감성·열정·도전이 가득한 보안같지 않은 '보안이야기'

오늘의보안단상

카테고리	중요
제목	진짜 보안이야기 #46
작성자	onesecure
작성일자	2019-04-07
진짜 보안이야기 #46 ISO 인증을 받아야 하는 이유와 효과를 높이는 노력 ISO인증의 효과를 높이는 노력과 극대화할 수 있는 효능은 무엇일까? ISO 인증을 취득한 후 그 효과와 기대감은 어느 정도 될까? 이는 인증을 취득했거나 취득하려 하는 어느 기업에서나 느끼는 평범한 의문 가운데 하나일 것이다. ISO 인증을 취득하였다 하더라도 우리의 업무 시스템이 ISO 경영 시스템에서 요구하는 사항들과 부합되어 고감의 완성도를 만들기가 쉽지 않음을 어느 누구나 느낄 수 있을 것이다. 이것은 비단 우리나라에서만 우리 조직에서만 나타나고 느끼고 있는 체감이 아니라 전 세계적으로 ISO를 도입하고 있는 모든 나라, 모든 기업체에서 느끼고 있는 결과물로 여겨진다. 이와 관련된 재미있는 자료를 하나 소개하자면, 영국에서 발표한 자료 중 흥미로운 내용이다. (THE ENGINEERING QUALITY FORUM에서 "THE TRUE EFFECTIVENESS OF QUALITY RELATED INITIATIVES IN THE U.K"라는 보고서에서 흥미로운 내용 하나를 발췌하면) ISO 인증은 단순 향상을 위한 이유로 취득하는 것이 아니라 오히려 마케팅 비즈니스면에서 필요성이 인식되고 그 분위기가 고조되어 왔었다. ISO 인증이 Cost(비용)면에서 효과가 있었는가 하는 질문에 회답자의 68%가 의문을 갖고 있었거나 또는 전혀 없다고 느끼고 있었다고 한다. 결과적으로 ISO 인증이 Cost(비용)적으로 효과가 있다는 Consensus(일치)는 얻을 수 없었다는 점에 인식을 같이 하고 있었다. 그 가운데 특히 엔지니어링 분야에서는 ISO 인증과 관련하여 Initiative(독창성)이 있다는 사람들은 다수 있었지만 그 사람들 중 28%는 ISO 인증이 진짜 효과적인지의 여부에 관해서는 대단히 혼란스러워 했으며 대체 ISO인증을 무엇에 사용해야 하고 또 ISO인증을 언제 사용해야 하는가에 대한 가이드 라인이 불충분하다고 여기고 있었고, 그 효과 자체에 대해 의문을 갖고 있었다고 한다. 이는 ISO와 같이 인증 자체에만 얽메여 있다면 이러한 결과가 초래 될 것으로 여겨진다 중요한 것은 ISO규격은 ISO인증 취득을 계기로 더욱 더 높은 레벨로 향해 갈 때 비로소 좋은 결과로 이어질 수 있도록 ISO규격이 만들어져 있다는 것을 인지해야 할 것이다. 특히 중요한 것은 ISO규격은 기존의 선진국뿐 아니라 발전도상국의 기업에서도 충분히 적용될 수 있도록 잘 구성, 만들어져 있을 정도로 뛰어난 국제 규격이란 점이다. 요지는 ISO 인증을 취득하는 것만으로는 기업의 경쟁력은 물론 오히려 발전에 도움이 되지 않을 수도 있다란 점을 내포하고 있으며, 시스템 구축과 ISO 인증 취득으로 기업의 레벨을 높이는 보이지 않는 노력과 함께 공동으로 해당하는 성과가 병행되어야 한다는 것을 의미하는 것이기도 할 것이다. ISO 27001:2013 판에서 요구되어지는 'Process approach'의 밀접한 접근법과 '문서의 전자화' 도입이야말로 제대로 ISO를 도입하고 있는 기업에게만 주어지는 대표적인 성과물로 생각된다.
첨부파일