정보보호 거버넌스는 기업 조직의 활동에서 보안 강화를 위한 사용자의 인식과 통제를 수립하고 이를 지속 통제하는 행위입니다. IT 기술이 기업의 비즈니스에서 중요한 역할을 차지하면서 보안의 위협을 체계적으로 관리하는 프레임워크라 할 수 있습니다. 이 글에서는 정보보호 거버넌스 개념과 필요성 그리고 프레임워크에 대해 자세히 알아보겠습니다.
정보보호 거버넌스 개념
정보보호 거버넌스는 IT 거버넌스와 유사하지만 공통 IT 자산외에 인적 자산과 같은 비 IT 자산에 대해서도 거버넌스를 수행하는 것입니다. 조식의 일상적인 활동에서 정보보안을 위한 인식체계를 수립하고 이를 지속해서 리스크를 관리하는 것이 목적입니다.
위의 그림과 같이 정보보호 거버넌스는 IT 거버넌스가 다루지 않은 영역에 대한 보호를 포함합니다. 가령, 종이문서나 이미지 그리고 직원과 같이 IT 에 직접적으로 관련이 없는 자산에 까지 보호가 필요하다는 개념입니다.
참고사항
- 기업 거버넌스의 틀 안에서 정보보호 거버넌스가 작동되는 것을 정확히 명시한다.
- 정보보호 거버넌스의 목표를 명시한다.
정보보호 거버넌스 필요성
IT 거버넌스 만으로는 정보보호를 위한 구조와 적용요건 그리고 적용이 필요한 항목등의 프레임워크상 명확히 제시되지 못하는 한계점이 있습니다. 가령 다음과 같은 항목을 제시하여 비 IT 영역에 대해서도 IT Governance와 같이 동등한 수준으로 다뤄진다는 것을 명확하게 제시합니다.
- 개념과 목표를 정의
- 법 규제에 대한 준수의 필요성
- 목표달성을 위한 원칙을 정의 (ISO38500)
- 조직, 프로세스, 도구로 세분화한 실행체계를 제시]
정보보호 거버넌스 프레임워크
정보보호를 위한 거버넌스 프레임워크의 개발을 위해 다음의 3가지 요소로 구분하여 각 요소별로 세부적인 기준을 세우도록 합니다.
- 목표
- 원칙
- 실행체계
아래 프레임워크는 세부적인 거버넌스 프로세스 개발을 위해 사전에 필요한 요소의 분석과 실행체계를 제시하는 가이드라인으로 참고 바랍니다.
1. 개념 및 목표 정의
개념요건은 크게 이해관계자, 책임자, 관리 및 조직의 통제 그리고 전사위험관리와 연계하는 방식을 기술합니다. 가령 이해관계자는 거버넌스의 주체가 되는 이해관계자를 식별하며 담당자는 책임을 가지고 조직을 통제하고 위험관리와 연계합니다.
거버넌스의 성공적 실행을 위해서는 보호활동의 주체를 명시하고 결과에 따라 책임을 가지는 담당자를 명시합니다. 또한 기업의 비즈니스 목표에 따라 필요한 관리항목 및 법률과 제도한 연계하는 목표조건을 명시합니다.
2. 거버넌스 원칙요건
원칙요소는 거버넌스의 개념과 목표에 따라 정확한 활동을 실행하기 위해 매개체의 역할을 하는 중요한 요소입니다. 이는 ISO 38500 원칙을 포괄적으로 포함하여 다음의 요건을 포함합니다.
- 공동원칙: ISO38500 원칙을 기반으로 별도 표준화를 통해 원칙을 수립
- 전제조건: 수행 목표 별 전제되어야 하는 요건의 정의
- 활동 및 리스크 관련원칙: 각 요소별 활동의 기준과 리스크 관리를 위한 절차를 수립
3. 실행체계 요건
앞서 세원 개념, 목표 그리고 원칙에 대한 요건을 기준으로 세부적 실행체계를 위한 요건을 수립합니다. 수립을 위해서는 크게 조직, 프로세스, 도구의 세부 항목에 대해 요건을 정의하는 것이 필요합니다.
| 실행체계 요건 | 설명 |
| 조직 | 거버넌스 활동의 주체인 의사결정권자의 권한을 정의합니다. 성공적인 활동을 위해 경영층이 적극적으로 참여하고 주체가 되는 것이 중요합니다. |
| 프로세스 | 정보보호 활동의 효율과 효과를 높이기 위해 목표달성을 위한 활동을 수행합니다. 그리고 활동 성과를 지속적으로 모니터링하여 개선하도록 합니다. |
| 도구 | 목표의 달성을 위해 필요한 수단이나 도구를 정의하고 이를 활용해 내부 통제를 위해 활용할 수 있습니다. |
도입시 참고사항
정보보호 관리체계에 대한 통제는 아직 IT 거버넌스에 비해 개념이 취약하고 이론적인 기반이 약한 편입니다. 따라서 효과적인 추진수단이나 방법에 대해 기존의 성공사례를 벤치마킹하여 효과적인 도입과 관리가 중요합니다.
이상으로 정보보호 거버넌스 개념 필요성 및 프레임워크 구성요소에 대해 알아보았습니다.
댓글