정보보호 거버넌스

 
정보보호의 발전은 2000년 초반 이후 정보보호 거버넌스라는 이름으로 최고경영층 및 이사회의 정보보호에 대한 역할과 책임을 중요시하는 관점으로 발전하고 있으며, 1990년대 이후 이슈화되고 있는 기업 거버넌스의 일부로 정보보호 거버넌스를 구현하고자 하고 있다. 기업의 내부통제 및 정보보호에 관한 법령 및 규정이 제정되면서 이의 준수를 위한 최고경영층의 책임이 강화되고 이에 따른 이사회나 최고경영층의 정보보호에 대한 관심과 역할을 해결하기 위한 노력의 필요성이 인식하였기 때문이다.

최근 불거지고 있는 국가 주요시설 및 금융시설에 대한 해킹, 개인정보 유출사고 등 단순한 정보시스템의 문제가 아닌 기업의 사회적 책임을 강조하는 사건과 사고들을 계기로 정보보호 거버넌스에 대한 관심이 많아지고 있으며, 이번 기고에서는 정보보호 거버넌스 구현을 위한 정보보호관리체계에 대해서 알아보며 정보보호 거버넌스, 정보보호 거버넌스와 정보보호관리체계의 관계 그리고 정보보호관리체계 인증에 대해 알아보는 계기가 되었으면 한다.

정보보호 거버넌스란 무엇인가?
기존의 정보보호 영역은 전통적인 비즈니스 정보에 영향을 미치는 위험에 기반한 정보기술(IT) 기반 구조로 IT가 중요한 비즈니스 정보자산의 저장, 처리, 전송에 관한 기술적인 이슈로만 인식되어 최고경영층이나 이사진에게 관심을 받지 못하였으나, 최근 정보보호를 단순히 기술적인 이슈만이 아닌 기업 거버넌스의 일부로서 기업의 전략 및 법적인 문제에 대한 경영진 및 이사진이 취급하여야 한다고 강조를 하고 있어, 경영진 및 이사진의 관심이 높아지고 있다.

정보보호 거버넌스를 정의한다면, 정보보호 거버넌스는 기업 거버넌스의 일환으로 △비즈니스와 전략적 연계, △관련법과 규정의 준수, △의사결정 권한과 책임의 할당을 위한 프로세스 및 실행체계로 이루어지며, 정보보호 거버넌스는 비즈니스에 존재하는 정보 자산 위험을 관리함으로써 기업 거버넌스와의 연계와 정보보호 문화 형성을 도모하고 이를 위해 기업의 모든 이해관계자를 고려하여 최고 경영층 및 이사회의 정보보호 프로그램에 대한 지시 및 통제 활동과 이를 위한 조직, 역할과 책임, 절차를 포함하고 있다. 다음은 여러 기관에서 정의한 정보보호 거버넌스의 정의 이다.
구분
정의
ISACA/ITGI
전략적 방향을 제시하고, 목표달성을 보증하며, 적정하게 위험을 관리하고, 책임감 있게 조지그이 자원을 사용하며, 전사적 보안 프로그램의 성패를 모니터링 하는 기업 거버넌스의 일부
NIST SP 800-100 (Handbook of IS Mgr)
위험관리 노력의 일환으로, 정보보호 전략이 비즈니스 목표와 연계되고 이의 달성을 지원하며, 정책과 내부통제를 통해 관련 법규와 규정을 준수하는 것을 보장하고 책임을 활당하기 위한 프레임워크와 이를 위한 경영구조 및 프로세스를 수립하는 과정
CMU
조직으 일상적 활동(신뢰, 행위, 능력, 행동)내의 보안 문화를 수립하고 지속시키기 위한 지휘 및 통제 행위
[표 1] 정보보호 거버넌스 정의


과연 정보보호 거버넌스의 목표는 무엇인가?
정보보호 거버넌스는 기업 거버넌스의 큰 틀 안에서 찾을 수 있으며, 크게 3가지 문제를 중심으로 전개된다고 할 수 있다.

- 첫째는 기업 경영 활동이 효과적으로 수행되어 기업 목표 달성에 기여하는가 하는 문제
- 둘째는 경영 활동이 공정한 절차와 규칙을 준수하면서 투명하게 수행되고 있는가 하는 문제
- 셋째는 이러한 활동의 결과 누가 어떤 책임을 지게 할 것인가 하는 문제

이러한 기업 거버넌스가 다루는 문제를 각각 효과성, 투명성, 책임성 문제라고 부르며, 기업이 이를 확보하기 위한 제반 노력을 기업 거버넌스라고 설명 할 수 있다.

