• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[기고] 정보보호 거버넌스의 도메인-프로세스 통합 2011.07.08

기업과 공공기관은 전략과 목적을 달성하기 위해 경영되고 있다. 경영학에서 얘기하는 경영이란 “목적을 가지고 관리하고 운영하는 것”이라고 말한다. 전략과 목적을 달성하기 위해 경영하는 것을 조금 더 세분화 해보면 전략, 전술, 운영적인 것으로 세분화 할 수 있다.

전략(Strategy)은 가고자 하는 방향, 목적을 말한다. 전술(Tactics)은 전략을 달성하는 구체적인 것으로 요즈음은 프로젝트로 구현한다. 운영(Operation)은 전략과 전술의 바탕으로 하여 전략과 전술 이후의 결과를 말한다. 계획(전략)을 세우고 역할과 책임을 다하여 수립된 여러 가지 정책과 절차는 운영단계에서 그 가치(Value)가 발휘되어야 한다.

  

   정보보호 정책과 절차


가치가 발휘되기 위한 절차와 지침들은 프로세스(Process)를 구체화함으로써 가능하다. 예를 들어 휴대폰을 만드는 공장에서는 누가 어떻게 어떤 방법으로 하는지가 프로세스화 되어 있기에 생산계획을 예측할 수 있으며 표준화된 제품도 나오는 것이다. 비즈니스 프로세스(Business Process)가 갖는 의미이다.

   

    프로세스 통합을 위한 이해도

정보보호 거버넌스의 도메인으로 여섯 번째는 프로세스 통합(Process Integration)이다. 혹은 보증(Assurance) 프로세스 통합이라고도 한다. 이번 도메인을 이해하기 위해 그 동안 거쳐왔던 도메인들을 정리해보면 다음과 같다.

정보보호 거버넌스는 기업 거버넌스와 전략적으로 연계되고(Strategic Alignment), 조직에서의 투자 대비 가치를 창출하여야 한다(Value Delivery). 정보보호와 비즈니스를 연계함에 있어서 위험들을 상시적으로 관리하여야 하며(Risk Management), 효율적으로 자원을 관리하여야 한다(Resource Management).

정보보호가 기업을 지원하는지는 측정기준이 명확하여야 그 기준에 의해서 측정될 수 있고 그 결과를 가지고 그 다음의 개선의 여지와 수준이 결정된다 (Performance Measurement). 이러한 다섯 가지 도메인들은 결국은 비즈니스 프로세스에 녹아 들어가서 정보보호의 효과가 보증되어야 한다((Assurance) Process Integration). 강물이 모여 바다를 이루듯이 이렇게 물 흐르듯이 막힘없이 순환되어야 한다.


비즈니스 프로세스에 정보보호 프로세스가 통합되어야 한다. 정보보호는 비즈니스 프로세스가 의도한 목적을 이루는 데에 지원하였는지를 평가하고 보증할 수 있어야 한다. 모든 비즈니스 프로세스에 정보보호 프로세스가 함께 통합되어야 한다.

   

    도메인들의 결합

정보보호를 왜 하는가?

정보보호 거버넌스를 배우고 익히면서 중간 중간에 꼭 떠올려야 하는 것이 있다면 그것은 “정보보호를 왜 하는가?”라는 질문과 답이다. 금방 답을 얘기하는 사람은 많지 않은 것 같다. ISO/IEC 27001(정보보호를 위한 국제표준)과 ISMS(대한민국 정보보호 관리체계 인증)에서 정의하는 내용으로 일단락 지으면 될 것이다.


정보보호의 목적은 사업의 지속성을 보장하고 사업의 위험을 최소화하고 투자회수와 사업기회를 최대화하기 위해 다양한 위협으로부터 정보를 보호하는 것이다.


정보보호 거버넌스의(보증) 프로세스 통합

정보보호 거버넌스의(보증) 프로세스의 통합은 비즈니스 프로세스에 대해 다양한 정보보호 보증 기능들을 통합하고 처음부터 마지막까지 의도한 바와 같이 운영되고 위험을 최소화 하려는 노력을 포함하고 있어야 한다. (보증)프로세스의 통합의 핵심성과지표는 아래 내용을 포함하여야 한다.


·정보자산의 보호에 있어서 계획 대비 실제의 차이점 제거

·불필요한 중복 제거

·잘 정의된 역할과 책임

·모든 (보증) 프로세스의 기능을 식별

·전략으로 이어지는 피드백

 

정보보호 거버넌스에서의(보증) 프로세스의 통합은 정보보호 거버넌스의 6번째 도메인이다. 총 6개의 도메인으로 구성된 정보보호 거버넌스는 시스템(System)적 혹은 전체론(Holistic)적인 접근이 필요하다. 각 도메인이 흩어진 상태에서는 각자의 역할을 하고 모아져서는 큰 목적을 이룬다.

이 칼럼을 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업(공공기관)의 중요한 전략으로 끌어올리는 기회가 되기를 바란다.

[글 _ 조희준 IT컨설팅·IT감리법인 ㈜씨에이에스 컨설팅 이사(josephc@chol.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>