금융보안포럼, ‘금융보안 관련 이사회 보고사항 안내서’ 발간
보고 대상·절차 표준화한 매트릭스 제공
[보안뉴스 조재호 기자] 8월 금융권 정보보호최고책임자(CISO)의 이사회 보고가 의무화된 가운데, 현장 혼란을 줄이고 실효성을 높이기 위한 가이드라인이 제시됐다.
금융보안포럼은 보안 중요 사항에 대한 이사회 보고 의무 이행을 지원하고 경영진 보안 거버넌스를 강화하기 위해 ‘금융보안 관련 이사회 보고사항 안내서’를 발간했다고 6일 밝혔다.
금융보안포럼은 금융보안 이슈와 관련, 민간 전문가 및 금융회사 CISO 간 의견 교류와 논의를 위해 2010년 설립한 협의체로 금융보안원장이 회장을 맡고 있다.
▲이사회 보고 대상·유형·시기 매트릭스 예시 [자료: 금융보안원]
작년 전자금융감독규정 개정에 따라 금융권 CISO는 정보보호위원회가 심의·의결한 사항 중 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 사안을 이사회에 직접 보고해야 한다. 기존 최고경영자(CEO)에게만 보고하던 체계에서 나아가, 이사회가 금융보안 이슈를 경영 차원에서 인지하고 대응하도록 해 자율보안 역량을 강화한다는 취지다.
안내서는 금융사가 보고 의무를 원활히 이행할 수 있도록 보고 대상과 체계, 절차를 명시했다. 실무자가 즉시 활용할 수 있도록 보고 대상별 참고용 보고서 샘플과 이사회 확인 사항을 담은 체크리스트를 함께 제공했다.
보고 대상을 유형별로 표준화한 ‘이사회 보고 매트릭스’도 제시했다. 보고 대상은 △정보보안 목표·전략(A유형) △위험평가 및 대응(B유형) △침해사고 등 보안사고(C유형) 등으로 구분된다. 각 안건 성격에 따라 정기·수시 보고 시기와 대면·서면 등 보고 방법을 명확히 정리해 체계적 업무 수행을 돕는다.
예를 들어, ‘정보기술부문 계획서’는 1분기에 정기 보고하며 CIO가 동석해야 한다. 반면 ‘침해사고 및 개인정보 유출’ 건은 사고가 터졌을 때 시 수시로 보고하되 소비자 피해 대응 방안을 포함해야 한다.
박상원 금융보안포럼 회장은 “금융보안의 중요성이 커지면서 경영진이 보안 이슈를 리스크 차원에서 인식하고 책임 있는 거버넌스를 수립하는 것이 필수 과제”라며 “이번 안내서가 금융사 실무 부담을 덜고 실효적 거버넌스 체계를 확립하는 데 실질적 도움이 되길 기대한다”고 말했다.
안내서 전문과 자세한 내용은 금융보안원 홈페이지와 레그테크 포털에서 확인할 수 있다.
[조재호 기자(sw@boannews.com)]
보고 대상·절차 표준화한 매트릭스 제공
[보안뉴스 조재호 기자] 8월 금융권 정보보호최고책임자(CISO)의 이사회 보고가 의무화된 가운데, 현장 혼란을 줄이고 실효성을 높이기 위한 가이드라인이 제시됐다.
금융보안포럼은 보안 중요 사항에 대한 이사회 보고 의무 이행을 지원하고 경영진 보안 거버넌스를 강화하기 위해 ‘금융보안 관련 이사회 보고사항 안내서’를 발간했다고 6일 밝혔다.
금융보안포럼은 금융보안 이슈와 관련, 민간 전문가 및 금융회사 CISO 간 의견 교류와 논의를 위해 2010년 설립한 협의체로 금융보안원장이 회장을 맡고 있다.
▲이사회 보고 대상·유형·시기 매트릭스 예시 [자료: 금융보안원]
작년 전자금융감독규정 개정에 따라 금융권 CISO는 정보보호위원회가 심의·의결한 사항 중 전자금융거래의 안전성 및 신뢰성에 중대한 영향을 미치는 사안을 이사회에 직접 보고해야 한다. 기존 최고경영자(CEO)에게만 보고하던 체계에서 나아가, 이사회가 금융보안 이슈를 경영 차원에서 인지하고 대응하도록 해 자율보안 역량을 강화한다는 취지다.
안내서는 금융사가 보고 의무를 원활히 이행할 수 있도록 보고 대상과 체계, 절차를 명시했다. 실무자가 즉시 활용할 수 있도록 보고 대상별 참고용 보고서 샘플과 이사회 확인 사항을 담은 체크리스트를 함께 제공했다.
보고 대상을 유형별로 표준화한 ‘이사회 보고 매트릭스’도 제시했다. 보고 대상은 △정보보안 목표·전략(A유형) △위험평가 및 대응(B유형) △침해사고 등 보안사고(C유형) 등으로 구분된다. 각 안건 성격에 따라 정기·수시 보고 시기와 대면·서면 등 보고 방법을 명확히 정리해 체계적 업무 수행을 돕는다.
예를 들어, ‘정보기술부문 계획서’는 1분기에 정기 보고하며 CIO가 동석해야 한다. 반면 ‘침해사고 및 개인정보 유출’ 건은 사고가 터졌을 때 시 수시로 보고하되 소비자 피해 대응 방안을 포함해야 한다.
박상원 금융보안포럼 회장은 “금융보안의 중요성이 커지면서 경영진이 보안 이슈를 리스크 차원에서 인식하고 책임 있는 거버넌스를 수립하는 것이 필수 과제”라며 “이번 안내서가 금융사 실무 부담을 덜고 실효적 거버넌스 체계를 확립하는 데 실질적 도움이 되길 기대한다”고 말했다.
안내서 전문과 자세한 내용은 금융보안원 홈페이지와 레그테크 포털에서 확인할 수 있다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
