ISMS, ISMS-P 인증 컨설팅 업체 선정 시 고려사항
페이지 정보
본문
"모의해킹 · 보안취약점진단 · 정보보호컨설팅" 전문기업 『라스컴 시큐리티』 www.lassecu.com T:1522-3863 secu@lascom.co.kr
안녕하세요 라스컴 시큐리티입니다.
오늘은 정보보호 관리체계 컨설팅 수행사 선정 시 고려사항을 소개해 드리겠습니다.
조직의 정보보호 수준을 높이기 위한 ICT보안정책 수립, ISMS-P 인증 취득을 위한 ISMS-P 인증 컨설팅 업체 선정 시 검토할 주요 고려사항은 아래와 같습니다.
1. 정보보호 컨설팅 제안 기업의 현황 검토
정보보호 컨설팅 업체의 설립 연도, 주요 연혁, 사업 분야, 보유 기술 등을 종합 검토하고 정보보호 컨설팅 분야에서 ISMS-P 인증 컨설팅 사업을 추진하는데 무리가 없으며 안정적이고 적합한 컨설팅 제안 기업인지 평가합니다. 특히 보안 컨설팅 업체의 연혁, 사업 분야, 수행 경험, 업체 규모 등은 최초 인증 심사 뿐 아니라 사후 관리 등 지속적인 지원을 위해서도 중요하게 검토되어야 합니다.
2. 정보보호 컨설팅 제안 기업의 재무 현황 및 신용도
ISMS-P 인증 컨설팅 제안 기업에 대한 신용평가 기관의 신용평가 등급 및 현금흐름을 평가하여 정보보호 컨설팅 용역 사업을 추진하는데 재정 상태가 안정적이고 재무적 어려움이 없는 경영 환경의 제안 기업인지, 사후 용역 사업에 지속 수행 가능한 제안 업체 인지 평가합니다. 발주사가 안심하고 보안 컨설팅 용역을 발주하기 위해서는 컨설팅 수행 기업의 재무 상태 및 신용도는 반드시 사전에 확인해야 할 중요한 사항입니다.
3. 정보보호 컨설팅 용역 사업의 수행 실적
기술 보안 측면에서 보안취약점진단 및 모의해킹 수행 실적, 관리 보안 측면에서 정보보호관리체계(ISMS, ISMS-P, ISO27001 등) 수행 실적, 해당 업종의 컨설팅 수행 경험 등의 수행 실적을 평가합니다. 보안 컨설팅 전문기업 선정 시 가장 중요하게 검토할 사항입니다.
특히 발주사의 본사가 해외에 있는 외국 법인인 경우에는 컨설팅 사업 추진 시 해외 본사의 현지인들과 외국어로 소통해야 하며 최종 산출물인 보고서도 영문으로 제출하기 때문에 이러한 외국어 소통 역량을 검토해야 하며 이전에 유사 경험 또는 실적이 있는지 검토해야 합니다. 필요 시 기업 기밀과 보안에 문제가 없는 정도의 이전 영문 보고서 샘플을 요구하면 판단하는데 도움이 됩니다.
4. 정보보호 컨설팅 용역 기업의 추진 조직 및 전문 인력
ISMS-P 인증 컨설팅 수행 업체의 조직 구성과 전문인력의 경험과 수행 실적을 평가하고 해당 업종의 사업 수행 경험이 있는지 평가합니다. 해당 정보보호 컨설팅 업체의 직접 고용 인력으로 컨설팅 사업을 수행하는지 외주 보안 컨설팅 업체를 활용해서 컨설팅 사업을 수행하는지 검토합니다.
정보보호 컨설팅은 자사 전문인력을 컨설팅 사업에 투입하면 가장 좋으나 사업이 많은 시기에는 업계에 전문인력이 부족한 현상 때문에 원활한 사업 수행을 위해서는 컨소시엄 또는 외주 형태의 자사 인력과 협력사 인력으로 구성된 프로젝트팀을 구성하는 것이 매우 일반적입니다.
또한 외주 보안 컨설팅 협력업체 또는 타 컨설팅 업체의 인력을 활용한다면 컨소시엄 또는 재하도급 참여 협력사의 컨설턴트와 협력업체의 수행 실적도 함께 검토하는 것이 좋습니다. 아울러 아무래도 보안 컨설팅 사업은 전문인력이 수행하는 만큼 참여하는 인적 자원의 검토를 위한 참여 전문인력의 프로필을 받아 수행 역량과 경험을 함께 검토하는 것이 바람직합니다.
한국인터넷진흥원에서 운용하는 정보보호 전문 서비스 기업의 정보보호 컨설팅 기술력(역량, 실적,인력 수준 등)이 지정 받지 않은 일반 정보보호 컨설팅 용역업체와 차이가 있다고 볼 수는 없습니다. 다만 정보보호 컨설팅 용역업체의 수행경험, 신용평가, 전문인력 등에 큰 문제가 없다고 판단되면 수행하는 컨설팅 업체가 얼마나 책임감과 신의로 컨설팅 용역을 수행하는지 따라 컨설팅 용역의 성패가 달려 있습니다.
5. 보안 컨설팅 용역 비용
일반적인 용역과 마찬가지로 ISMS-P 인증 컨설팅 용역 사업도 가장 중요하게 평가해야 할 사항은 비용과 기술력입니다. 기술 보안 컨설팅(모의해킹, 취약점 진단 등) 또는 ISMS-P 컨설팅 등 정보보호 컨설팅 비용은 보편적으로 대형 보안 컨설팅 업체는 비용이 비싸고 중소 보안 컨설팅 업체는 비용이 비교적 저렴한 편입니다.
한국인터넷진흥원에서 운용하는 정보보호 전문 서비스(컨설팅, 보안관제) 기업이 있습니다. 주요정보통신기반시설에 대한 취약점 분석 및 보안관제센터 운영 등을 신뢰할 수 있는 민간기업이 참여할 수 있도록 하는 전문기업 지정 제도입니다. 이러한 정보보호 전문 서비스 기업의 정보보호 컨설팅 용역 비용은 일반 중소 정보보호 컨설팅 기업의 비용 보다는 비교적 비싼 편 입니다.
기업 입장에서 ISMS-P 인증 컨설팅 용역 비용을 절감하려는 경우, 위에 언급된 검토 항목들을 토대로 중소 보안 컨설팅 기업들을 꼼꼼히 살펴본다면 비교적 저렴한 비용으로 ISMS-P 인증을 취득할 수 있습니다. ISMS-P 인증 컨설팅 용역 뿐만 아니라 모의해킹 및 취약점 진단 등 기술보안 측면의 보안 컨설팅 용역도 동일합니다.
전문 정보보안 컨설턴트가 제공하는 ISMS, ISMS-P 인증 컨설팅 서비스가 필요하실 때,
라스컴 시큐리티로 문의 주시면 친절하고 상세하게 안내 드리겠습니다.
감사합니다.
모의해킹 · 취약점진단 · 정보보호컨설팅
- 이전글정보보호 컨설팅이란 24.02.13
- 다음글OWASP Top 10 2021: A01 – Broken Access Control(취약한 액세스 제어) 23.11.03