[현직 컨설턴트 견해]

정보보호활동에 대한 경영층의 명확한 지원 및 방향제시를 보증할 수 있는 조직이 정보보호 조직이며, 정보보호관리 활동을 수행하고 검증하는 인력들에 대한 책임, 권한 및 상호연관관계를 정의를 통한 실제 정보보호 활동의 첫걸음 입니다.

하지만 실제 컨설팅 시 정보보호 조직에게 책임은 있지만 권한은 없는 게 다반사이다. 그렇게 때문에 보안사고가 발생했을 경우 사고에 대한 책임으로 정보보호최고책임자(CISO) 경질이 되어도 근본적인 문제는 존재합니다.

근본적인 문제란 정보보호 활동에 대한 경영진의 참여 미비와 정보보호 조직에게 정보보호 활동에 대한 권한 부족입니다.

이러한 문제를 해결하기 위해서 정보보호에 대한 책임을 경영진이 의사결정을 할 수 있게 만들어야 하며, 정보보호 관리체계의 지속적인 운영이 가능하도록 정보보호 조직을 구성하여 정보보호 관리체계 운영 활동을 수행하는데 필요한 자원을 확보해야 합니다.

이제 정보보호관리 5단계 중 “경영진 책임 및 조직구성 단계(3~4단계)”에 대해 알아보도록 하겠습니다.

[ISMS 본문]

(3단계) 경영진 참여

경영진 의사결정

<출처: KISA ISMS구축 및 운영교육-실무자 과정.pdf>

• 경영진 책임 및 조직구성 단계(경영진 참여)의 요구사항

• 경영진 참여 필요성

- 기업 경영진 차원에서의 상시 모니터링 체계 구축 등 체계적인 정보보호 관리를 유도하기 위해서 필요하다.

- 경영진이 정보보호 관리체계에 대해 이해하고 관심을 갖게 되며 향후 사업 연속성을 유지하는데 있어 정보보호 관리체계가 그 기반을 마련할 수 있다.

• 경영진 의사결정의 예

- 정보보호 관리체계의 구축 및 관리∙운영

- 정보보호 취약점 분석∙평가 및 개선

- 침해사고의 예방 및 대응

- 사전 정보보호대책 마련

- 보안조치 설계∙구현 등

- 정보보호 사전 보안성 검토

- 중요 정보의 암호화 및 보안서버 적합성 검토

- 그 밖에 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

정보보호 관리체계를 운영하면서 주요한 의사결정을 실무조직이 아닌 경영진에 의해 검토되고 결정되어야 한다.

정보보호 관리체계 수립 및 운영을 위한 정보보호정책의 제∙개정 승인 및 공표, 위험관리, 내부감사 등과 같은 중요한 사안에 대해 경영진이 참여하여 의사결정을 할 수 있도록 경영진의 책임과 역할을 정보보호정책에 명시하여 경영진이 참여하는 중요한 활동을 정의하고 그에 따른 보고체계를 갖추어야 한다,

(4단계) 정보보호 조직 구성 및 자원할당

정보보호 조직 구성

<출처: KISA ISMS구축 및 운영교육-실무자 과정.pdf>

• 경영진 책임 및 조직구성 단계(정보보호 조직 구성 및 자원할당)의 요구사항

• 정보보호 조직 구성의 필요성

- 정보보호정책을 통해 목표와 방법, 위험관리 등에 대한 사항을 명시하고 나면 목표를 달성하기 위한 구체적인 정보보호 업무를 수행할 조직이 필요하다.

- 정보보호 전담조직의 형태는 모든 부서의 경영진 급이 참여하는 정보보호위원회를 구성하고, 정보보호 담당조직으로서 전단 정보보호관리자 또는 책임자가 지정되고 각 부서 별로 정보보호담당자가 지정된다.

- 정보보호 활동을 원활히 수행하기 위해서는 조직의 규모 및 보호해야 할 정보자산에 적합한 수준으로 인원과 예산이 배정되어야 한다.

• 최고경영자 책임

- 연간 정보보호 활동을 시행하는데 조직의 여건을 고려한 최소한의 예산 지출 또는 인력운영 등은 정보보호 관리체계의 안정적인 유지를 위해 반드시 요구되는 사항이기 때문에 최고경영자의 책임이다.

- 최고경영자는 위험관리 활동을 통해 보고되는 보호대책의 시행을 위한 예산 또는 인력운영 계획을 검토하여 적절한 투자가 이루어지도록 해야 한다.

• 정보자산 식별

- 정보자산의 식별은 현재 보유중인 자산 중 보호해야 할 대상을 정의하는 것이며, 추후에는 새로 도입되는 자산을 개별적으로 식별하여 관리대상에 포함해야 한다.

- 자산을 체계적으로 관리하기 위해 정보자산을 유형별로 분류해야 하며, 이를 위해서는 통일된 기준의 정보자산 분류 기준이 마련되어야 한다.

정보자산 식별

<출처: KISA ISMS구축 및 운영교육-실무자 과정.pdf>

• 정보자산 분류

- 정보자산의 분류는 유형별 분류와 중요도에 따른 등급별 분류로 나눌 수 있다. 유형별 분류는 서버, 네트워크, PC 등 정보자산 형태별로 분류하는 것을 말하며 등급별 분류는 기밀정보자산, 비밀정보자산, 대외비 등 중요도 또는 보안성 요구 정도에 따라 분류한다.

- 정보보호 관리체계 범위에 존재하는 정보자산에 대하여 가치나 속성(보관형태 및 보관기간, 용도 등)이 일치하는 것을 하나의 그룹으로 관리하는 것이 효울적이다.

- 자산분류에서 문서, 시설, 지원서비스, 인력, 매체의 경우 조직의 업무상 이들의 중요도가 낮아 보안상 큰 영향을 미치지 않거나 분석에 필요한 인력과 시간이 부족한 경우 혹은 위험분석을 IT 시스템을 중심으로 수행하는 경우에는 세부 목록을 작성하지 않을 수 있다.

자산분류

<출처: KISA ISMS구축 및 운영교육-실무자 과정.pdf>

• 자산 중요도 평가

- 식별된 자산에 대해 침해사고 발생시의 영향을 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)측면에서 파악하여 자산의 가치를 평가한다.

- 추가적으로 조직의 특성에 따라 비즈니스와 서비스에 영향(Impact)을 주는 정도를 고려한 추가적인 가치평가 항목을 포함한다.

자산 중요도 평가 시 고려사항

<출처: KISA ISMS구축 및 운영교육-실무자 과정.pdf>

• 자산 중요도 평가 기준

- 기밀성: 정보자산의 접근은 인가된 사람만이 접근 가능함을 보장해야 하는 특성(정도)을 말한다.

- 무결성: 정보자산 내의 정보 및 처리 방법의 정확성, 완전성을 보호해야 하는 특성(정도)을 말한다.

- 가용성: 인가된 사용자가 필요시 정보자산 및 관련 정보에 접근하는 것을 보장해야 하는 특성(정도)을 말한다.

- 침해사고 발생 시 피해 규모와 장애 복구를 위한 목표시간 기준은 핵심정보서비스이며, 예를 들어 증권사의 경우 트레이딩 서비스가 핵심정보서비스 중의 하나이다.

#stage