[USG]위험 관리를 위한 사이버보안 기초 #4

[4주차] 사이버보안 관리

1. 사이버 보안 관리의 핵심 개념을 정의한다.
2. 조직이 사이버 보안 운영을 위해 계획하는 방법을 설명한다.
3. 예상치 못한 이벤트에 대해 조직이 어떻게 대응할 준비가 되어 있는지 설명한다.
4. 사이버 보안 거버넌스를 정의한다.
5. 일반적인 사이버 보안 담당자의 역할과 책임에 대한 예를 제시한다.

[4-1] 사이버보안 관리 서론

사이버 보안 관리가 무엇인지 더 잘 이해하기 위해서는 먼저 관리, management가 무엇을 의미하는지 이해해야 한다. 관리란, 주어진 자원 집합을 사용하여 조직의 목표를 달성하는 것이다. 관리자는 조직의 목표를 달성하기 위해 필요한 할당된 모든 작업을 완료하기 위해 자원을 조직하고 관리하며 조정한다. 관리자는 일반적으로 직무에서 세 가지 기본 역할을 수행한다.

 

① 사이버 보안 작업을 완료하기 위해 정보를 수집, 처리 및 사용하는 정보 제공 역할을 한다.

② 그리고 상사, 직원, 동료 및 기타 조직 이해 관계자와 기본적으로 사이버 보안 프로그램과 관련되거나 영향을 받는 모든 사람과 상호 작용하는 대인 관계 역할을 한다.

③ 마지막으로, 대안 중에서 선택하고 사이버 보안과 관련된 갈등, 딜레마 또는 도전을 해결하여 선택을 내리는 결정적 역할을 한다.

 

관리자가 하는 일과 리더가 하는 일을 혼동해서는 안 된다. 리더는 직원들에게 영향을 미쳐 자신의 작업을 수행하기 위해 일하는 사람이다. 리더는 솔선수범을 하고 다른 사람들에게 따르고자 하는 욕구를 심어주는 것이며, 그들은 다른 사람들이 공동의 목표를 향해 노력하도록 영감을 준다. 반면, 관리자는 조직의 자원을 관리한다. 그들은 예산을 만들고, 지출을 승인하고, 직원을 고용하고, 평가하고, 종료한다. 일반적으로 관리자가 하는 일은 다섯 가지 주요 영역으로 나눌 수 있다.

 

①계획 ②조직 구성 ③인력 배치 ④지시 ⑤통제

 

계획에는 조직이 목표를 달성할 수 있도록 돕는 전략을 개발하고, 만들고, 실행하는 것이 포함된다. 계획은 전략적, 전술적 및 운영적의, 세 가지 수준으로 나눌 수 있다. 전략적 계획은 장기간에 걸쳐 전체 조직을 이끌도록 설계된다. 전략적 계획은 조직의 한 부분을 더 짧은 기간 동안 안내하도록 설계된다. 그리고 운영 계획은 부서와 같은 조직 내 소규모 그룹의 매일 운영을 구조화한다. 조직화는 리소스 구조화에 초점을 맞추는 활동이다. 필요한 리소스를 확보하고, 부서 직원이 요청하는 대로 충분히 현장에 있는지 확인하는 것이 포함된다. 인력 배치에는 직원의 행정이 포함되어 작업을 수행할 수 있는 적절한 인원과 직원 내의 적절한 기술이 있는지 확인한다. 지시에는 직원에게 계획을 전달하고 부서의 목표를 달성하는 데 도움이 되도록 노력하고 있는지 확인하는 것이 포함된다. 직원에게 해야 할 일과 해당 작업을 언제 달성해야 하는지 알려주는 것이다. 통제는 부서와 직원이 계획하는 동안 지정한 목표를 향해 진전을 이루고 있는지 확인하고 발생하는 모든 문제를 해결하도록 하는 것이다. 또한, 추가 리소스가 필요한지 확인하는 것도 포함된다. 

 

 

 

사이버 보안 계획에는 IT 부서나 사이버 보안 부서의 관리자 이상이 포함된다는 것을 이해하는 것이 중요하다. 이상적으로는 사이버 보안 계획에는 3개의 다른 그룹으로 대표되는 전체 조직이 포함되어야 한다.

 

① 사이버 보안 직무의 그룹

② IT 직무의 그룹

③ 나머지 그룹

 

