| 정보보호 거버넌스 프레임워크 | 2009.03.25 |
 경영진의 관심과 지지, 책임성, 준거성 기반 수립
정보보호 관리체계와의 명확한 관계 정립과 유기적 연동 필요 기업에게 있어서 개인정보 유출 등의 보안사고는 이미지 실추와 함께 금전적 피해로 인해 기업 존폐의 위기로까지 이어질 수 있다. 이러한 문제에 대응하고 해결 방안을 수립하기 위해서는 법적 요구사항 외에 사회적 책임도 충분히 고려해야 한다. 이러한 요구사항을 해결하기 위해서는 기업 경영진 및 이사회의 관심과 지지, 책임성, 준거성에 기반을 둔 정보보호 거버넌스 프레임워크의 수립이 필수적이라 할 수 있겠다. 대규모 개인정보 유출 등 보안 사고에 따른 사회적 파장, 집단 소송으로 인한 기업의 이미지 실추와 금전적 손실은 정보보호 관리체계, 기술 인프라, 보안장비 등을 도입 및 운영하는 기존 접근 방법만으로 해결할 수 있는 문제가 아니다. 기업은 이러한 문제에 대응하고 해결 방안을 수립하기 위해 개인정보 관련 법에 대한 준수 의무를 충실히 이행해야 하며 법적 요구사항 외의 사회적 책임 역시 충분히 고려해야 한다. 이러한 요구사항을 해결하기 위해서는 기업 경영진 및 이사회의 관심과 지지, 책임성, 준거성에 기반을 둔 정보보호 거버넌스 프레임워크의 수립이 필수적이다. 정보보호 거버넌스는 조직에서 운영 중인 정보보호 관리체계와의 명확한 관계 정립과 유기적인 연동이 필요하다. 기업 거버넌스를 위해서는 효과적인 내부통제 시스템이 작동되고 있음을 입증해야 하는데 기업 거버넌스를 위한 최근 동향에서 주목할 점은 조직 운영 위험의 일부로서 정보보호를 포함하고 있다는 점이다. 따라서 이사회와 중역진들은 조직의 목표를 달성하고 기업 거버넌스의 요구사항을 만족시키기 위한 정보보호 거버넌스 프레임워크 개발에 대한 필요성을 인식해야 한다. 거버넌스의 유형
기업 거버넌스는 기업의 지배구조로서 통칭되기도 하며 일반적으로 다음과 같은 정의를 사용하고 있다. 기업 거버넌스는 이해관계자들의 상이한 이해를 조정하여 주요한 의사결정을 하는 방법을 의미하며 조직의 방향을 설정하고 의사결정 집행 방법을 의미한다. 효과적으로 기업 활동을 지배하기 위해서는 위험관리 프레임워크가 수립되어 내부 통제 시스템을 지원하고 경영진 활동에 대한 책임성을 수립해야 한다. ● IT 거버넌스 IT 거버넌스 개념에 대한 연구는 크게 광의와 협의의 관점으로 구분하여 분류할 수 있다. 먼저 IT 거버넌스를 협의의 관점으로 살펴보면 “조직의 비즈니스 목적과 IT 투자 사이의 연결고리를 만들어내는 것”을 말한다. 광의의 관점으로 살펴보면 “조직 구조와 업무 프로세스에 관련된 문제”로 정의한다. 또한 “기업이 IT에서 최대한의 가치를 창출하기 위해 기업의 전략과 IT 전략을 연계할 수 있는 IT업무 프로세스를 통제하고 지휘하는 것”을 말한다.
● 정보보호 거버넌스의 목표 및 정의
정보보호 거버넌스에 대한 정의는 여러 연구 결과물에서 찾을 수 있다. 표 2에서 보는 바와 같이 정보보호 거버넌스에 대한 공통적인 요소는 다음과 같다.
정보보호 거버넌스는 정보보호 활동과 비즈니스 목표와 전략적으로 연계하고 관련 책임과 의사결정 권한을 할당하며 관련 법 규정의 준수를 목표로 하는 것으로 기업 거버넌스의 중요 요소이다. 정보보호 거버넌스의 위상 ● 기업 거버넌스의 다른 요소와의 관계
그러나 정보는 전형적으로 사람에 의해 창조되며 IT 이외의 형태, 즉 문서나 음성으로 처리, 전송, 저장되므로 효과적인 정보보호를 위해서는 IT 보안기술이 제공하는 보안서비스 이상을 필요로 한다는 점을 강조하고 싶다.
