| [기고] 정보보호 거버넌스의 도메인-성과 측정 | 2011.06.02 |
If you can’t measure it, you shouldn’t control it. 품질관리론의 에드워드 데밍(Edward Deming)은 “측정할 수 없다면 관리할 수도 없다”고 말했다. 이 말은 지금도 경영학의 구루들에게 재인용되고 있다. 어떤 대상을 관리하고 싶다면 그 대상을 반드시 측정할 수 있어야 한다. 그것이 사람이건 성과이건 정보보호이건 간에... ·측정할 수 없다면 관리할 수도 없다. ·측정은 측정기준이 명확해야 한다. ·측정되지 않으면 개선할 수도 없다. 측정의 요소 정보보호의 측정 도구는 BSC(Balanced Score Card)와 핵심성과지표(KPI) 정보보호 거버넌스는 측정되어야 개선할 수 있다. 기업이나 공공기관의 중요한 정보를 보호하기 위한 거버넌스의 체계는 단순하고 일편적인 방법으로는 측정될 수 없다. 기업의 전략과 목적을 달성하기 위한 정보보호이므로 비즈니스는 물론 기업 전체의 차원에서 측정되어야 한다. BSC(균형성과표)를 도구로 해야 하는 이유도 여기에 있다. 기업의 전략을 지원하는 정보보호를 단기적이고 재무적인 관점에서만 측정하는 구시대적인 발생은 거버넌스 이전의 얘기이다. 지금은 학습과 성장, 내부 프로세스, 고객, 재무 등의 4가지 관점을 골고루 가지고 균형된 성과를 측정해야 한다. 기업을 전체론적으로 접근하는 거버넌스의 개념인 것이다. BSC의 4가지 관점 ·학습과 성장(혁신) 관점(Learning & Growth perspective) ·내부 프로세스 관점(Internal Process perspective) ·고객 관점(Customer perspective) ·재무 관점(Finance perspective) 이러한 4가지 관점을 핵심성과지표(KPI)로 전환하여 관리함으로써 성과가 관리된다. 당연히 KPI는 측정 가능한 요소로 되어 있어서 4가지 관점을 달성시키는 구체화된 모습이다. 균형성과표(BSC) BSC와 KPI 정보보호 거버넌스의 성과 측정 정보보호 거버넌스의 성과 측정은 기업 전체를 대상으로 하여 아래 내용을 포함하여야 한다. ·기업과 공공기관 전반에 걸친 보안 관련 이벤트 모니터링 ·정보보안 기기 성능에 대한 지표 ·정보보호 활동 가이드 메트릭(metrics) ·정보보안 대시보드(dash board) 효과적인 성과 측정의 지표는 아래와 같다. ·정보보안 관련 인시던트(incident)를 탐지하고 보고하는데 소요되는 시간 ·사후에 발견되어 보고되지 않은 인시던트(incident)들의 건수 및 빈도 ·BCP/DRP의 테스트 결과 ·유사 조직의 벤치마킹(benchmarking) ·예상치 못한 이벤트(event)의 부재 COBIT을 활용한 성과 측정 IT 거버넌스의 프레임워크인 코빗(COBIT)을 활용하여 성과 측정을 구체적으로 할 수 있다. 정보보호를 위한 가용성에 관한 몇 가지 수행방안을 살펴보면 다음과 같다. COBIT을 활용한 KPI 성과 측정 정보보호 거버넌스에서의 성과 측정은 정보보호 거버넌스의 5번째 도메인이다. 총 6개의 도메인으로 구성된 정보보호 거버넌스는 각 도메인이 독립적이라기 보다는 유기적이고 총체적이라 할 수 있다. 어디를 가든 무엇을 하든 목표도 중요하지만 어디쯤 왔는지 어디로 가야 하는 지를 측정해야만 한다. 측정은 앞으로 가야 할 방향제시와 개선의 선결조건이다. 이 칼럼을 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업(공공기관)의 중요한 전략으로 끌어올리는 기회가 되기를 바란다. <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