정보보호 거버넌스란 이러한 기업 거버넌스 개념을 정보보호 영역에 적용한 경우라고 볼 수 있으며, 기업 거버넌스의 틀 안에서, 거버넌스의 대상을 기업 정보보호 활동으로 놓고 이러한 정보보호 활동이 정보보호 거버넌스 목표에 따라 수행되는가를 확인하고 확보하고자 기업이 경주하는 노력이며, 다음의 그림은 이러한 개념을 기업 거버넌스와 연계하여 보여주고 있다.


 
정보보호 거버넌스 도메인
정보보호 거버넌스의 주요 활동 분야는 정보보호 거버넌스 구현 수단과 연계하고 있으며, 활동 중심으로 거버넌스 영역을 분류함으로써 목표 및 원칙과 조합되었을 때 정보보호 거버넌스의 완전성이 제고 될수 있다. ISACA는 정보보호 거버넌스의 주제로 전략적 연계(Strategic Alignment), 가치제공(Value Delivery), 위험관리(Risk Management), 자원관리(Resource Management), 성과측정(Performance Measurement), 통합(Integration) 이상 6가지 주제를 제시하고 있다.


전략적 연계(Strategic Alignment)
 - 정보보호 노력과 조직의 목표 달성과의 연계를 보장하는 것으로 주로 정보보호 전략과 비즈니스 및 IT전략과의 연계, 주요 정보보호 의사결정에 대한 권한 및 책임을 정의해야 한다.
      ㆍ조직의 목표 달성을 위한 정보보호 전략 수립
      ㆍ정보보호 전략과 비즈니스/IT 전략과의 연계
      ㆍ정보보호 주요 의사결정 권한 및 리더십 스타일 정의
      ㆍ정보보호 활동의 상위층에 대한 보고체계 수립

가치제공(Value Delivery)
 - 정보보호 투자에 대한 효과성을 증명하는 것으로 정보보호 예산 및 투자결정 요인에 대한 관심사항을 전달해야 한다.
        ㆍ정보보호 예산수립 과정 및 IT 예산과의 관계 설정
        ㆍ조직의 자본계획 및 투자통제 과정과 정보보호와의 통합
        ㆍ정보보호 효익(benefit) 측정 방법 개발
        ㆍ정보보호 투자수익율(Return on Security Investment) 산출방법 개발

위험관리(Risk Management)
 - 정보보호 거버넌스의 초석이 되는 부분으로 이를 통해 취약부분을 식별해 내고 정보보호 개선방향을 도출할 수 있다.
        ㆍ업무 프로세스에서의 정보위험 식별 및 분야별 허용가능 수준 정의
        ㆍ위험의 비즈니스상의 영향도 및 손실 규모 산정
        ㆍ조직에 적합한 위험관리 프로세스 결정
        ㆍ전사적 위험관리(ERM)와 통합

자원관리(Resource Management)
 - 정보보호를 위한 활동 및 자원에 대한 관리로서 주로 전사적 정보보호 아키텍처에 대한 이슈와 정보보호 서비스 제공방식에서 현재 많이 채택하고 있는 정보보호 아웃소싱 이슈가 주요 관심사항이다.
        ㆍ전사적 정보보호 아키텍처 개발 및 유지보수
        ㆍ전사적 아키텍처(EA)와의 연계
        ㆍ정보보호 아웃소싱에 대한 의사결정 및 통제
        ㆍ정보보호 아웃소싱 서비스의 모니터링 및 책임영역 정의

성과측정(Performance Measurement)
 - 정보보호 노력의 성과를 측정하고 개선시키려는 노력으로 정보보호 투자와 정보보호 수준 평가와의 관련성으로 최근 주요 이슈로 대두되고 있다.
        ㆍ정보보호 거버넌스 척도 개발 및 유지보수
        ㆍ정보보호 거버넌스 성숙도 측정
        ㆍ정보보호 성과와 비즈니스 성과 시스템과 연계

통합(Integration)
- 정보보호를 위한 기업 내의 프로세스들과의 통합
 
[글_정보시스템 감리 및 컨설팅 ㈜키삭 최성주 선임 연구원(sjchoi@kisac.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>