● 정보보호 거버넌스와 정보보호 관리 정보보호 거버넌스는 단지 정보보호 관리의 또 다른 용어가 아니다. 효과적인 정보보호 관리를 위해서는 최고경영자의 적극적 참여 및 의지가 필요하다. 그러나 정보보호 관리는 실제로 조직의 실무 운영을 담당하고 있는 인원에 의해 구현된다. 즉, 정보보호 거버넌스를 위해서는 그림 2와 같이 정보보호 관리체계를 평가, 지시, 모니터링 하는 거버넌스 프로세스가 필요하다. 정보보호 거버넌스 프레임워크 ● 정보보호 거버넌스의 목표 정보보호 거버넌스는 정보보호를 위한 관리·계획·성과보고·평가·의사결정 프로세스를 포함하고 있으며 지휘, 책임할당, 의사결정을 가능하도록 하며 다음의 사항을 목표를 한다.
● 정보보호 거버넌스 원칙 효과적인 정보보호 거버넌스는 10가지 원칙을 기초로 하며 정보보호 거버넌스 목표를 수행하려는 조직을 지원한다. [책임성의 원칙]
[비즈니스 연계성의 원칙]
[준거성의 원칙]
● 정보보호 거버넌스 프로세스
정보보호 거버넌스 주요 영역 이사회와 최고 경영자는 정보보호 거버넌스 강화를 위한 기본적인 책임성을 확보해야 한다. 정보보호 거버넌스는 ITGI가 제시하는 전략적 연계, 위험관리, 자원 관리, 성과 측정, 가치전달 등 5개의 영역에 초점을 맞추는 것이 필요하다. ● 전략적 연계 조직의 목표와 정보보호의 전략적 연계를 수행하기 위해서 정보보호 거버넌스는 다음과 같은 사항이 포함되어야 한다.
● 위험관리 수용 가능한 조직의 정보보호 사고의 잠재적 위험을 줄이기 위해서 정보보호 거버넌스는 다음과 같은 사항이 포함되어야 한다.
● 자원 관리 효과적이고 효율적인 정보보호 지식과 자원을 관리하기 위해서 정보보호 거버넌스는 다음과 같은 사항이 포함되어야 한다.
● 성과 측정 측정·모니터링·보고를 위한 정보보호 프로세스 목적을 수행하기 위해서 정보보호 거버넌스는 다음과 같은 사항이 포함 되어야 한다.
● 가치전달 조직의 목표를 지원하는 정보보호 투자를 최적화시키기 위해서 정보보호 거버넌스는 다음과 같은 사항이 포함되어야 한다.
<글 : 이성일 시큐아이닷컴 컨설팅팀 과장(si34.lee@samsung.com)> [월간 정보보호21c 통권 제103호 (info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지> |
|
 |
거버넌스라는 용어는 종종 정치과학 분야에서 자주 인용되고 있으며 국가 통치 또는 시민이나 언론과 같은 이해 관계자들이 정부의 의사결정에 영향을 미칠 수 있는 방법을 의미하고 있다. 이 개념은 역시 경제나 기업 관점에서도 사용되고 있다.
IT거버넌스에 대한 연구와 보급을 전문적으로 취급하는 조직인 ITGI(IT Governance Institute)는 “IT 거버넌스는 이사회와 최고 경영자의 책임성 확보이다”라고 언급했다. 또한 IT 거버넌스를 기업 거버넌스의 구성요소로서 IT가 조직의 전략과 목표를 지속, 확대하는 것을 보장하기 위한 리더십, 조직 구조와 프로세스로 구성되어 있다고 규정하고 있다
기업 거버넌스, IT 거버넌스와 정보보호 거버넌스와의 관계를 분석 해보면 IT 거버넌스와 정보보호 거버넌스는 기업 거버넌스의 일부분으로서 비즈니스 목표와의 연계를 강조하는 측면과 정보보호 거버넌스는 정보가 IT에 의해 처리, 전송, 저장되기 때문에 IT 거버넌스의 일부에 속해야 한다는 의견이 있다.
그러므로 단순히 IT 보안만으로 해결할 수 없는 정보 자산 관련 위험을 관리하기 위해 독자적인 정보보호 거버넌스 프레임워크를 개발할 필요가 있다. 정보보호 거버넌스와 IT거버넌스의 범위는 그림 1과 같이 공통부분을 가지고 있다. 
정보보호 정책 요구사항 강화 : 정보보호 요구사항은 인력과 프로세스 기술을 지원하는 잘 정비된 정책 및 절차로 구현해야 한다.
효과적인 정보보호 거버넌스는 정보보호 거버넌스 목표와 전략이 연계된 정보보호 관리체계 활동들을 평가·지휘·모니터링 하는 것으로 유지해야 한다. 이는 그림 3과 같이 정보보호 거버넌스 프로세스 구현으로 수행 할 수 있다.