정보 보안 관리 시스템은 이를 위한 포괄적인 실용적인 프레임워크를 제공합니다. 정보 보안의 세 가지 보호 목표인 정보의 기밀성, 무결성 및 가용성을 보장합니다. 확립된 관리 시스템은 구속력 있는 프로세스, 역할 및 권한을 정의하고 정보 보안 위험을 체계적으로 줄이는 동시에 고객 및 비즈니스 파트너와 신뢰를 구축합니다.

ISO 27001에 대한 긍정적인 실무 경험

관리 시스템의 적극적인 사용과 위협에 대한 지속적인 분석 및 평가 덕분에 엔터브레인은 정보 보안 및 데이터 보호 영역에서 매우 유리한 위치에 있습니다. 회사의 모든 보호 대상에 대한 포괄적인 문서가 있습니다. 이 외에도 보안 격차를 해소하기 위해 관련 지침, 기술 지침 및 조직 규칙이 정의되어 있습니다.

체계적인 접근 방식은 보안 격차를 해소하는 데 필요한 위협과 프로세스에 대한 투명성을 높입니다. 정기적인 인식 교육 과정은 회사 내 모든 직원을 정보 보안의 엄청난 중요성에 민감하게 만듭니다.

실제로 정보 보안을 위한 관리 시스템은 이미 여러 차례 그 가치를 입증했습니다. 특히 정기적인 직원 교육 덕분에 더욱 그렇습니다. 예를 들어, 2020년에는 새로운 버전의 이모티콘* 바이러스가 조직에 확산되는 것을 방지했습니다.

* Emotet = family of computer malware (macro viruses) that are sent by email

* 이모텟 = 이메일로 전송되는 컴퓨터 멀웨어(macro 바이러스) 제품군

서비스 직원이 위협을 조기에 감지한 덕분에 최악의 상황은 피할 수 있었습니다. 이 새로운 바이러스 변종은 당시 시중에 나와 있는 바이러스 스캐너 소프트웨어 솔루션에서 감지되지 않았습니다.

사건이 발생하는 동안 엔터브레인은 고객으로부터 감염된 이메일을 받았고, 고객은 이 이메일을 처음 열었고 직원은 즉시 사건을 보고했습니다. 그 결과 응급팀이 활성화되었고 회사의 보안 비상 매뉴얼에 따라 사건이 처리되었습니다. 직원의 신속하고 양심적인 대응 덕분에 영향을 받은 컴퓨터가 격리되었고 내부 네트워크에서 바이러스가 확산되는 것을 방지할 수 있었습니다. IT 포렌식 회사를 불러 바이러스 변종과 네트워크를 추가로 조사하고 지원을 제공했습니다.

성공과 신뢰의 기반이 되는 정보 보안

자금 조달 소프트웨어 제공업체와 고객에게 규정 준수는 비즈니스 활동의 필수적인 부분입니다. 모든 회사 직원의 데이터 보호 준수 및 규정 준수 행동은 고객 및 파트너와의 신뢰할 수 있는 협력의 기초가 됩니다. 이러한 요구 사항으로 인해 회사는 제공되는 모든 서비스에 대해 국제적으로 인정된 ISO 27001 표준에 따라 인증을 받았습니다.

모든 서비스에 대한 완전 인증은 단일 사업부에 대한 인증보다 훨씬 복잡하지만, 더 높은 수준의 정보 보안은 회사에 큰 도움이 됩니다. 이는 한편으로는 모든 사업부에 모든 혜택을 제공하는 정보 보안 관리가 이루어지고 있으며, 다른 한편으로는 ISO 27001 인증을 받지 않은 다른 시장 업체보다 엔터브레인이 경쟁 우위를 점하고 있음을 의미합니다.

또한 일반적으로 규정 준수라는 주제가 점점 더 중요해지고 있기 때문에 많은 조직이 ISO 27001 인증을 받은 회사와의 협력 요건도 갖추고 있습니다.

투명성을 확보함으로써 회사는 프로세스 최적화를 통해 고객 만족도와 회사 내 효율성을 높일 수 있는 훌륭한 출발점을 확보할 수 있게 되었습니다. 비즈니스 크리티컬 프로세스와 영역도 명확하게 정의되어 있으며 목표 위험 최소화를 통해 더욱 안전해질 수 있습니다.

