• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[기고] 정보보호 거버넌스의 도메인-자원관리 2011.04.29

자원(Resource)은 제한적이므로 입력보다 출력을 늘려야 한다.
기업이나 공공기관이 목적과 전략을 달성하기 위해서는 먼저 투자해야 하는 것이 있다. 자원이 바로 그것이다. 정보보호 거버넌스를 이루기 위해서든, IT 거버넌스를 성취하기 위해서든 입력물이 있어야 출력물이 나온다. 입력물에 해당하는 것이 자원이라 할 수 있다.

       

        제한적인 자원


하지만 무한히 자원을 투자할 수는 없다. 전략을 가지고 어느 정도 투하된 자원은 일정기간 안에 결과를 내보여야 한다. 그 결과는 당연히 투하된 자원보다는 상대적으로 커야 할 것이다. 이것이 자원관리 도메인의 도착점이라 할 수 있다. 이러한 자원관리의 결과는 성과물이 되어 적절한 성과기준에 의해서 성과가 측정되어야 하는 ‘성과 측정’의 도메인의 시작이기도 하다.

    
     자원관리의 관념도


정보보호 거버넌스를 위한 자원들은 어떤 것들인가?

정보보호 구현을 위해 투자되는 자원들은 다음과 같다.

· 정보보호 지식

· 정보보호 인프라 스트럭처

· 정보보호 어플리케이션

· 정보보호 인적자원

· 문서화된 정보보호 프로세스와 정보보호 실무방안


정보보호 지식(Knowledge)

정보보호를 위한 지식이 정보보호를 위한 자원이라는 것에 고개를 갸우뚱할 수 있다. 자원은 꼭 눈에 보이는 물리적인 것에만 한정 지을 수 없다. 정보보호의 대상은 정보이다. 정보는 기업의 핵심적인 자산이므로 정보자산(Information Asset)이라고 하는 것은 정보보호 거버넌스의 기본 ABC이다.

정보(Information)는 정보라는 모습을 갖추기 전에는 데이터(Data)였다. 기업이나 공공기관이 운영되기 위해서 만들어진 기초 자료(Data)였다는 얘기이다. 지금의 대한민국은 Web2.0 온라인 환경의 IT 세상을 살고 있다. 어느 부처나 부서를 가더라도 컴퓨터 없이 일하는 사람이 없으며 자신들의 업무를 펜 대신에 키보드에 적어 넣고 있다. 사용자들이 만들어 준 것이 기초 데이터인 것이다. 이러한 기초 데이터는 모아지고 분류되어 정보가 된다.

여기에서 정보는 한번 더 업그레이드를 거치게 된다. 이합집산되고 분석되면서 과거를 보게 되었고 현재를 읽게 되었다. 미래가 어떤 모습인지 예측이 가능해진다. 지식(Knowledge)으로 승화된 단계가 된다. 지식은 올바른 의사결정을 도와주는 지혜(Wisdom)의 기초가 된다. 정보보호를 위한 자원관리는 ‘정보보호에 대한 지식’을 얼마나 효과적으로 효율적으로 잘 관리하느냐에 달려있다.

   

    지식의 이해를 위한 모델


자원관리 도메인의 목표(Goal)

·무결성 - 정보 그 자체와 정보가 처리되는 인프라스트럭처의 무결성을 유지해야 한다.

·식별 - 정보자산을 식별하고 보호한다.

·내성과 복구 - IT 서비스와 인프라스트럭처는 공격이나 허점에 잘 견뎌내어야 한다. 실수나 공격, 재난은 복구되어야 한다.

사용과 성과 - 어플리케이션과 솔루션이 적절히 사용되고 원하는 성과를 이룬다.

정보보호 거버넌스에서의 자원관리는 정보보호 거버넌스의 4번째 도메인이다. 총 6개의 도메인으로 구성된 정보보호 거버넌스는 각 도메인이 독립적이라기 보다는 유기적이고 총체적이라 할 수 있다. 참고로 악보에도 중간 쉼표가 있듯이 연재 기고의 중간에 정보보호 거버넌스의 관점구분을 알아보도록 하겠다.


정보보호 거버넌스 관점

·지향점 

-기업 거버넌스의 부분이면서 IT 거버넌스와 교집합을 이루는 정보보호 거버넌스

-기업의 정보보호 관리체계 수립

-기업의 내적 / 외적 정보보호 요구사항에 대한 대응


·대상 및 주인공       

-이사회 (BOD)

-경영진 (CEO, CIO, CFO)

-CERT (Computer Emergency Response Team)

-현업부서 (Data Owner)


·구현 방안

-조직의 비전, 미션, 전략과 연계된 정보보호

-정보보호 내부 / 외부 위험에 대한 효과 / 효율적 통제


이 칼럼을 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업(공공기관)의 중요한 전략으로 끌어올리는 기회가 되기를 바란다.
[글 _ 조희준 IT컨설팅/IT감리법인 ㈜씨에이에스 컨설팅 이사(josephc@chol.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>