이러한 각 그룹은 조직의 정보 자산을 보호하기 위한 전반적인 계획에 함께 노력해야 한다. 사이버 보안 그룹은 조직의 정보 자산을 오용으로부터 보호한다. IT 그룹은 정보 기술을 통해 효과적이고 효율적인 지원을 제공함으로써 조직의 비즈니스 목표를 지원한다. 일반 비즈니스 그룹은 처음 두 그룹이 조직의 주요 목적에 집중할 수 있도록 하고 정책 계획 및 리소스 지원을 제공한다. 사이버 보안 관리에는 일반적으로 6개의 영역이 포함되며, 이 영역은 상호 작용하고 함께 작동한다. 이 6P에는 계획, 정책, 프로그램, 보호, 인력, 프로젝트 관리가 있다. 앞서 설명했듯, 사이버 보안 관리의 일부로 계획을 수립하고 실행하는 것은 사이버 보안의 목표를 달성하기 위한 전략을 수립하고 실행하는 것을 포함한다. 이러한 전략은 전체 조직 전략을 기반으로 하며 지원해야 하지만 조직의 주요 부서 각각을 지원해야 한다. 조직의 모든 사람이 정보를 관리하기 때문에 사이버 기술과 상호 작용한다. 여기에는 부서가 포함되기야 하지만, 사이버 보안에는 여러 유형의 사이버 보안 계획이 있다. 정상 운영을 위한 계획에는 방금 설명한 전략적, 전술적 및 운영 계획과 같은 것이 포함된다. 정책 계획, 인사 계획, 기술 출시 계획, 위험 관리 및 보안 프로그램 계획도 포함된다. 다른 범주는 비정상적인 운영을 위한 계획을 포함하며, 여기에는 사고 대응, 재해 복구, 비즈니스 연속성 및 위기 관리 계획과 같은 주제가 포함된다. 앞서 기술했듯, 사이버 보안 정책은 의도적이든 다른 방식이든 오용을 방지하기 위해 직원이 조직의 정보와 기술을 사용하는 방법을 규제하고 이러한 리소스를 모든 직원이 조직의 요구를 지원할 수 있도록 보장하기 위해 설계되었다. CISO는 일반적으로 정책을 작성하고 CIO 또는 CEO가 지원하고 서명한다. 정책은 사이버 보안에 관한 조직 내 모든 사람의 역할과 책임을 포함한 전체 사이버 보안 프로그램을 정의한다. 이슈별 보안 정책(ISSP)은 특정 리소스로 직원이 수행할 수 있는 일과 수행할 수 없는 일을 정의한다. ISSP는 데스크톱 컴퓨터, 모바일 컴퓨팅 장치, 이메일, 인터넷 사용, 심지어 복사기 사용과 같은 것을 다룬다. 각 ISSP는 리소스를 사용하는 방법을 명확하게 정의해야 한다. 그리고 오용에 대한 처벌에 대해서 분명히 해야 한다. 시스템별 보안 정책(SysSP)은 특정 기술 집합에 대해 ISSP를 받도록 설계되었다. 이는 방화벽, VPN 또는 IDP와 같이 해당 기술의 관리자에게 추가 지침을 제공한다. 그러나 자세한 기술 시스템 정책은 아니다. 이는 해당 기술을 어떻게 설정하고 사용해야 하는지에 대한 조직의 의도를 설명하는 것에 더 가깝다. 한편, 사이버 보안에는 많은 프로그램이 있다. 그렇기에 각 프로그램을 관리해야 하며, 일반적으로 자체 팀 리소스, 정책 및 계획이 존재한다. 사이버 보안이 프로젝트가 아닌 프로그램이지만, 프로젝트 관리를 지원하는 기술과 지식은 사이버 보안 프로그램 관리에 적용될 수 있고, 실제로 적용되어야만 한다. 본질적으로 사이버 보안 프로그램은 지속적으로 상호 연관된 일련의 프로젝트다. 프로젝트 관리에는 프로젝트에 적용된 리소스를 찾고 관리하는 것뿐만 아니라, 최종 목표를 향해 진행될 때 프로젝트를 성공 여부를 측정하고 조정하는 것이 포함된다. 이것이 바로 사이버 보안에서도 우리가 필요로 하는 것이다. 사이버 보안 보호 기능에는 조직의 정보 자산을 보호하기 위해 설계된 보안 컨트롤을 선택, 설치 및 운영하는 것이 포함된다. 또한, 이러한 컨트롤을 모니터링하는 것도 포함된다. 위험 관리의 목적은 현재 보호 수준이 허용 가능한지 또는 추가 보호가 필요한지를 평가하는 것이므로, 이러한 컨트롤이 의도한 대로 작동하는지 확인하기 위해 리스크 관리와 보호 기능 사이에는 직접적인 관계가 있다. 보호 기능에는 정책과 사이버 CETA 프로그램 및 사이버 보안 기술도 포함되며, 이 세 가지는 모두 보호 컨트롤의 범주라 할 수 있다. 보호 기능에는 사이버 보안 인력 및 인력 보안도 포함된다. 이는 모든 사이버 보안 활동이 어떻게 상호 연관되고 상호 의존적인지 보여주는 좋은 예시이다.

[4-2] 사이버보안 역할과 책임

사이버 보안 프로그램, 특히 위험 관리 프로그램을 지원하려면 광범위한 전문가가 필요하다. 사이버 보안 전문가는 비기술 인력과 사이버 보안에 대해 논의할 수 있어야 하며, 당연히 전문적 기술을 보유해야 한다. 사이버 보안에 필요한 특별한 기술 중 하나는 비기술 인력으로부터 요구 사항을 수집한 다음 조직의 정보 자산 및 시스템을 보호하는 데 필요한 정책, 프로그램 및 기술로 변환할 수 있는 능력이다. 사이버 보안 전문가는 초점과 전문 지식에 따라 세 가지 유형으로 그룹화할 수 있다.

 

① 첫 번째 그룹은 사이버 보안을 정의하는 사람들이다. 이 그룹은 계획, 정책 및 위험 관리를 다루는 고위 임원 및 관리자로 구성된다. 그들은 사이버 보안, 비즈니스 및 조직 운영에 균형 잡힌 지식을 가지고 있는 경우가 많다. CISO와 고위 보안 관리자가 이 범주에 해당한다.

② 두 번째 그룹은 사이버 보안을 구축하는 사람들이다. 이 그룹은 보안 솔루션을 만드는 엔지니어, 프로그래머 및 기타 기술 전문가로 구성된다. 이러한 전문가 중 대부분은 보안 솔루션을 만드는 회사에서 일한다. 그러나 점점 더 많은 조직이 리눅스 방화벽 또는 사용자 지정 취약점 스캔 소프트웨어와 같은 보안 솔루션을 처음부터 구축하기 위해 이 범주의 전문가를 고용하고 있다.

③ 세 번째 그룹은 사이버 보안을 관리하거나 운영하는 사람들이다. 이 그룹은 사이버 보안 프로그램의 일상적인 모니터링 및 운영을 담당하는 사이버 보안 관리자 및 분석가로 구성된다. 이 범주에는 방화벽, VPN 및 IDPS 관리자, 보안 운영 센터 직원, 사고 대응 팀 등 이전 두 범주 중 하나에 속하지 않는 조직의 거의 모든 사람들이 포함된다고 보면 된다.

 

