CISO 핵심업무, 정보보호정책·정보보호조직·인적보안 등 8가지
 

[보안뉴스 김경애] IT 기술의 발달로 정보보호의 중요성은 갈수록 커지고 있는 반면, 보이스피싱과 파밍 등 금융보안 이슈 역시 끊이지 않고 발생하고 있다. 이로 인해 CISO의 역할이 그 어느 때보다 중요해지고 있다. 이에 본지는 금융보안연구원에서 발간한 ‘CISO를 위한 핸드북’ 가운데 CISO라면 꼭 알아야 할 핵심업무 체크리스트를 소개하고자 한다.


CISO의 핵심업무 체크리스트는 크게 ①정보보호정책 ②정보보호조직 ③인적보안 ④물리적·환경적 보안 ⑤운영관리 ⑥IT 도입·개발·유지보수관리 ⑦업무연속성관리 ⑧보안사고 대응으로 구분된다.

첫째, 정보보호정책의 경우 정보기술 부문계획에 맞춰 기업 환경을 고려한 정책을 수립·운영해야 한다. 정보보호정책을 포함한 정보화 계획은 전략기획(장기계획)과 운용계획(단기계획)으로 구분된다.

둘째, 정보보호조직과 관련해서는 정보보호 기준을 수립하고, 이를 이행할 전담조직을 확보해야 한다는 점이다. 이와 관련해 CISO는 인력, 시설, 전자적 장치 등 관련 기준을 준수해야 하며, 이용자에게 손해가 발생할 경우 금융회사의 배상 책임의 범위를 체크해야 한다. 또한, 정보보호 예산은 정보기술부문 예산의 7% 이상 확보하기 위해 노력해야 하며, 정보보호에 관한 사항을 심의·의결하는 정보보호위원회를 설치·운영해야 한다.

셋째, 인적보안의 경우 전산인력의 자질 향상을 꾀하고, 예비 요원을 양성할 수 있도록 교육 프로그램을 운영해야 한다. 또한, 프로그램 개발, 교육계획의 수립·시행 등 정보보호 교육계획을 수립·시행해야 한다.

넷째, 물리적·환경적 보안은 화재·수해 등의 재해를 비롯한 외부 위해 방지 대책을 수립·운용해야 한다는 점이다.  

다섯째, 운영관리 측면에서 CISO는 △보조기억매체 통제 및 관리 △중요 단말기 보호 △안전지출 및 긴급파기 계획 수립·운용 △테스트시 실제 이용자 정보 사용금지 △시스템 통합, 전환 및 재개발 시 통제절차 마련·준수 △취약점 분석·평가 수립·시행과 기준 준수 △자체평가반 구성요건 마련 △금융위원회 제출 △암호프로그램 담당자 지정 △보안점검의 날 지정 등의 업무를 총괄해야 한다.

여섯째, IT도입·개발·유지보수관리의 경우 △관련 사업 추진시 사전 타당성 검토 관련 사업 추진시 비용대비 효과 분석 △관련 사업 추진시 분석·설계 단계부터 보안대책 강구 △관련 계약 체결시 금융위원회 기준 준수 △관련 업무에 대한 직무를 분리·운영해야 한다.

일곱째, 업무연속성관리 측면에서는 △긴급한 상황 발생 시 업무의 중단을 방지하기 위해 재해복구 계획을 포함한 업무지속성 확보 방안을 수립해야 한다. △긴급한 상황 시에는 비상대응조직의 구성 및 운용 사항을 포함한 업무지속성 확보방안을 수립해야 한다. △위기대응행동매뉴얼을 수립해 금융위원회에 보고해야 한다.
마지막으로 보안사고 대응과 관련해서는 CISO의 역할 가운데 각종 사고 발생시 보고와 신고가 매우 중요하다는 점을 강조하고 있다. 이를테면 △시스템 통신회선 등 장애시 보고 △금융사고시 보고 △이용자 피해시 보고 △접근매체 사고 등 보고 △전자적 침해행위 대응책 마련 △침해사고 통지 △침해사고 대응 및 복구훈련 계획 수립 등의 업무를 제시하고 있다.  [김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>