ISMS 인증 대응·개인정보 흐름 파악·접근 통제 정책 수립으로 정보보호 관리 결
정보보호 관리체계 관련 경험에서 가장 먼저 한 것은 개인정보가 시스템 어디에서 수집되고 어떻게 흐르는지를 매핑하는 것이었습니다. 데이터 흐름도를 그려보면 불필요하게 저장되거나 과도하게 수집되는 항목이 보이고, 이를 근거로 수집 최소화 조치를 취했습니다.
접근 통제 정책도 정비했습니다. 운영 DB에 접근 가능한 계정을 최소화하고, 역할 기반 권한 관리를 도입해 각 구성원이 업무에 꼭 필요한 권한만 보유하도록 했습니다. 권한 변경 이력을 로그로 남기는 것도 감사 대응에서 중요했습니다.
ISMS 인증 대응에서는 증적 자료 수집과 프로세스 문서화가 핵심이었습니다. 실제로 운영 중인 절차를 문서로 정리하고 정기 점검 결과를 기록으로 남기는 체계를 구축하면서, 인증 이후에도 지속적으로 관리 수준을 유지할 수 있었습니다.