조직의 최고위직에는 특정 직책에 상관없이 일반적으로 사장이나 최고 경영자가 있기 마련이다. 이들을 위해 직접 일하는 것은 일반적으로 조직의 모든 정보 기술 및 모든 전자 정보의 효율적이고 효과적인 운영을 담당하는 정보 기술 담당 부사장 또는 최고 정보 책임자다. 그 아래에는 최고 정보 보안 책임자(CISO)가 있을 것이다. 사이버 보안이라는 용어는 정보 보안에 관한 것의 대부분을 포함하지만, 프로덕션 시스템과 관련된 컴퓨터 및 네트워크 기술도 포함한다. 제조 프로세스를 실행하는 컴퓨터 및 사물 인터넷과 같이 새로 네트워크에 연결된 모든 항목도 마찬가지다. CISO는 조직의 사이버 보안에 대한 주요 책임을 지고 있다. CISO는 IT 부서의 계획뿐만 아니라 모든 부서의 전략 계획 및 전체 조직에 대한 전략 계획을 기반으로 사이버 보안 기능에 대한 모든 전략 계획을 개발한다. CISO에는 한 명 이상의 정보 보안 책임자 또는 사이버 보안 관리자(ISO)가 근무할 수 있다. 이러한 관리자는 일반적으로 위험 관리, 정책과 같은 사이버 보안 프로그램의 한 가지 이상 측면에 초점을 맞춰 팀을 이끌게 된다. 계획, 주변부 보안, 시스템 보안, 교육 및 인식 프로그램 등 말이다. CISO의 가장 일반적인 자격은 보안 관리자로서의 이전 경험뿐만 아니라, 정책 및 계획을 작성, 계획 및 실행하고 예산을 관리한 경험을 포함한다. 학사 학위는 당연히 기본으로 깔고 들어가는 것이고, 비즈니스, 기술 또는 기타 관련 분야의 대학원 학위도 이제는 일반화되고 있다. 최고 사이버 보안 전문가로 취업하는 것은 연공서열, 경험 및 기술에 대한 기대와 함께 따라온다. CISO가 동일한 조직 내에서 서열을 뚫고 올라가는 것이 점점 더 일반화되고 있지만, 대부분의 CISO는 다른 조직의 CISO 또는 사이버 보안 관리자로서의 성과를 기반으로 조직 외부에서 고용된다. 많은 CISO는 기술 분야에서 시작된다. 그러나 오늘날에도 신입에서 CISO로의 명확한 경로는 없다. 정말로 개인에게 달려 있는 문제인 것이다. CISO는 모든 사이버 보안 전문가와 마찬가지로 그들의 교육을 지속적인 과정으로 간주해야 하며, 전문적인 인증에 그러한 과정이 필요한지 여부와 관계없이 새로운 보안 위협, 방법, 접근 방식 및 기술에 대한 정보원을 지속적으로 찾고 있어야 한다. CISO의 가장 일반적인 전문 인증에는 인증된 정보 시스템 보안 전문가 또는 CISSP와 인증된 정보 보안 관리자 또는 CISM이 포함될 것이다. 물론 국내에서는 그정도까지 필요하겠나 싶긴 하지만 말이다. 한편, 조직의 규모에 따라 CISO에 보고하는 사이버 보안 관리자가 다수 있을 수 있다. 이러한 관리자 중 일부는 정책, 계획 및 위험 관리 프로그램에 대해 일하고 있을 수 있으며, 다른 일부는 운영 센터 관리, 사이버 보안 기술, 취약점 평가 프로그램 및 사고 대응 팀을 포함하여 사이버 보안 프로그램의 일상적인 운영을 담당할 수도 있다. 사이버 보안 관리자는 CISO가 할당한 프로그램에서 작업하고 감독하는 기술자, 관리자, 분석가 또는 직원이 식별한 문제를 해결한다. 관리자는 그들이 감독하는 기술을 이해해야 하지만 반드시 숙달되어야 하는 것은 아니다. 경영학, 보안 또는 컴퓨팅 분야에서 석사 학위를 가진 관리자가 점점 더 많아지는 보안 관리자가 되기 위해서는 학사 학위는 역시나 기본이다. 해외의 경우, 보안 관리자가 CISSP 또는 CISM을 보유하는 것도 매우 일반적인 일이니, 이것을 국내에 대입하면 정처기와 정보기는 기본으로 깔고가는 것이다. 보안 관리자는 예산 편성, 프로젝트 관리, 인사 관리, 고용 및 해고, 보안 정책 작성과 같은 전통적인 비즈니스 활동에 대한 경험이 필요하다. 보안 관리자는 보안 기술자와 보안 관리자의 혼성체라 할 수 있다. 관리자는 기술 지식과 관리 기술을 모두 가지고 있어야 한다. 그들은 일반적으로 IT, 정보 시스템 또는 컴퓨터 과학과 같은 보안 또는 컴퓨팅 분야의 대학 학위를 가지고 있을 것이다. 그들은 교육 프로그램, 정책 개발 등을 지원할 뿐만 아니라, 보안 기술의 일상적인 운영을 관리하기 위해 호출되곤 한다. 한편, 보안 분석가는 전문 보안 관리자다. 전통적인 IT에서 보안 관리자는 시스템 관리자 또는 데이터베이스 관리자에 해당하고 보안 분석가는 시스템 분석가에 해당한다. 보안 분석가는 보안 관리자 직무를 수행하는 것 외에도 특정 기술 내에서 보안 솔루션을 분석하고 설계할 수 있어야 한다. 방화벽, IDPS, 취약점 평가 또는 악성 프로그램 방지. 보안 분석가는 사용자의 요구를 식별할 수 있어야 하며, 그들이 설계하는 보안 시스템과 관련된 기술을 이해할 수 있어야 한다. 보안 엔지니어라고도 불리기도 하는 보안 기술자는 방화벽 및 IDPS와 같은 보안 기술을 구성하고 보안 소프트웨어를 구현하며, 보안 기술에 대한 문제를 진단하고 문제를 해결할 수 있는 기술적으로 자격이 있는 사람이어야 한다. 그들은 시스템 및 네트워크 관리자와 협력하여 보안 기술이 적절하게 설치, 구성 및 운영되는지 확인한다. 보안 기술자로 직업을 찾는 사람들에게 한 가지 도전 과제가 있는데, 기술자가 되는 것은 많은 기술 기술을 필요로 하는데, 이는 경험 없이는 얻기 어려울 수 있다는 것이다. 실무가 필요한데, 실무를 어디서 쌓냐는 말이 나오는 것이다. 결과적으로, 보안 기술자는 다른 직업 경로를 채택한 IT 기술자이거나 매우 전문적인 기술 프로그램을 거친 사람일 가능성이 높다. 네트워크 기술자처럼 말이다. 보안 기술자는 방화벽이나 IDPS, 서버, 라우터 또는 보안 소프트웨어를 전문화하는 경향이 있다. 그런 다음 그룹 내의 특정 소프트웨어 또는 하드웨어 패키지를 전문화한다. 이러한 주제는 이러한 수준의 전문화를 보장하기에 충분히 복잡하다. 회사에서 승진하려는 보안 기술자는 프로젝트 팀 리더와 기술 부서 감독자가 되기 위해 지식을 확장하고 비즈니스 및 프로젝트 관리 기술을 배워야 할 것이다. 보안 직원은 일상적인 감시 작업 또는 관리 모니터링 작업을 수행하는 개인을 설명하는 일반적인 직함이다. 감시자라는 용어는 기술적 통제 및 시스템을 모니터링하고 보안 운영 센터와 관련된 기타 일상적인 관리 역할을 수행하는 사람을 포함한다. 이러한 역할이 더 큰 조직에서 더 일반화됨에 따라, 사이버 보안 감시자는 조직 보안 기술의 일부를 감시하는 책임이 있는 초급 사이버 보안 전문가이기도 하다. 그들은 보안 정책, 계획 또는 위험 관리 노력의 개발을 도울 수 있다. 이 직책에서 새로운 사이버 보안 전문가는 추가적인 책임을 지기 전에 조직의 사이버 보안 프로그램에 대해 더 배울 기회를 가진다. 그리고 사실 사이버 보안 팀의 중요한 부분은 사이버 보안 부서가 잠재적인 보안 문제를 식별하는 것을 돕는 헬프 데스크다. 사용자가 컴퓨터 네트워크 또는 인터넷 연결에 대한 불만으로 헬프 데스크에 전화를 걸면, 사용자의 문제는 해커, 서비스 거부 공격 또는 멀웨어와 같은 사이버 보안 문제와 관련이 있는 것으로 밝혀질 수 있다. 그렇기에 헬프 데스크 기술자는 사이버 보안 부서를 지원하기 위한 전문 교육을 받아야 한다. 이때 전통적인 기술 문제와 사이버 보안에 대한 위협을 모두 식별하고 진단하는 데 중점을 두어야 할 것이다. 그렇게 하는 능력은 공격에 대응하고 억제하는 사고 대응 팀의 능력을 극적으로 향상시킬 수 있다.

