• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[기고] 정보보호 거버넌스와 BMIS-6개 동적접속자 2011.12.25

지난 시간 BMIS는 시스템적 사고방식으로 구성되어 있다고 했다. 이러한 시스템적 사고방식 안에는 4가지의 요소(Elements)와 6가지의 동적접속자(Dynamic Interconnections)가 소통을 하고 있다.


소통을 하고 있다는 것은 멈추어 있는 것이 아닌 움직이는 동적인 성질을 가지고 있다. 3차원의 피라미드 형태를 갖고 있는데 동적으로 서로 소통하지 않으면 이 형태는 어그러지거나 무너지게 된다.


정보보호 거버넌스를 이루기 위한 4요소와 6개 동적접속자가 소통을 하고 있다.

서로 유기적으로 움직이고 있기에 BMIS의 형태를 잘 유지하고 있는 것이다.


BMIS의 6개 동적접속자에 대한 얘기

BMIS의 핵심인 4요소를 이어주는 다리 역할을 하는 것이 6개의 동적접속자이다.

① Governing(거버닝)

② Culture(문화)

③ Architecture(아키텍처)

④ Enabling & Support(활성화 및 지원)

⑤ Emergence(출현)

⑥ Human Factor(인적 요인)이다.


Governing(거버닝)

조직과 프로세스를 잇는 동적접속자이다. 조직을 조정하고 전략적 리더십이 필요 되는 접속자이다. 프로세스 내에 구현되어 성과를 모니터링하고 새로운 환경에 적응되도록 한다. 거버닝은 목적이 결정되고 정의되게 하고 위험이 적절히 관리되는지를 확인하고, 조직의 책임 있는 자원사용을 검증하는 것을 포함한다.


Culture(문화)

조직과 인적 요인을 잇는 동적접속자이다. 주로 행동양식, 신념, 태도 및 업무수행방식을 나타내며, 조직 내에서 학습되며 이러한 것들이 지식으로 누적될 때 생산성을 만들어 낸다. 문화는 국가, 조직, 사회 등과 같은 많은 수준에서 존재할 수 있다. 문화는 외부 및 내부 요인으로부터 창출되고 조직의 패턴에 영향을 받고 또한 영향을 미친다.


Architecture(아키텍처)

조직과 기술을 잇는 동적접속자이다. 조직의 보안 수행을 구성하는 인적자원, 프로세스, 정책, 기술을 종합적이고 공식적으로 캡슐화를 하는 것이 아키텍처이다. 전사적인 보안 아키텍처는 조직 전반에 걸쳐 일관성 있고 비용효과적인 방법으로 보안역량을 촉진하고 조직이 사전 예방적으로 정보보호에 대한 투자결정을 내릴 수 있도록 해준다.


Enabling & Support(활성화 및 지원)

프로세스와 기술을 잇는 동적접속자이다. 인적 요인들이 기술적 보안 조치, 정책, 절차 등을 준수하도록 도와주는 방법은 프로세스를 활용가능하고 용이하도록 만드는 것이다. 정책, 표준, 가이드 라인 등은 상충하는 이해를 줄이거나 없애야 하고 변화하는 비즈니스 목적을 지원할 수 있는 유연성을 유지하여야 하고, 인적 요인들이 수용하고 따르기 용이하도록 함으로써 비즈니스의 요구를 지원할 수 있도록 해야 한다.


Emergence(출현)

프로세스와 인적 요소를 잇는 동적접속자이다. 새롭게 등장해서 개발되고 성장되고 진화되는 것을 의미한다. 조직의 수명주기 안에서 나타나는 과정을 의미하는 패턴이기도 하다. 이러한 패턴은 분명한 원인 없이 나타나고, 결과를 예측하고 통제하는 것이 불가능해 보이기도 한다. 출현하는 이슈를 고려하여 위험관리, 변경통제 등이 필요하게 되며 예측 가능한 전체 보안시스템을 통합시켜야 한다.


Human Factor(인적 요인)

기술과 인적 요인을 잇는 동적접속자이다. 기술과 인적자원간에는 상호작용이 있고 그 사이에서 갭이 발생한다. 이러한 갭을 얼마나 줄이냐에 따라 정보보호 프로그램의 핵심이 달려 있다. 인적 요인들은 연령, 경험수준, 문화적인 이유로 서로 다른 역량이나 결과를 가져올 수 있기에 연관된 스킬을 훈련하는 것이 필요하다.


     

       6개의 동적접속자(초록색)


BMIS의 4요소와 더불어 소통을 하기 위해 다리를 잇는 6개의 동적접속자를 알아 보았다. 전통적으로 동양에서는 동적이라는 말보다는 정적이라는 말이 더 우선시 되어왔다. 어떤 측면에서는 이러한 정적인 것들이 필수적이라 할 수 있다. 하지만 BMIS에서는 동적이지 않으면 그 효과와 효율을 기대할 수 없다. 사람과의 관계에서도 소통이 중요하듯 정보보호를 위한 비즈니스 모델에서도 마찬가지이다. 


이 칼럼을 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업이나 공공기관의 중요한 전략으로 끌어올리는 기회가 되기를 바란다.


[글 _ 조희준 IT거버넌스·컨설팅·감리법인 ㈜씨에이에스 컨설팅 이사(josephc@chol.com)]

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>