Christian Körner와의 인터뷰

Head of Operations at ENTERBRAIN Software GmbH(엔터브레인 소프트웨어 GmbH의 운영 책임자)

정보 보안 관리 시스템의 이점은 한 가지입니다. 그러나 인증 및 관련 연례 감시 감사를 위해 기업은 공인 인증 기관과의 협력에 의존합니다. 이 인터뷰에서 Christian Körner는 ISO 27001에 대한 자신의 경험에 대해 이야기합니다.

DQS: Körner 씨, 중소기업을 위해 특별히 개발된 시스템으로 정보 보안 분야에서 시작하셨군요. ISO 27001 표준으로 전환할 때는 포괄적인 업그레이드가 필요했는데, 특히 중소기업이 노출되는 대규모 사이버 위협을 고려할 때 이 접근 방식을 오늘날에도 여전히 권장할 수 있을까요?

Christian Körner: 엔터브레인은 초기 단계에서 정보 보안에 중점을 두고 선구적인 역할을 맡았습니다. 우리 업계에서 정보 보안은 성공과 신뢰의 토대입니다. 디지털 트랜스포메이션이 가속화되는 과정에서 이 주제는 점점 더 중요해지고 있습니다.

실무 경험과 증가하는 사이버 위협을 바탕으로 이제 ISO 27001 인증부터 직접 시작할 것을 권장합니다. 인증 프로세스의 귀중한 점은 투명성을 확보하여 폐쇄하거나 최소한 최소화할 수 있는 보안 위험을 발견하는 것입니다. 이는 회사의 정보 보안에 크게 기여합니다.

DQS: ISO 27001을 통해 공인된 관리 시스템의 토대를 마련했는데, DQS를 통한 첫 번째 인증 심사를 아직도 기억하시나요?

Christian Körner : 2019년 첫 번째 ISO 27001 심사에서 회사 직원들은 모두 긴장감이 넘쳤습니다. 당시에는 이미 최초의 정보 보안 관리 시스템 인증을 받은 경험이 있었지만, ISO 27001은 그 자체로 동급생이었습니다.

돌이켜보면 최초의 ISO 27001 인증을 떠올릴 때 우리는 약간 미소를 지어야 합니다. 한편으로는 당시 이미 ISO 표준에 대한 준비가 매우 잘 되어 있었고, 다른 한편으로는 부적합한 경우 개선 가능성을 투명하게 보여줄 수 있었기 때문에 회사로서 인증 절차를 통해서만 혜택을 받을 수 있었습니다.

결국, 우리의 목표는 정보 보안을 보장하고 강화하는 것입니다. 따라서 우리는 프로세스를 최적화하기 위한 정보와 권장 사항을 항상 환영합니다. 아직 인증되지 않은 조직이라면 이 점만 추천할 수 있습니다. ISO 27001 인증은 인증서에 대한 욕구가 아니라 오늘날 기업에서 정보 보안의 중요성에 대한 이해를 기반으로 해야 합니다.

DQS: 후속 사후심사에서 심사원으로부터 개선 가능성에 대한 유용하고 실행 가능한 팁을 받았습니까?

Christian Körner:  심사원과의 직접적인 교환은 실질적인 구현을 위한 귀중한 정보를 제공하기 때문에 심사는 인증 및 지속적인 최적화의 중요한 부분이며, 이는 우리에게 큰 풍요로움입니다. 동시에 지난 몇 년 동안 심사원의 포괄적인 IT 지식과 시스템에 대한 이해를 바탕으로 혜택을 누렸습니다. 그에게는 프로세스에 대한 이해도가 높고 회사 규모를 염두에 두고 있는 숙련된 스파링 파트너가 있습니다.

DQS: 이제 첫 번째 재인증을 성공적으로 완료했으며 곧 새 버전인 ISO/IEC 27001:2022로 전환할 예정인데, 이에 대해 이미 DQS와 연락을 취하고 계신가요?

Christian Körner: 예, 이미 몇 달 전부터 DQS와 연락을 취하고 있으며 전환을 준비하고 있습니다. 또한 가능한 '개인정보 관리 시스템' 연장을 조율 중입니다.