[4-3] 사이버보안 거버넌스

일반적인 생각과 달리, 전체 사이버 보안 프로그램에 대한 책임 위험 관리 프로그램을 포함하여 사이버 보안을 위해서는 CISO나 부사장에게만 모든 걸 맡겨서는 안 된다. 사이버 보안 프로그램을 관리하는 책임이 있는 고위 임원이 CISO일 수 있지만, 사이버 보안에 대한 책임은 사장이나 CEO까지 조직에서 훨씬 더 높게 확장된다. 대규모 조직에서는 조직의 임원 관리를 감독하는 이사회가 있을 수 있다. 사이버 보안을 이사회를 포함하도록 상위 경영진의 책임과 방향으로 만드는 접근 방식을 거버넌스라고 한다. 우리는 거버넌스를 전략적 방향을 제공하고 목표가 달성되는지 보장하며 위험이 적절하게 관리되는지 확인하고 기업의 자원이 책임 있게 사용되는지 확인하는 것을 목표로 이사회와 임원진이 행사하는 책임과 관행의 집합으로 공식적으로 정의한다. 거버넌스는 거버넌스, 위험 관리 및 준수를 나타내는 GRC라고 하는 사이버 보안 관리를 위한 전략적 접근 방식의 초석이다. 그리고 ① 사이버 보안 거버넌스 ② 위험 관리 ③ 규제 준수의 세 가지 구성 요소를 통합하고자 하는 이사회나 고위 임원진의 관점에서 사이버 보안 전략 지침에 대한 접근 방식이다. 개별 GRC 구성 요소 자체가 사이버 보안에 새로운 것도 아니고 고유한 것도 아니지만, 이사회나 임원진 수준에서 이 세 가지를 통합해야 할 필요성에 대한 인식은 조직에서 점점 더 중요해지고 있다. 좋은 사이버 보안 관행과 건전한 거버넌스는 중요한 인프라를 보호하는 데 있어 안보의 중요한 구성 요소로 인식되고 있다. 조직 관리자는 정보 자산을 확보하기 위해 사이버 보안 관행을 조직의 구조에 통합하고 기업 거버넌스 정책과 통제를 사이버 보안 프로세스의 목표를 포괄하도록 확장해야 한다.

 

기업 IT 거버넌스의 지적 발전과 발전에 대한 인식된 필요성을 해결하기 위해  설립된 ITGI에 따르면, 사이버 보안 거버넌스는 목표의 전략적 방향 설정, 목표를 향한 진전의 측정, 위험 관리 관행이 적절한지의 확인, 조직의 자산이 적절하게 사용되는지의 확인을 제공하기 위해 이사회와 임원진이 수행하는 모든 책임과 방법을 포함한다. ITGI는 이사회가 정보 및 사이버 보안의 중요성을 조직에 인식하는 문화를 조성하고 촉진함으로써 전략적 사이버 보안 목표를 감독할 것을 권고한다. 또한, 사이버 보안에 대한 경영진의 투자가 조직 전략 및 조직의 위험 환경과 적절하게 일치하는지 확인한다. 포괄적인 사이버 보안 프로그램이 개발되고 구현되는지 확인하고, 사이버 보안 프로그램의 효과와 적절성에 대해 다양한 수준의 경영진의 보고서를 요구함으로써 사이버 보안 거버넌스는 다섯 가지 기본 결과를 도출해야 한다. 그리고 사이버 보안을 조직의 목표를 지원하기 위한 비즈니스 전략과 전략적으로 일치시킨다. 정보 자원에 대한 위협을 관리하고 완화하기 위한 적절한 조치를 실행함으로써 위험을 관리한다. 다음으로, 사이버 보안 지식과 인프라를 효율적이고 효과적으로 활용하여 자원을 관리한다. 조직의 목표를 지원하기 위해 사이버 보안 투자를 최적화함으로써 조직의 목표를 달성하고 가치를 제공하도록 사이버 보안 거버넌스 메트릭을 측정, 모니터링 및 보고함으로써 성과 관리를 수행하기도 한다. 사이버 보안을 이사회의 의제에 배치하며, 사이버 보안 리더를 식별하고 책임을 묻고 지원을 보장한다. 검토와 승인을 통해 기업 사이버 보안 정책의 효과를 보장하고 주요 위원회에 사이버 보안을 할당하며, 해당 위원회에 대한 적절한 지원을 보장한다. 사이버 보안 거버넌스를 적절하게 구현하면, 사이버 보안 관련 위험을 정의 가능하고 허용 가능한 수준으로 낮추어 조직의 지분 가치 증가, 예측 가능성 증가, 비즈니스 운영의 불확실성 감소 등 상당한 이익을 얻을 수 있을 것이다. 정보의 부정확성으로 인해 증가하는 민사 또는 법적 책임 가능성으로부터 보호할 수도 있다. 그리고 효율적이고 효과적인 위험 관리, 프로세스 개선 및 신속한 사고 대응을 위한 확고한 기반, 중요한 의사 결정이 잘못된 정보에 기초하지 않는다는 보장 수준, 인수합병, 비즈니스 프로세스 복구 및 규제 대응과 같은 중요한 비즈니스 활동 중에 정보를 보호하기 위한 책임까지 말이다. 사이버 보안 거버넌스 프로그램을 개발할 때 설계자는 프로그램에 사이버 보안 위험 관리 방법론이 포함되어 있는지 확인해야 한다. 보호되고 제공되는 정보의 가치에 대해 이야기하는 보안 전략, 보안, 통제 및 규제의 각 측면을 다루는 보안 정책까지 말이다. 절차와 지침이 정책을 준수하는지 확인하기 위한 각 정책에 대한 완전한 보안 표준 세트로서, 이는 규정 준수를 보장하고 효과 및 위험 완화에 대한 피드백을 제공하기 위한 기관 모니터링 프로세스다. 또한, 보안 정책, 표준, 절차 및 위험의 지속적인 평가 및 업데이트를 보장하기 위한 프로세스이기도 하다.

