서울특별시가 본청 및 자치구에 적용할 보안관리인증 ‘사이버보안평가제도’를 개발한다. 지자체가 보안관리인증체계를 자체 개발해 적용하는 첫 사례다.
서울시는 올 연말까지 본청과 1개 자치구에 사이버보안평가제도 시범사업 사업자를 선정할 것이라고 25일 밝혔다. <본지 3월 24일자 1면 참조>
서울시는 사이버보안평가제도 용역사업자를 9월까지 선정해, 올 연말까지 시범 적용한 후 2012년까지 사업소 및 자치구 일부에 적용한다. 이 제도를 2013년까지 25개 자치구, 2014년 16개 출연기관까지 확대 시행한 후 2015년 서울시 전 기관에 적용할 계획이다.
김완집 서울시 정보보호정책팀장은 “전자정부법 제56조 정보통신망 등의 보안대책 수립 및 시행에 따라 우리 시 정보보호 관리 체계를 수립할 계획”이라며 “자체 보안관리인증체계를 개발, 적용하는 세계 유일의 사례”라고 말했다.
서울시는 기관에 대한 보안관리 강화 차원에서 독자적인 보안관리시스템을 개발, 활용한다. 서울시가 개발할 사이버보안평가에는 외부보안관리, 정보보호 교육훈련, 응용 시스템 보안, 서버 및 DB보안, 네트워크 보안, 물리적 보안, 보안 시스템 운영 등 물리적 시스템부터 보안 관리, 교육에 이르기까지 전 영역이 포함된다.
서울시는 이미 BS7799, ISO27001, 국가정보보호관리체계(G-ISMS) 등 국내외적인 정보보호관리체계(ISMS) 관련 인증을 취득한 바 있다. 하지만 기존 ISMS 인증이 문서 위주의 형식적인 시행 중심인데다 ISMS 적용 항목이 서울시 환경과 부적합한 부분이 많다고 판단해 별도 보안관리 시스템을 자체 개발하기로 했다.
김 팀장은 “정보보호 관리체계, 서울시 보안업무처리 규칙 등 보안 관련 점검항목을 검토해 서울시 정보보호체계에 적합한 지표를 개발할 것”이라며 “실제로 적용 가능한 체크리스트 기준에 입각해 보안인증을 부여할 방침”이라고 말했다. 또 “이번 서울시 사이버보안평가제도 신설로 사이버위협에 대한 사전예방 및 능동적 보안업무 수행이 가능해질 것”으로 기대했다.
<표> 정보보호관리체계와 정보보호 법·제도 통합하는 서울시 사이버보안평가기준
자료 : 서울시
장윤정기자 linda@etnews.com