| [시큐리티 Q&A] 금융권 CISO의 자격기준과 정착과제 | 2015.01.12 | |
Q. 금융기관에서 현실적인 CISO 제도 정착을 위해 CISO의 실질적인 자격 기준과 주요 이해관계 주체(정부, 기관, 대상 인력)들이 해야 할 노력은 무엇인가요?
A-1. 금융권 CISO의 실질적인 자격기준으로는 거버넌스 전략 수립 능력, 지적재산권의 보호 능력, 정보보호 투자 및 예산 수립 능력, 다른 C-Level 임원과의 의사소통 능력, 정보보호 문화의 조성 및 관리 능력을 꼽을 수 있겠습니다. 거버넌스 전략 수립능력은 핵심 기업 비즈니스와 연계한 방향으로 정보보호 거버넌스를 수립하고 운영하는 능력을 말합니다. 지적재산권의 보호 능력은 기업의 특허, 브랜드, 가치, 영업비밀 등 기업의 핵심 자산을 보호해야 할 책임을 갖고 있는 CISO는 이러한 지적재산권의 대한 이해도 수반되어야 합니다. 정보보호 투자 및 예산 수립 능력은 정보보호를 위한 투자를 계획하고, 일정한 예산을 할당하여 정교한 보안을 가능하게 하는 능력을 말하며 구축으로만 끝나는 보안시스템 구축 계획이 아니라 지속적인 보안성을 유지해야 하는 금융권에서는 보안시스템 운영 측면에서 아주 중요하다고 생각합니다. 다른 C-Level 임원과의 의사소통 능력과 거버넌스 보안은 비즈니스에 대한 깊은 이해와 Co-work으로 구현되는 것이기 때문에 긴밀한 업무협조를 이끌어 내기 위한 CISO의 기본 능력이라고 생각합니다. 마지막으로 정보보호 문화의 조성 및 관리능력은 ‘보안의 일상화’와 더불어 보안은 강제적이지만 반드시 따라야 할 규범이라는 인식을 조성 및 확산시켜 나가서 전 임직원들의 보안사고 인식 전환에 기여하고 CISO가 내부통제를 효과적으로 구축하는데 도움을 주리라 생각합니다. 정부는 CISO 선임에 있어 위의 자격기준을 상응하는 자를 뽑도록 규제를 강화해야 할 것이며, 기관은 이러한 규제에 따라서 CIO/CISO의 겸직을 금지하고, 위의 기준에 상응하는 CISO를 별도로 선임하여 명확한 R&R을 정의해 주어야 합니다. 또한, 대상 인력은 위의 능력을 갖추고, 발전시켜 나가기 위해 최선의 노력을 다해야 합니다. (김인석 고려대학교 정보경영공학전문대학원 교수/iskim11@korea.ac.kr) A-2. 현실적으로 금융회사에서는 CISO와 CIO가 겸직하는 경우가 많고, 관련 규 정·지침에서 제시되어 있는 자격기준만 단순히 충족하는 CISO를 선임하는 등(단순 IT 경력만 충족한다고 해서 CISO로 선임되는 경우 등이 존재)의 사례가 있습니다. 우선 금융회사에서 자체적으로 CISO에 대한 중요성을 인식하여 정보보호 업무를 총괄할 수 있는 인력을 CISO로 선임해야 할 것이며, 금융회사에서 자체적인 노력이 미흡하다면 지금보다 더 강제적인 수단을 동원해야 할 것이라고 생각합니다. (신동일 한국CISSP협회/fastbear1365@boanin.com) A-3. CISO의 자격은 유관자격, 학력보유 시에는 전문학사학위 취득 후 4년 이상 정보보호 경력 또는 6년 이상 IT 경력을 보유한 자, 학사학위 및 전문자격 취득 후 2년 이상 정보보호 경력 또는 3년 이상 IT 경력을 보유한 자, 석사학위 취득 후 1년 이상 정보보호 경력 또는 2년 이상 IT 경력을 보유한 자 등입니다. (이준택 한양대학교 교수/joontaiklee@gmail.com) [민세아 기자(boan5@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