 

기업 거버넌스 태스크 포스(CGTF)에 따르면, 조직은 사이버 보안 거버넌스 프로그램의 개발과 실행을 안내하기 위해 필요에 적합한 핵심 활동 세트에 참여해야 한다. 매년 사이버 보안 평가를 수행하고 그 결과를 직원과 함께 검토한 다음, 이사회에 보고해야 한다. 이어서 위험 관리 프로그램의 일환으로 정보 자산에 대한 주기적인 위험 평가를 수행한다. 정보 자산을 보안하기 위해 위험 평가에 기초한 정책과 절차를 수행한다. 명시적인 개별 역할, 책임, 권한 및 책임을 부여하기 위한 보안 관리 구조를 수립한다. 네트워크, 시설, 시스템 및 정보에 대해 적절한 사이버 보안을 제공하기 위한 계획과 이니셔티브를 개발한다. 사이버 보안을 시스템 라이프사이클의 필수적인 부분으로 취급해야 하며, 직원에게 사이버 보안 인식, 교육 및 교육을 제공해야 한다. 사이버 보안 정책 및 절차의 효과에 대한 주기적인 테스트 및 평가를 수행해아 하고, 사이버 보안 부족을 해결하기 위한 개선 조치 계획을 작성하고 실행한다. 사고 대응 절차도 개발하고 실행한다. 운영의 연속성을 제공하기 위한 계획, 절차 및 테스트를 수립하고, 사이버 보안 성능을 측정하기 위해 ISO 27000 시리즈와 같은 보안 모범 사례 지침을 사용해야 한다. ISO 27014는 정보 보안 거버넌스에 대한 ISO 27000 시리즈 표준이다. 이 현저하게 짧은 문서는 11페이지에 불과하며, 사이버 보안 거버넌스 프로그램 평가에 대한 간략한 권장 사항을 제공한다. 이 표준은 6개의 높은 수준의 행동 중심 사이버 보안 거버넌스 원칙을 지정한다. 조직 전반에 걸친 사이버 보안을 확립하는데, 위험 기반 접근 방식을 채택하고, 투자 결정의 방향을 설정하고, 내부 및 외부 요구 사항을 준수하며, 보안에 긍정적인 환경을 조성하고, 비즈니스 성과와 관련하여 성과를 검토한다. 이 표준은 또한 조직의 경영진과 관리위원회가 채택해야 할 다섯 가지 거버넌스 프로세스를 촉진한다. 이사회는 보안 프로그램의 변경 사항을 개발하고 실행하기 위한 지침을 제공해야 한다. 여기에는 사용 가능한 자원의 수정이 포함될 수 있다. 조직 보안 거버넌스, 보안 프로그램 및 전략을 검증하기 위한 노력으로 인증 또는 인증 그룹, 규제 기관, 감사 및 기타 감독 기관과 같은 외부 주체가 조직의 노력을 평가하도록 보장해야 할 것이다. 다른 거버넌스 모델과 마찬가지로 ISO/IEC 27014에서 평가한 거버넌스의 전체 목표는 사이버 보안 프로그램과 조직 전체 간의 목표 및 전략을 일치시키는 것이다. 조직에 대한 부가가치 증대는 경영진과 이해관계자다. 적절한 책임 당사자에게 효과적인 위험의 할당을 실시해야 할 것이다. 이어 사이버 보안 프로그램의 개선, 상태 가시성 및 경영진 관리를 위한 노력을 포함한 효율적이고 효과적인 거버넌스 구현에서 원하는 결과를 달성한다. 위험 관리를 위한 의사 결정, 사이버 보안 투자의 품질, 외부 요구 사항, 계약 및 의무에 대한 규제 준수를 포함해서 말이다.

[4-4] 사이버 보안을 위한 계획

조직이 직면할 수 있는 계획의 구체적인 한 가지는 전체 사이버 보안 프로그램 또는 어쩌면 단지 위험 관리 프로그램을 구축하거나 재구축하는 데 필요한 계획일 것이다. 이는 사이버 보안을 처음 접하는 조직의 경우다. 그들은 비공식적으로 수행해 온 작업을 공식화하기 위해 위험 관리 프로그램을 처음부터 구축해야 할 수도 있다. 기존 프로그램이 빠르게 성장하고 있는 조직의 경우, 사이버 보안 위험 관리 프로그램의 기대와 기능을 공식적으로 살펴볼 필요가 있을 수도 있다. 어떤 경우든, 사이버 보안 프로그램이 무엇을 하고 있는지 확인하는 것이 중요한 사안이다. 조직은 이 작업을 수행하는 데 있어 앞서 설명한 프로젝트 관리 접근 방식을 기반으로 할 수 있다. 그들은 프로젝트 팀이 보안 프로그램의 개선을 이해하고 계획하기 위해 일련의 회의나 세션을 수행함으로써 이 작업을 수행할 수 있다. 이 접근 방식이 성공하기 위해서는 일반적으로 CIO가 수행하는 다음과 같은 핵심 단계가 있다. 따라서 프로젝트 설계 세션을 설계하는 데 있어 프로젝트 매니저가 권장된다. 그들은 프로젝트 목표와 한계를 식별하고, 프로그램 개발이나 재개발을 안내하고 중요한 성공 요인을 식별한다. 중요한 성공 요인은 프로젝트나 프로그램이 성공하기 위해 올바르게 진행되어야 하는 것들이다. 기능적이고 지원되는 거버넌스 프로그램과 같은 것들은 특정 예산과 필요한 인력을 정의하고 승인해야 한다. 또한, 프로젝트 성과물을 정의한다. 프로그램 재설계 프로젝트는 무엇인가? 프로젝트가 준수해야 하는 특정 기간이 있는가? 프로젝트의 계획 단계는 언제 완료되어야 하며, 전체 프로그램은 언제 완료되어야 하는가? 하는 것에 대한 답을 내야 하는 것이다. 최소한 설계 또는 재설계에 참여할 참가자를 선택하면, 프로젝트 관리 팀원들은 챔피언 프로젝트 관리자와 함께하게 된다. 특정 단계에 대해 팀은 더 많은 정보를 제공하기 위해 추가 전문가 또는 참가자를 영입하기를 원할 수 있다. 회의 리소스를 준비하고, 계획 팀이 각 예약된 회의를 수행하는 데 필요한 리소스는 무엇인지, 조직된 세션 활동, 각 회의의 활동 및 결과는 무엇인지, 파악해야 한다. 이것은 보안 프로그램 설계 또는 재설계의 전체 목표를 지원하고, 세션 참가자에게 준비하고, 알려주고 교육하기 위한 중간 목표의 계획 사례다. 프로젝트에 참여할 모든 사람에게 자신의 역할과 책임이 무엇인지 알리는 것이다. 그리고 이전에 정의된 바와 같은 원하는 결과와 목표는 무엇인지, 팀이 과제에 계속 집중할 수 있도록 돕는다. 그리고 원하는 결과와 목표를 달성할 수 있도록 한다. 마지막 구성 요소는 각 작업장의 요구 사항이 충족되어 예약되고, 수행되고, 문서화되도록 하는 것이다. 누군가의 메모를 확인하는 것처럼 간단한 것은 향후 고려 사항을 위해 문서화된 모든 결정과 질문을 보장하는 데 중요하다.

