ISO/IEC 27001 (정보보호관리체계 인증) 심사원 자격 시험

#서두 (왜 ISO27001을 알아보게 되었는가)

 

지난 연말 CISA 자격을 취득하기 위해 사무실과 집과 동시에 멀리 있는 강남 라이지움에 업무가 끝나면 쉼없이 달려가 7시부터 10시까지 3개월간 주2회 수업을 받았다. 

저녁에 학원을 다닌다는게 정말 쉬운 일이 아니다. 집중도 해야되지만 집에 도착하면 거의 12시가 되고, 다음날 출근을 하기 위해 6시에 기상해야 하고... 

직장을 다니면서 공부를 하는 모든 이들에게 박수를 보내자~~!!

 

아무튼 수업이 끝나니 2020년 1월이다. 2개월간 공부 좀 하고 시험을 보려고 했지만 설날과 가정사 그리고 코로나가 발생하여 차일피일 미루다가 결국 시험을 못 봤다. 참으로 슬프고 안타까운 일임에 틀림없다. 조만간 준비해서 합격증을 받아 내야 한다!

 

이러다 보니 정보보안에 관련된 뭔가의 공부가 조금을 필요하고, 회사에서도 KPI(핵심성과지표) 중 교육 및 자격증 취득이 있어 이래저래 고민하다 ISO27001이라는 과정을 찍게 되었다.

 

그러나 이것은 일주일을 통째로 학원에 바쳐야 하는 일이다. 직장인이 주5일 모두 출근도 없이 학원을 다니기도 쉽지 않은 일이다. 그러나 조직에 허가를 받아냈다. 물론 130만원의 학원비까지 말이다. 그러다보니 부담감도 만만치 않다.

 

 

#본론 (ISO27001의 수업방식)

 

주5일 내내 거의 토론수업이라고 해도 과언이 아닐정도로 많은 토론을 하게 된다. 팀을 꾸리는데 보통 4명 1조로 한다고 하는데, 코로나의 여파로 총 5명밖에 신청을 하지 않아 2면, 3명으로 2개조를 꾸리게 되었다.

 

서론, 개념과 개요에 대해 강사가 설명을 한다. 그러나 기준은 있어도 답은 없다. 

ISO라는 것은 '국제표준'을 얘기하는 것이다. 그 '표준'이라는 것이 답이 아니라 답을 찾아가는 방법, 형식, 진행형태 등이 있는 것이지 이렇게 해야만 한다는 것은 없다. 왜냐하면 어느 기업이든, 조직이든 각자의 기준에 맞는 방식으로 정보시스템을 구성했으며, 운영하고 있고, 변형하고 있기 때문이다. 기초적 기준은 정해져 있다. (114개로되어 있는 ISMS의 준거틀이다)

 

각 회사가 정한 기준이 국제 표준에 맞는가도 중요한 부분이긴 하지만 그것보다 그 기준이 그에따라 잘 운영되고 있는가를 심사하는 과정이 바로 본 교육인 것이다.

따라서 어떠한 사안을 어떻게 바라 볼 것인가를 강사가 조금씩 틀을 잡아주는 교육방식이다.

 

그러다 보니, 마지막에 시험은 참으로 어렵게 받아드려졌다. 내가 쓰는게 점수를 획득할 수 있는 답인가를 생각하게 된다. 또한 그러한 생각을 오래 할 수도 없이 문제의 답을 작성하는 것만으로도 2시간은 엄청 짧은 시간이다. 2시간이 1초처럼 느껴지고, 시험지를 제출하면 "아~ 80%가 붙는다던데 20%가 나구나"라는 생각이 바로 든다.

 

참고로, 라이지움은 대체적으로 심사원 자격시험의 합격율이 평균 80%로 확인되고 있다 한다.

 

주5일이 엄청 빠르게 지나가지만 정신적 스트레스도 이만저만이 아니다. 다른 사람은 어떻게 생각하는지 모르겠지만 최소한 나는 그렇게 느꼈다. 그래서 다음부터 ISO 공부는 하지 말아야겠다는 생각이... ㅡㅡ;

 

 

#결론 (의미)

 

합격을 하면 바로 심사원(보)가 되는게 아니다. 합격증은 심사원(보)를 등록할 수 있는 자격이 생긴다는 것이다. 즉, 심사원(보)신청이 가능한 자격증을 아래와 같이 발급해 준다.

 

이에따라 https://www.quality.org/join-IRCA  에 접속하여 회원가입도 해야 되고, 자격에 맞는 일을 했는지, 얼마나 뭘 했는지도 영어로 등록해야 하고, 돈도 내야 심사원(보) 자격증이 영국에서 한국으로 날라오는거다.

이때 비로소 심사원(보)라는 자격이 생기는 것이다.

 

CQI/IRCA라는 곳에서 국제표준을 관리하는데 (보) 자격을 취득하더라도 (보)라는 단어를 뗄려면 5년 동안 실제 심사에 참여하여 20일 이상을 채워 등록해야 한단다. 

또한 1년마다 자겨을 갱신해야 하고, 돈도 내야 하고... 암튼 어렵다.

 

그래서 자격 연장의 가치가 있는지 자신을 둘러싼 환경에 따라 고민이 필요한 문제이다.

또한 국내인증 자격도 있다. 누군가는 우리나라에서 활동하기 위해서는 최소한 ISO에서는 국제인증보다는 국내인증을 획득하는 것이 협회등록이나 사람들간의 친목도모가 더 좋다는 얘기도 있다.

 

최종 결론은,

각자가 판단하여 국제, 국내 중 어느것을 취득할 것인가, 어떻게 사용할 것이며, 자격을 어떻게 운영, 유지할 것인가에 따라 결정하면 된다.

그러한 생각없이 (정보보안체계 + KPI + 학원 가능기간)이라는 3개의 단순한 조합으로 라이지움에서 ISO27001의 자격시험을 치룬 것이고, 저 사이트에 가서 등록하여 <<심사원(보)>>라는 자격을 취득하여 자격증이 날라오기만을 기다리고 있다는 것이 나의 결론이므로 혹 이 글을 읽는 이는 몇가지 더 살펴 본 이후에 공부를 하시라고 얘기해 주고 싶다.