Daily Archives: 2013-07-22

You are browsing the site archives by date.

ISO27001, ISMS 인증 뿐만아니라 Depth 있는 포렌식 점검 필수

아침신문에 OO중공업이 ISO27001 인증 받았다는 기사를 읽었다.

인증받기 위해 직원들 참 많은 고생을 했을것이고 앞으로 계속 인증 심사를 위한 많은 노력을 해야할 것이다.

최근에 ISO27001, ISMS 인증 심사를 받은 기업을 대상으로 보안감사?를 다녀 왔다.
인터뷰상에서는 모든 것이 잘되어 있었다. 뭐가 질문을 하면 예상했던 질문이라는듯 대답을 시원시원하게 잘하는 것이다. (증빙 문서를 보여주면서 말이다)

간단한 질문을 했다 “퇴사자 PC는 어디에 보관하십니까?”
대답 “퇴사자가 없어서 별도 보관하고 있는 PC 없습니다.”
질문 “그러면, 신규 입사자가 발생하면 어떻게 합니까”
대답 “입사전에 구매완료해서 지급합니다”

뭔가 이상하다는것을 느꼈고, 점심시간에 회사 다른 사람에게 지나가는 말로.. 이직율을 물어보면서 보관하고 있는 컴퓨터가 있는지물어보았는데.. 역시나.. 한쪽구석 케비냇에 보관하고 있습니다. 라고 말을했다.

인터뷰에서 거짓말하는거 찾아내야한다. 찾아내는 방법은 여러가지가 있겠지만 그중에 하나가 다른 사람에게 동일한 질문을 해보는 것이다.

회사 이곳 저곳 구석을 돌아다니면서 컴퓨터 관리실태가 엉망이것도 확인했다. 구석에 방치된 컴퓨터 본체가 열려있는체로 사용하는 컴퓨터, 하드디스크 방치 등 많은 문제점을 눈을 통해 확인하였다.

또한, 정보보안 시스템 관리도 인터뷰상에서는 잘하고 있다고 했으나, 실제 확인 결과, 이동식 저장장치 로그가 남지 않았고, 이메일 외부 전송은 통제는 되어 있었으나, 사용자가 유선으로 요청할경우 해제해주고 있었다. 즉, 근거가 없었다.

문서상으로는 잘 기록되었다고 했으나, 문서상에 기록된 로그와, 실제 보안시스템에 남아 있는 로그 확인결과 불일치 했던것이다.

문서는 문서대로.. 로그는 로그대로..
따로따로 노는 이런 결과가 초래했다.