 

이 프로젝트의 성공은 시스템 개발 수명 주기에 기반한 계획 접근 방식 또는 SDLC 접근 방식을 사용하여 향상될 수 있다. 그리고 SDLC는 시스템 또는 프로그램의 설계 및 구현을 위한 방법론이다. SDLC에는 채택된 SDLC 방법론의 특정 유형에 따라 여러 단계가 포함되어 있다. 프로젝트의 주요 단계로서 분석, 설계, 구현 및 유지보수가 해당된다. 결과적으로 보안 SDLC 또는 SEC SDLC는 A 사이버 보안 프로그램을 개발하거나 향상시키는 데 더 밀접하게 적용된다. SDLC은 여러 모델을 사용하여 주요 단계를 설명할 수 있다. 사이버 보안 프로그램 개발 또는 개선에 가장 최적인 것으로 선택된 모델은 오래되고 더 단순한 접근 방식을 기반으로 한다. 정처기에서도 학습했던 폭포수 모델이 여기서 나온다. 폭포수 모델이라는 용어는 각 단계의 작업물이 출발점 역할을 하는 다음 단계에 해당함을 나타낸다. SEC SDLC는 몇 가지 특정 활동에서 기존 SDLC와 다를 수 있지만, 전반적인 방법론은 동일하다. 폭포수 모델 외에도 여러 다른 모델이 있다. 그러나 목적은 폭포 모델을 기본 요구 사항을 이해하는 예시적인 방법으로 사용하는 것이다. 그리고 특정 단계 세트가 있는 방법론을 사용하는 것이 가장 좋다. 또한, 이전 노력을 주기적으로 검토해야 하며, 어느 정도의 재작업이 가능하다. 최종 결과가 비효율적이면, 팀이 다시 시작하기만 하면 되는 최종 단계에서 전체 프로세스가 반복된다.

 

SEC SDLC의 첫 번째 단계는 조사 단계다. SEC SDLC의 조사 단계는 프로세스를 명시하는 고위 경영진의 지시로 시작된다. 프로젝트의 결과와 목표, 예산 및 기타 제약 사항을 따져야 한다. 이 단계는 종종 현재 가지고 있는 보안 정책을 살펴보고 필요한 추가 정책을 식별하는 것으로 시작된다. 이 단계는 조직의 정보 자산 및 보안 자산뿐만 아니라, 개발 팀과의 사용자 상호 작용도 안내한다. 프로젝트 팀은 프로젝트를 조사하고 범위를 정의하며, 목표와 목표를 지정하고 추가 제약 사항을 식별하도록 구성된다.

 

다음 단계는 분석 단계다. 분석 단계의 팀은 조사 단계의 문서를 검토한다. 그런 다음, 팀은 기존 보안 프로그램을 검토하고 조직의 정보 자산이 직면한 현재 위협 및 현재 구현된 제어 사항에 대한 보고서와 함께 검토한다. 이 단계에는 보안 프로그램의 설계 또는 재설계에 영향을 미칠 수 있는 관련 법률 및 규정에 대한 분석도 포함된다. 사이버 보안에 대한 결정을 내릴 때 점점 더 증가하는 개인 정보 보호법이 주요 관심사일 것이다. 이 단계는 또한 팀이 프로그램의 설계 또는 재설계에서 ISO 또는 NIST와 같은 확립된 모델을 따를지 여부를 결정하는 단계다. 보안 모델은 모든 보안 분야가 해결되도록 보장하기 위한 프레임워크를 제공한다. 조직은 자신의 사이버 보안 요구를 충족시키기 위해 프레임워크를 조정하거나 채택할 수도 있다.

SEC SDLC의 세 번째 단계는 설계 단계로, 논리 및 물리 설계의 두 가지 하위 단계로 구성된다. 논리 설계 단계에서는 팀원들이 분석 단계에서 선택한 보안 모델을 기반으로 보안 프로그램의 청사진을 개발한다. 그런 다음 팀원들은 사내에서 프로그램을 개발하는 것과 외주 프로그램을 개발하는 것의 타당성을 검토한다. 여기에서 위험 관리 프로그램, 정책 프로그램, 교육 프로그램, 취약성 평가 프로그램 및 조직에서 일반적으로 사용되는 기타 모든 다양한 프로그램을 정의한다. 하지만 단순히 하나를 마련해야 한다는 것이 아니라, 하나를 구축하는 데 필요한 것을 더 잘 이해하는 것이다. 물리 설계 단계에서는 팀원들이 보안 청사진을 지원하는 데 필요한 프로그램 및 관련 기술을 평가하고, 대체 솔루션을 생성한 후 최종 설계에 동의한다. 물리 설계가 완료되면 필요한 변경 사항과 동기화되도록 보안 청사진을 다시 검토할 수 있다. 이 단계의 마지막에 타당성 조사를 통해 프로그램 구현을 시작할 준비가 되었는지 여부를 결정해야 한다. 조직이 프로그램 구현을 시작할 준비가 되었는지 여부를 확인한 다음, 사용자에게 권장 사항을 제시해야 한다. 그 시점에서 경영진은 구현을 시작하기 전에 프로젝트를 승인하거나 승인하지 않을 기회를 갖게 될 것이다.

