정보보호 거버넌스 체계 총정리

 

1. 정보보호 거버넌스 체계의 개념

거버넌스는 정보를 귀중한 비즈니스 자산으로 취급하는 프로세스, 역할, 제어 및 지표를 구현하여 기업 정보를 관리하는 전체적인 접근 방식이다. 조직 내부 및 외부 위협 요소 변화 또는 취약성 발견에 대응하여 유지 관리되는 것으로, 위의 그림에서도 볼 수 있듯, 순환 주기 모델을 갖는다.

 

그림의 Security PDCA(Plan, Do, Check, Act) Cycle에서 P는 정책, 계획, 세부목표, 프로세스, 절차 수립을 수행한다. D는 정책, 통제, 프로세스의 구현과 운영을 담당한다. C는 프로세스 성과평가(Key Performance Indicator), 결과 경영자 검토를 담당한다. A는 검토 결과에 따른 시정 조치와 예방 조치를 의미한다.

 

관리체계 기반 마련은 상위 수준의 정보보호 정책을 수립하고, 정보보호 관리체계 인증 범위를 확정하는 것이다. 정보보호 관리체계 인증 시에 인증 범위 내의 모든 정보 자산은 식별되어야 한다. 식별된 정보 자산은 일정한 표준 및 형태에 맞게 정리되어야 하며, 이를 위해 정보 자산 목록을 작성한다. 또한, 시스템 배치 및 위치를 확인하고 인터넷망과 내부망에 어떤 정보 자산이 있는지 확인하기 위해서 네트워크 및 시스템 구성도가 필요하다.

 

경영진으로 하여금 정보보호를 전담으로 관리하기 위한 조직을 구성하고, 조직에 책임과 역할을 부여하라는 의미이기도 하다. 추가로, 정보보안 관련 주요 의사결정 사항이 발생하여 누가 의사결정을 할 것인지 공식적인 의사결정체계를 구축해야 한다.

 

위험관리는 자산식별, 위협, 취약점 점검, 위험평가를 수행하고 그에 따른 보호대책 계획을 수립하라는 의미이다. 이를 위해 위험관리 계획서를 작성하여 위험관리의 범위, 위험관리 수행 일정을 수립하고, 그것의 방법을 결정할 것이다. 위험관리 계획서가 작성되면 해당 위험 관리 계획서에 따라 윟머평가를 수행하고, 그 결과를 문서화한다.

 

식별된 위험에는 단기, 중기, 장기적으로 대응해야 할 것들이 구분될 것이다. 정보보호 대책 구현은 각 위험에 대해서 어떻게 대응할 것인지를 결정하는 것이고, 대응을 위한 계획을 수립하는 것이다. 이것을 정보보호 계획서라고 하는 것이다.

 

관리체계 운영은 정보보호 관리체계를 수립하고, 이행하는 단계이다. 인증을 위해서는 보호대책 구현, 보호대책 공유, 운영현황 관리를 수행해야 한다.

 

관리체계 점검 및 개선은 법적 요구사항을 준수하고, 매년 1회 이상 관리체계를 점검하고 개선한다. 법적 요구사항 준수 및 관리체계 점검을 통해서 식별된 문제점은 원인을 분석하고 재발 방지를 위한 대책수립 및 이행을 해야 하며, 경영진은 개선 결과를 확인해야 한다.

 

말이 아주 길어졌는데, 거버넌스 체계의 가장 중요한 목표는 직원들이 비즈니스 결정을 내리는 동안 신뢰할 수 있고, 쉽게 엑세스할 수 있는 데이터를 제공하는 것이라 볼 수 있다. 

 

1.1 정보보호 거버넌스 체계의 중요성

정보보호 거버넌스를 정보를 필요로 하는 사람들이 정보에 더 쉽게 접근할 수 있도록 해준다고도 볼 수 있다. 그리고 이런 사실은 모든 기업과 조직에 있어 매우 중요하다. 모든 유형, 규모의 조직은 정보 자산의 조직 및 관리가 상대적으로 부실하다. 그래서 접근성, 사용 용이성, 보안성의 문제가 생기는 경우가 허다하다. 그런 모든 사항이 정보보호 거버넌스를 통해 긍정적인 영향을 받을 수 있는 것이다.

 

종종 동일한 정보가 둘 이상의 위치에 존재하는 경우도 존재한다. 결국 사람이 하는 일에는 실수가 생길 수 있고, 동일한 정보가 그리하여 여러 곳에 존재한다면, 심지어 그게 일치하지 않는다면 혼란이 발생할 수 있을 것이다. 그리고 효과적인 정보보호 거버넌스는 SSOT(Single Source of Truth)를 구축하여 정보의 신뢰성을 높일 수도 있다.

 

그리고 기업 전체에서 정보 무결성을 보장하기 위해서는 모든 직위, 영역에서 직원들의 적극적인 참여가 요구된다. 정보보호 거버넌스 체계에 대한 인식과 노력은 조직 전체에 걸쳐 적극적으로 장려되고, 업데이트되어야 할 것이다.

 

2. 정보보호 거버넌스 체계의 이점

거버넌스는 넓은 이점을 제공하는데, 아래의 내용을 보장한다.

첫째, 기본 데이터가 적절하게 관리, 저장 및 보호된다.

둘째, 필요한 경우 규제 요건을 올바르게 준수한다.

셋째, 잘못된 사용으로 인해 발생할 수 있는 문제를 최소화하기 위한 위험 관리가 이뤄진다.

 

※ 데이터 거버넌스 vs 정보보호 거버넌스

정보보호 거버넌스의 내용을 보다 보면, 마치 데이터 거버넌스와 별 차이가 없는 것처럼 느껴지기도 한다. 이는 데이터 vs 정보에 대한 개념이 정립되지 않았다면 더욱 그럴 수 있을 것이다. 데이터는 반드시 정보일 필요는 없다. 의미없는 데이터 쪼가리도 넘치니 말이다. 그러나, 데이터 없이는 정보란 존재할 수 없다. 정보보호 거버넌스는 신중하게 정의되고, 비즈니스적 의미는 지닌 데이터 자산을 의미한다. 반면, 데이터 거버넌스는 물리적 데이터 자체에 대한 감독을 의미한다. 데이터 저장, 보관, 전송 등이 그에 속한다. 데이터 거버넌스에서는 구현에 참여하는 사람이 데이터의 의미를 이해하지 못해도 작업을 수행하는 데에 무리가 없지만, 정보보호 거버넌스에서는 그것의 의미를 파악하는 것이 핵심이라고 할 수 있다.

 

※ 정보보호 거버넌스 체계 프레임워크에서의 핵심 질문은 무엇인가?

정보보호 거버넌스는 아래의 질문들에 대한 답변을 할 수 있는 체계로 이해하면 더욱 와닿을 것이다.

- 이 정보는 무엇을 의미하나?

- 누가 그 정보를 사용하는가?

- 그 정보는 어떻게 만들어졌으며, 어디서 왔는가?

- 사용자는 그 정보로 무엇을 하는가?

- 그 정보에 누가 엑세스할 수 있는가?

- 그 정보는 왜 중요한가?

- 그 정보는 어느 기간동안 유용한가?

- 이 정보에 의존하는 다른 정보는 무엇이 있는가?