정보보안 거버넌스 / 보안 프레임워크 / 보안 조직

#정보보안 거버넌스

정보보안 거버넌스

: 정보의 무결성, 서비스의 연속성, 정보자산의 보호를 위한 것으로 기업 거버넌스의 부분집합으로서 전략적 방향을 제시하며 목적달성, 적절한 위험관리, 조직자산의 책임있는 사용, 기업보안프로그램의 성공과 실패가 모니터링됨을 보장하는 것

IT 거버넌스

: 단순한 관리가 아닌 기업을 움직이는 힘, 즉 지배구조로 설명 할 수 있다. :IT 전략의 개발 및 추진을 관리하고 이를 통해 비즈니스와 IT를 융합시키기 위해 이사회, 경영진, IT관리자가 추진하는 조직 기능이다. : 기업 거버넌스의 통합적 부분이며 조직의 전략과 목표달성을 뒷받침하는 조직 구조와 프로세스, 리더십으로 구성된다.

 

#정보보안 거버넌스 구현의 어려움 →따라서 법이 가장 중요함

(1)조직 구성의 어려움

• 최고보안책임자를 CTO나 CIO 밑에 두는 것이 효율적인지, 동등하게 두는 것이 효율적인지 결정하기 어려움
• 정보보안조직을 중앙 집중으로 체계화하는 것이 나을지, 각 IT 부서에 보안 담당자를 두고 연방 체제로 조직하는 것이 나을지 결정하기 어려움

(2)성과 측정의 어려움

• 정보보안 특성상 투자 성과를 측정하기 어려움 → 보안에 상당한 비용이 들어가지만 사고가 일어나지 않는 한 성과 측정이 어려움

(3)조직의 무관심

• 보안에 무관심한 경영진과 조직 구성원은 효율적인 보안 거버넌스를 구성하는 데 장애물임

 

#정보보안 거버넌스 구현 요건

(1)전략적 연계

• 비즈니스/IT 기술의 목표와 정보보안 전략이 유기적으로 연계되도록 해야함
• 조직 역할과 책임을 명확히 정의 → 정보보안 보고 체계의 합리화하여 운영해야함

(2)위험 관리

• 조직에 적합한 위험 관리 체계 수립 → 지속적 관리하여 수용 가능한 수준으로 위험을 낮춰야함
• 확인된 위험은 적절한 자원을 할당하여 관리해야 함

(3)자원 관리 → 자원=사람, 사람과 자원을 적절하게 사용해야함

• 정책과 절차 따른 정보보안 아웃소싱 수행 시 → 아웃소싱 정보보안 서비스의 통제와 책임을 명시 및 승인하며 기업의 정보보안 아키텍처와 전사적 아키텍처를 연계해야함

(4)성과 관리

• 모니터링, 보고 및 평가에 따른 성과 평가 체계를 운영하고 비즈니스 측면도 고려하여 성과 평가

(5)가치 전달

• 구성원들에게 정보보안 중요성과 가치를 교육해야함

 

#보안 프레임워크

ISMS (Information Security Management System)

• 위협과 취약성으로부터 자산의 기밀성, 가용성 및 무결성을 합리적으로 보호하기 위해 구현해야 하는 제어를 정의하고 관리

ISMS-P

• 국제 표준을 포함하고 우리나라 상황에 맞는 보안 요건을 강화한 정보보호 관리 체계
• 기업이나 조직의 모든 보안 업무를 포괄한다

PDCA (계획(Plan), 수행(Do), 점검(Check), 조치(Act))

• PDCA 모델을 통해 ISMS를 발전시킬 수 있음
• Plan, Do, Check, Act를 순환하여 수행함으로써 생상관리 및 품질 관리 등을 지속적으로 개선해 나가는 모델

#보안 조직

보안 조직 개념

: 조직이 보안성 향상이라는 목표를 이루려면 보안 업무를 수행할 수 있는 자리를 마련하고 그에 맞는 역할과 책임을 주어야 함

 

#보안조직 유형

(1)IT 운영 팀의 일부인 시스템 운영 팀에 보안 인력이 포함된 경우

• 보안 인력이 있지만 → 방화벽 운영, 시스템 보안 패치 설치, PC 보안 등 한정된 업무만 수행 = 보안에 가장 소극적인 형태
• 관리 측면에서 보안을 고려할 수 없고 조직 전반에 걸쳐 보안 정책을 운영할 만한 힘이 없음

(2)IT 운영 팀의 일부인 IT기획 팀에 보안 인력이 포함된 경우

• IT기획 팀은 다른 팀과 커뮤니케이션이 활발하고 IT운영 팀 전체 사업에 대한 관점을 유지하고 있어 좀 더 많은 통제력을 갖출 수 있음

⇒ (1),(2) 보안 인력이 IT 운영 팀의 하위 조직으로 있으면 → 보안 프레임워크 적용이 불가능함 ⇒ 보안 프레임워크는 보안 조직이 경영진의 의사를 반영하여 회사의 보안 수준을 끌어올릴 것을 요구함

(3)보안 인력이 경영진 직속인 경우

• 보안 팀을 CEO 또는 CSO 직속의 별도 조직으로 운영하는 것이 바람직함 →모든 부서의 보안 감사가 가능해야 하고 통제 정책과 운영을 보안에 적합하게 변경하도록 회사의 모든 팀과 커뮤니케이션해야 하기 때문

 

#정보보안 조직으로서의 보안 팀 역할

1. 정보보안 업무기획, 각종 통제 사항관리
2. 모니터링과 위협 분석 등으로 평시 정보보안 관리 이행
3. 임직원 정보보안 교육 시행
4. 긴급 상황에 대처할 비상 계획 수립, 운영지원

 

#보안 팀 내부 인력 구성

(1)정보보안 책임자

• CSO (Chief Security Officer), CISO (Chief Information Security Officer)로 불림
• 기업에서 내부 정보보안을 위한 대책을 책임지고 기술적 대책과 법률적 대응까지 총괄 책임을 지는 최고 임원 → 특히, 특정 정보보안을 책임진다는 의미에서 정보보호최고책임자(CISO)라고 함 → 기업에 따라서 물리적 혹은 기능적 보안을 책임지는 경우와 / 문서 파일, 네트워크 및 기업 내 각종 컴퓨터 보안을 책임지는 경우가 있음
• CSO나 CISO 산하에 데이터보안책임자(DSO: Data Security Officer), 정보시스템보안책임자(ISSO: Information System Security Officer), 보안책임자(SECOFF: Security Officer), 시스템보안책임자(SSO: System Security Officer) 등이 있음

(2)정보보안 관리자

• 기술적 보안에 중점을 둔 정보보안 업무 기획, 점검
• 시스템 담당자와 일반 사용자가 정보보안 활동을 실천하도록 독려
• 정보보안 담당자의 의견을 기술적으로 검토하여 조치 지시
• 각종 시스템 관련 작업 요청 검토, 수행 결정

(3)정보보안 담당자

• 전체 시스템의 보안관리, 일반 사용자에게 보안 교육실시
• 보안에 치명적인 웜과 바이러스 공격 대비
• 신규 정보보안 시스템 구축 협의, 신규 서비스 보안성 심의
• 각종 보안 시스템 운영 및 보안 관렴 업무 기획, 추진, 일상화
• 보안 관련 지침서, 절차서, 매뉴얼 작성
• 새로운 위협에 대비하기 위해 항상 최신 동향 파악
• 적절한 테스트 환경에서 다양한 최신 공격 기법 분석