 

네 번째 단계는 구현 단계로, 권장 프로그램의 구성 요소를 개발 또는 구매 시 획득한다. 테스트하고, 구현하고, 다시 테스트하고, 인사 문제를 평가하고 필요한 교육을 수행한다. 마지막으로 테스트된 전체 패키지를 최종 승인을 위해 상위 경영진에게 제시한다. 결국 승인이 나면, 사이버 보안 프로그램 구성 요소를 전체적으로 구현하기 위한 프로젝트 계획에 따라 새로운 프로그램 구성 요소를 기존 구성 요소로 통합하기 시작한다. 

 

이제 마지막 단계인 유지 및 변경 단계가 아마도 가장 중요할 것이다. 오늘날의 사이버 보안 시스템은 새로운 위협이 등장함에 따라 지속적인 모니터링, 테스트, 수정 및 업데이트가 필요하다. 그리고 모든 위협은 조직의 사이버 보안 프로그램을 진화시킨다. 위협이 성공하지 못하도록 지속적인 업데이트가 필요하다. 보안 프로그램이 완전히 구현되면 지속적인 개선 프로그램이 지원되어야 한다. OCIP는 유지보수 단계의 일환이다. OCIP는 이름에서 알 수 있듯, 전체 프로그램을 주기적으로 검토하고 개선하여 조직의 정보 자산을 보호하는 능력을 지속적으로 향상시키도록 보장한다. 지속적인 개선을 지원하기 위해 프로그램이 내부 또는 외부 환경의 변화에 적절하게 적응하지 못하고 있다면 올해 다시 사이클을 시작해야 할 수도 있다. CISO는 사이버 보안 그룹이 적절하게 적응하고 조직의 사이버 보안 프로파일을 유지할 수 있는지 또는 SEC SDLC의 프로세스를 결정한다. 근본적으로 다른 사이버 보안 프로파일을 재개발하려면 새로 시작해야 한다. 사이버 보안 프로그램이 변화에 대처할 수 있을 때 비용이 덜 들고 효과적이라 할 수 있다.

[4-5] 사이버 보안 비상 사태에 대비한 계획

비정상적인 운영이 발생할 경우 조직이 준비해야 할 계획이 무엇인지에 대한 개요를 아는 것은 매우 중요하다. 예기치 않은 일이 발생하고 모든 위험 관리 노력이 실패할 경우 어떻게 해야 할까? 이는 사이버 보안 사고가 될 수도 있고 자연 재해가 될 수도 있다. 어쨌든 이러한 대비 계획을 구현하여, 조직이 직원의 불필요한 부상과 정보 자산의 불필요한 손상 또는 파괴를 피할 수 있도록 하는 것이 중요하다. NIST의 컴퓨터 보안 부서는 정보 시스템을 보안하는 데 사용될 수 있는 관행에 대한 정보를 공유한다. NIST는 정보 시스템 리소스가 조직의 성공에 필수적이기 때문에 이러한 시스템에서 제공하는 식별된 서비스가 과도한 중단 없이 효과적으로 운영될 수 있는 것이 중요하다고 조언한다. 비상 대비 플랜은 서비스 중단 후 시스템을 최대한 빠르고 효과적으로 복구할 수 있는 계획, 절차 및 기술 조치를 통해 수립함으로써 이러한 요구사항을 지원한다. 불리한 상황에 대한 포괄적이고 강력한 계획의 필요성에 대한 강조가 커지고 있다. 과거에 조직은 모든 가능한 위험에 대해 시스템 및 네트워크를 강화하기 위해 방어 및 심층과 결합된 포괄적인 위협 평가를 사용하여 방어 준비에 집중하는 경향이 있었다. 더 많은 조직이 공격 위협에 대한 준비가 시급하고 중요한 활동으로 남아 있다는 것을 이해하고 있지만, 공격자가 새로운 기능과 시스템을 습득하고 잠재된 결함을 드러냄에 따라 방어는 실패할 것이다. 건전한 위험 관리 관행에 따르면 조직은 무엇이든 준비가 되어 있어야 한다. 논의할 각 비상 상황 영역에 대해 계획의 개발과 실행을 안내하는 정책이 필요하다. 계획 자체, 계획 팀 및 구현 또는 대응 팀이 필요하다.

 

