휴일이 많아 어수선했던 한주의 마지막인 토/일 이틀간 클라우드 서비스 보안인증 교육을 듣고 왔다. 주중 근무시간에는 시간을 내기 어려운 관계로 야간이나 주말 교육을 선호하는지라 이번 교육을 주말에 진행함이 개인적으로는 마음에 들었다.(주중에 했다면 참여하지 못했을 가능성이 높다.)
교육 제목은 다소 거창해 보일 수도 있지만 신규 평가원 인력 Pool을 선정하는 교육이 아니라 CSAP 평가 수행 경력이 없는 사람들이 동일한 관점에서 CSAP 평가를 할 수 있도록 또한 더 잘할 수 있도록 가르침을 주는 교육이었다.(CSAP 평가 경험이 있으신 분들을 대상으로는 별도로 교육을 진행하고 있다고 함)
CSAP 서면/현장 평가는 ISMS-P 인증심사원 자격을 보유하고 심사일수가 40일 이상되는 분들은 참여가 가능하지만, 별도의 지원 경로가 없어 인증기관이나 평가기관 분들이 불러주셔야 실제 참여가 가능한 걸로 알고 있으며, 또한 CSAP 평가기관이면서 ISMS 심사기관인 곳의 ISMS 심사에 참여했을때 심사 팀장님께 CSAP 참여의사를 밝히면 불러주시는 경우도 있다.
교육생의 질문에 교육 운영 업무 담당자분이 답변하셨던 것은 한국인터넷진흥원에서 CSAP 평가 참여 신청을 어떻게 처리할지 아직 결정된 부분이 없으며(고민 중이라는 뉘앙스였던 걸로 기억이 나는데 정확하지 않다.) 결정이 될 경우 isms.kisa.or.kr 홈페이지에 공지를 하겠다고 하셨다.
o 커리큘럼
1. 클라우드컴퓨팅 개요 및 관련 법률
2. 클라우드 서비스 보안인증 제도
3. 클라우드 서비스 보안인증 평가
4. 클라우드 서비스 보안인증 기준
5. CSAP 주요 부적합 사례 및 등급제 개정(안)
그간 CSAP 관련 교육을 여러 차례 들었던지라 익숙한 내용도 있었던 반면에 강사님이 평가에 참여해 겪었던 경험들을 말씀해 주실 때는 새롭기도 하고 향후 "내가 평가에 참여할 경우 큰 도움이 될만한 내용이구나"란 생각이 들기도 했다.
CSAP 평가원은 부적합 보고서(일종의 결함 보고서) 작성 뿐만 아니라 보안운영 명세서에 점검 항목별 적합/부적합 여부 및 판단 이유(신청기관 현황)를 작성해야 한다. 즉 모든 점검 항목을 확인해야 하는 번거로움, 어려움 및 바쁨이 있으며, 보안운영 명세서에 작성자 성명을 적고 해당 명세서를 신청기관/인증기관/평가기관이 모두 보유하는 구조기 때문에 ISMS보다는 부담감과 중압감이 있는 작업 같다.(CSAP 평가에 참여하기 전에 인증기준 해설서를 여러 번 읽고 가야 될 것 같다.)
강사님은 전문성을 갖고, 교육 시간 내 항상 성의 있는 모습을 보여주셨다.
피곤하지만, 보람찬 주말을 보낸 느낌이라 기분이 좋다.
'메모&낙서장' 카테고리의 다른 글
2024년 가명정보 전문가 풀 과정 교육 (간단)후기 (2) | 2024.08.27 |
---|---|
리콜 관련 법적근거 정리 (0) | 2024.07.07 |
AWS 보안 공부를 위해 참고할 수 있는 링크 (0) | 2023.12.18 |
[자료] 꼭 알아야 할 영업비밀 관리 표준서식 활용 가이드 (0) | 2023.12.16 |
개정 개인정보보호법 현장 안착을 위한 종합 설명회 참석 (0) | 2023.12.14 |