상하이방

①네트워크안전법 시행성공과 적발사례
②네트워크안전법 시행현황 및 후속 법령 및 시사점
③네트워크안전법 보안등급 실무 절차
④네트워크안전법 우리기업 준비 사례

네트워크안전법과 관련 대부분 사항들이 문제가 발생했을 때 어떻게 처리할 것인지에 대한 부분이다. 하지만 보안등급은 기업이 선제적으로 미리 준비해서 보안등급을 받아야 한다. 향후 문제 발생 시 보안등급 심사를 받았는지 여부가 아주 중요한 판단 기준이 되기 때문이다. 지난해 네트워크안전법 시행 이후 각각 2등급, 3등급에 대해 보안등급 증서를 받은 경험을 토대로 쉽게 정리, 설명해본다.

네트워크안전법 보안등급 개요

보안등급 제도는 1994년에 <중국인민공화국 전산 정보시스템 보호 조항 국무원 147호령 제9조>에 의해 이미 오래전부터 시행되고 있는 제도다. 이번 네트워크안전법을 통해 이 제도가 모든 기업들에게 확대 적용되게 된 것이다.

<네트워크안전법 제38조> 규정에 의해 기업은 반드시 자체 또는 네트워크보안서비스기구에 위임해, 자신의 네트워크의 안전성에 대해 검사평가를 진행하고, 결과를 담당 기관에 제출해야 한다.

보안등급은 총 5등급으로 나눠져 있다. 5등급이 가장 높은 등급이다. 실제 일반 기업들은 4등급, 5등급은 발급 사례가 없으며, 1등급도 아주 일부 지역에 한해서만 실시되고 있다. 따라서, 모든 기업은 2등급 또는 3등급으로 등급 심사가 진행된다.

보안등급 심사는 한 개 기업이라도 각 시스템 별로 별도로 받아야 한다. 즉 회사에서 사용하는 시스템이나 플랫폼이 다르다면, 모두 별도로 받아야 한다. 단지, 그룹사가 같은 시스템을 사용하는 경우, 실제 시스템을 관리하는 계열사 한 곳만 보안등급을 받으면 된다.

기업이 보안 2등급을 받아야 하는지, 3등급을 받아야 하는지 아직 명확한 규정은 없다. 현재 대략적인 기준들이 적용되고 있는데, 예를 들면 개인정보가 1만명 이상이거나 결제 시스템이 연결되어 있다면 3등급을 받아야 한다.

보안등급 심사는 실제 직접 진행이 불 가능하며, 등급심사기관을 통해서만 가능하다. 상하이에는 총 5개의 등급심사 기관이 있다. 그 곳과 계약을 하고 진행해야 한다.

보안등급 신청 절차

①등급확정 보고서 및 보안등급 비안 신청서를 공안국에 제출한다. (보통 등급심사기관에서 서류작업을 진행하고 신청서도 대신 제출해 준다.)

②제출한 보안등급 비안 신청에 대해 공안국에서 심사를 진행하고, 등급확정 및 진행 여부를 확인 받아야 한다. 공안국의 승인이 나면, 보안등급 심사를 진행하면 된다.

③등급심사기관에서 1차적으로 시스템현황 점검 및 국가 보안등급 기준에 맞추어 시스템 제안서를 작성한다. (심사기간 내에 모의점검을 통해 문제점 정리）

④제안서내용에 맞춰 보안장비 및 소프트웨어를 구매하고 기존 관리제도를 업데이트 한다.

⑤정식평가테스트 진행 (등급심사기관에서 진행, 1~2일 정도 고객사사무실에서 실사진행)

⑥등급심사 기관에서 정식평가테스트를 통해 평가보고서를 공안국에 제출한다.

⑦공안국은 최종 평가보고서를 검토하고 보안등급 증서를 발급한다.

보안등급 측정 대상과 양식

측정 대상은 전산실, 네트워크 및 설비, 서버 및 중요 단말기, 데이터 베이스 및 어플리케이션 시스템, 그리고 관련 관리제도 및 문서이다. 관리제도의 모든 서류는 문서화돼 있어야 한다. <정보안전 훈련기록>, <비밀서약>, <자산목록보표>, <바이러스검사보고> 등과 같이 총 26개 항목에 60개의 문서 양식에 맞춰 서류를 준비해야 한다. <정보안전 훈련 기록><정기 검사 기록표><정기 백업 기록표>와 같은 일부 서류들은 진행결과에 대한 담당자 사인이 꼭 있어야 하는 항목이다.

보통 이 많은 서류들의 양식을 직접 작성할 수 없기 때문에, 등급심사기관 이외에 컨설팅 회사와 계약을 해서 진행하는 경우가 많다. 필자도 지난해에 보안등급 심사를 진행할 때 별도 컨설팅 회사와 계약해서 진행했다.

신동욱 dushin@aiyonet.com
상해·화동 한국IT기업협의회 회장