예기치 않은 부작용에 대비하는 전체 프로세스를 비상 계획(CP)이라 한다. CP가 진행되는 동안 IT 및 사이버 보안 관심 커뮤니티는 인적 정보 및 자본 자산을 포함한 정보 자산의 보안을 위협하는 이벤트를 준비, 감지, 대응 및 복구한다. CP의 주요 목표는 예기치 않은 부작용이 발생한 후 최소한의 비용으로 정상 운영을 복구하고 정상적인 비즈니스를 중단하는 것, 즉 합리적인 시간 내에 상황이 원래대로 돌아가도록 하는 것이다. 이상적으로 CP는 예상치 못한 상황에서도 조직이 시스템을 지속적으로 사용할 수 있도록 보장해야 한다. CP는 비즈니스 영향 분석(BIA), 사고 대응 계획, IR 계획, 재해 복구 계획 및 비즈니스 연속성 계획 또는 BC 계획의 네 가지 주요 구성 요소로 구성된다. 조직은 CP 정책 계획 및 하위 팀을 개발하는 책임이 있는 비상 계획 관리 팀 또는 CPMT로 시작한다. 공식 정책은 효과적인 비상 계획을 개발하는 데 필요한 권한과 지침을 제공한다. BIA를 수행하면 비즈니스 영향 분석을 통해 조직의 프로세스를 지원하는 데 중요한 시스템 및 구성 요소를 식별하고 우선 순위를 지정할 수 있다. 시스템 중단의 영향을 줄이기 위해 취한 조치를 보면, 시스템 가용성이 증가하고 비상 수명 주기 비용이 감소할 수 있다. 그리고 철저한 복구 전략을 통해 시스템이 중단 후 신속하고 효과적으로 복구될 수 있도록 보장한다. 다음으로, 비상 계획을 개발한다. 비상 계획에는 각 사업부에 필요한 손상된 조직 시설을 복구하기 위한 자세한 지침과 절차가 포함되어야 한다. 계획 테스트, 교육 및 연습을 보장해야 한다. 테스트는 복구 능력을 검증하는 반면, 교육은 계획 활성화를 위해 복구 인력을 준비하고 계획을 실행하는 것은 계획 문제를 식별한다. 이러한 활동을 종합하면 계획 효율성과 전반적인 조직 준비 상태가 향상된다. 물론, 계획 유지 관리를 보장해야 한다. 계획은 살아있는 문서로 간주되어야 한다. 시스템 개선 및 조직의 변경 사항에 따라 최신 상태를 유지하도록 정기적으로 업데이트해야 한다. 이 단계는 전체 CP 계획과 각 하위 계획에서 사용된다. BIA는 CP와 리스크 관리 모두에게 공통적인 준비 활동이다. 이는 조직이 어떤 비즈니스 기능과 시스템이 비즈니스의 성공에 가장 중요한지 결정하는 데 도움이 된다. 비즈니스 영향 분석은 조직에 영향을 미칠 수 있는 부작용을 조사하고 평가하는 것이다. 여기에는 시스템 또는 정보 집합이 조직에 얼마나 중요한지 및 복구 우선 순위를 결정하는 것이 포함된다. BIA에는 조직이 다른 유형의 비상 사태에 대한 계획을 수행하는 데 도움이 되는 세 가지 단계가 포함된다. 먼저 미션 및 비즈니스 프로세스와 복구 중요도, 비즈니스에 가장 중요한 미션과 프로세스를 결정한다. 리소스 요구 사항, 이러한 중요한 미션과 중요한 비즈니스 프로세스를 지원하려면 어떤 리소스가 필요한지 확인한다. 마지막으로 시스템 리소스에 대한 복구 우선 순위를 확인한다. 방금 확인한 가장 중요한 미션과 비즈니스 프로세스를 지원하기 위해 어떤 컴퓨팅 시스템이 빠르게 가동되고 있어야 하는지 확인한다.

 

CP 팀 외에도 조직에는 계획 팀과 대응 팀이 모두 포함된 사고 대응 팀이 있을 수 있다. 계획 팀은 사고 대응 계획을 수립하고 일반적으로 컴퓨터 보안 사고 대응 팀 또는 CSIRT라고 불리는 사고 대응 대응 팀을 구성하고 준비한다. 조직에서는 언제나 일이 발생한다. 우리는 이러한 일을 이벤트라고 부른다. 어떤 것은 좋고, 어떤 것은 중립적이고, 어떤 것은 나쁠 것이다. 불리한 사건은 조직의 정보 자산, 기술 또는 운영에 영향을 미칠 수 있는 부정적인 결과를 가진 사건이다. 사고는 정보 자산의 손실, 손상, 파괴 또는 공개를 초래할 수 있는 불리한 사건이다. 사고는 일반적으로 조직의 전반적인 생존 가능성을 위협하지는 않는다. 단지 그 안에 있는 정보 자산일 뿐이다. 사고 대응은 사고를 감지하고, 대응하고, 복구하기 위한 계획 및 준비 활동의 조직 집합이다. 조직은 소방서가 화재에 대응하는 것과 같이 사고에 반응하는 CSIRT를 구축한다.

 

재해 복구 계획은 자연적이든 인공적이든 재난에 대한 준비와 복구를 수반한다. 경우에 따라 IR 팀에 의해 감지된 사고가 재난 수준으로 확대될 수 있고, IR 계획이 더 이상 손실로부터의 복구를 처리하지 못할 수 있다. 예를 들어, 악성 프로그램이 억제 조치를 회피하고 조직의 많은 또는 대부분의 시스템을 감염시키고 비활성화하는 경우, 재해 복구 계획이 활성화될 수 있다. 보통 사건은 속성상 화재, 홍수, 피해 폭풍 또는 지진과 같이 즉시 재난으로 분류된다. 조직은 또한 재난의 여파를 처리하기 위해 재난 복구 대응 팀을 가질 것이다. 조직은 일반적으로 사고 동안 대응하지만, 재난이 발생한 후에만 대응할 수 있을지도 모른다. 재난이 발생하는 동안 인간의 건강과 복지 보호에 초점을 맞추기 때문이다. 일부 재난은 천천히 발생하고 해안에 건설되는 허리케인처럼 관찰하고 준비할 수 있으며, 다른 재난은 빠르게 발생하고 토네이도처럼 대응 시간이 거의 없다. 재난 복구 대응 팀은 다른 그룹으로 나뉘어질 수 있으며, 각각 재난 동안 손상되거나 파괴된 장비와 정보를 복구하고 교체하는 다른 기능을 가지고 있다. 때때로 재난은 조직이 점유하고 있는 물리적 건물이나 건물에 영향을 미친다. 이 경우, 비즈니스 연속성 계획은 기본 사이트가 복구되거나 새로운 기본 사이트가 확보될 때까지 임시로 대체 시설을 점유하는 것을 제공한다. DR 팀이 필요한 기술 및 인프라를 복구하고 가능한 한 많은 정보 자산을 복구하는 동안, BC 팀은 조직이 대체 사이트에서 기능을 계속 수행한 다음 기본 영구 사무실로 돌아갈 수 있도록 돕는다. 조직이 DR 기능과 BC 기능을 결합하면, 이를 비즈니스 재개 계획이라고 한다. 마지막 비상 계획 영역은 재해 복구 계획과 결합되기도 한다. 이 계획은 인간의 건강과 복지 보존에 중점을 둔다. 위기 관리 계획은 사건이나 재난의 인간적 측면에 중점을 둔다. 자연 재해, 화재 등과 같은 사건은 조직의 직원과 손님에게 극적인 영향을 미칠 수 있다. 위기 관리는 조직과 응급 서비스, 사건이나 재난 중 직원 관리에 중점을 둔다. 직원 알림 시스템과 같은 도구는 사건이나 재난이 안전하지 않은 작업장을 초래할 때 직원에게 알리고, 다시 업무에 복귀하는 것이 안전한 때에 직원에게 알려준다. 신중하게 개발되고 리허설된 이러한 다양한 계획을 결합하면 사람, 정보 자산 또는 기타 조직 자원의 불필요한 손실, 손상 또는 파괴를 방지할 수 있다.