DQS: 협력 측면에서 DQS가 개선할 수 있는 부분이 있습니까?

Christian Körner: 우리는 협력에 매우 만족합니다. 이는 주로 경험이 풍부한 심사원이 평가를 통해 시스템을 지속적으로 개선하는 데 크게 도움을 준 덕분입니다.

DQS: Mr. Körner, 좋은 대화와 새로운 ISO/IEC 27001:2022로의 전환에 행운을 빕니다!

향후 계획 및 ISO 27001:2022

ISO 27001은 2005년에 영어로 처음 발표된 국제적으로 인정된 정보 보안 표준입니다. 이 표준은 2013년에 개정되었으며, 당시 새로운  하이레벨 구조로 전환된 최초의 주요 ISO 관리 시스템 표준 중 하나로, 이제 기존 ISO 관리 시스템에 훨씬 더 쉽게 통합할 수 있게 되었습니다. 2022년에는 표준을 최신 정보 기술에 적용하는 데 중점을 둔 추가 수정이 수행되었습니다.

엔터브레인은 새로운 ISO 27001:2022로의 변경에 대해 놀라운 일이 없을 것으로 예상하고 있으며, 특히 데이터 보호와 사이버 보안 분야가 강화될 것이기 때문에 이번 개정을 환영합니다.

회사는 현재 새로운 조치와 요구 사항을 분석하고 회사별 프로세스 및 상황과 비교하고 있습니다. 그런 다음 중간 결과에 대한 평가를 수행하여 특히 부속서 A의 93개 제어 사항 중 일부가 새로운 것과 관련하여 구현의 필요성을 결정할 것입니다.

Enterbrain(엔터브레인)에서 배운 ISO 27001 교훈 - 결론

ISO 27001에 따른 정보 보안 관리 시스템의 구현은 엔터브레인의 보안 전략을 강화하는 데 결정적인 단계로 입증되었습니다. ISO 27001 인증을 통해 얻은 경험은 기술적 조치뿐만 아니라 조직적 조치를 포함하는 총체적인 접근 방식의 중요성을 강조합니다.

ISO 27001 인증은 보안 인프라를 개선했을 뿐만 아니라 고객과 파트너의 신뢰를 크게 높였습니다. 직원들은 정보 보안의 중요성에 대해 더 많이 알게 되었고, 이는 회사 전체에 보안 문화로 이어졌습니다. 이 구현은 과제와 관련이 있었지만 긍정적인 효과가 부정적인 효과보다 훨씬 더 큽니다.

ISO 27001의 경험을 통해 얻은 결론은 분명합니다. 인증은 단순한 인증서가 아니라 지속적인 프로세스를 통해 위협에 더 탄력적으로 대처하고 명확한 경쟁 우위를 확보할 수 있다는 것입니다.

전문성 및 신뢰

사람, 프로세스, 시스템 및 결과에 대한 숙련된 심사원의 전체적이고 중립적인 견해는 정보 보안 관리 시스템이 얼마나 효과적이며 구현 및 통제 방식을 보여줍니다. ISO 표준에 따른 인증은 테스트가 아니라 관리 시스템을 강화하는 것으로 인식하는 것이 중요합니다.

심사를 통해 명확성을 확보할 수 있습니다. 고객은 이를 기회로 보고 있습니다. 개선 잠재력과 가능한 위험에 대한 독립 심사원의 피드백은 품질 능력을 증명하는 것만큼이나 DQS 인증서의 가치가 있습니다. 이를 위해 무결성과 객관성에 엄격한 주의를 기울이고 있으며, 이에 대한 자세한 내용은 심사 철학에서 확인할 수 있습니다.

심사에서는 특정 구현 방식을 선택한 이유를 이해하기 위해 특별히 "이유"를 묻습니다. 저희는 개선 가능성에 초점을 맞추고 관점의 변화를 장려합니다. 이러한 방식으로 관리 시스템을 지속적으로 개선할 수 있는 조치 옵션을 인식하게 됩니다. 저희 말을 믿으세요.

참고하세요: 당사의 기사는 관리 시스템 및 오랜 심사원에 대한 표준 전문가가 독점적으로 작성합니다. 저자에게 궁금한 점이 있으면 연락해 주세요. 여러분과 대화할 수 있기를 기대합니다.