[CISM 특집]①정보보안관리자와 IT거버넌스의 만남, CISM

“CISM 자격이야 말로 CISO가 되는 초석”

사이버사회의 양적·질적 팽창으로 인해 사이버 공간에 대한 질서와 체계 그리고 보안을 확립시켜가야 한다는 것이 이제 사회 전반적인 화두가 되고 있다. 또 국가와 기업에서는 이를 총괄 관리할 수 있는 조직과 인재가 절실한 상황이다. 이번 주부터 매주 8회분에 걸쳐 CISO(Chief of Information Security Officer: 정보보안담당 이사)의 필요성을 조명하고 CISM 자격증에 대해서도 집중 소개하는 시간을 갖도록 하겠다. 필자는 IT컨설팅 및 감리법인 (주)키삭 조희준 책임컨설턴트. <편집자 주>

[게재 순서]

①CISM 소개

②CISM 시험영역: 정보보안거버넌스

③CISM 시험영역: 정보위험관리

④CISM 시험영역: 정보보안프로그램개발

⑤CISM 시험영역: 정보보안프로그램관리

⑥CISM 시험영역: 사고대응관리

⑦ISMS(정보보안관리체계)

⑧산업보안

정보보안 및 정보시스템보안의 중요성이 대두되면서 국내기업에서도 CISO(Chief of Information Security Officer: 정보보안담당 이사)의 필요성과 그들의 자리매김이 이미 시작되었다. (현재는 CSO-Chief of Security Officer; 보안 담당이사의 역할과 병행) CISM(Certified Information Security Manager; 정보보안관리자) 자격이야 말로 CISO가 되는 초석이며 이는 기업거버넌스의 영역에 IT거버넌스를 포함시키면서 가능해진 것이다. CISM 국제자격시험이 한글화 되면서 이를 대비하는 독자들에게 소개하며 ISMS(Information Security Management System; 정보보안관리체계)와 산업보안을 살펴보는 기회를 갖도록 하겠다.

ISACA(Information System Audit & Control Association)에서 CISA(Certified Information System Auditor)를 탄생시킨 지는 1978년이니까 30년이 넘어간다. 국제공인 정보시스템감사사로서 정보시스템 지배, 통제, 보안 및 감사 분야의 공인 전문 자격증으로서 국내 IT 컨설팅업체들과 회계법인, IT 관련업체, 정보시스템 감리업체, 일반 기업체 및 금융기관의 감사실, 정보관리부서 혹은 내부통제부서에서 CISA 자격을 갖춘 많은 전문가들이 활동을 하고 있다. 2008년 기준으로 6,000여명의 합격자(자격증소지자의 수는 이보다는 적음) 통계숫자가 나오니 가히 IT강국 이라 할 수 있겠다.

ISACA에서는 2000년에 들어 IT거버넌스에 집중적으로 연구를 시작하게 되면서 정보보안에 IT거버넌스를 확장시킨 CISM(Certified Information Security Manager) 국제자격시험을 만들게 된다. 정보라는 것은 손에 만져질 수 없는 것이지만 특정매체에 존재 할 경우 이 정보는 절취, 변조의 가능성이 있으므로 보안 혹은 보호의 대상이 된다. 물론 특정매체 중에 정보시스템에 집중화 되는 경향도 있지만 CISM은 정보가 포함된 모든 매체를 대상으로 하기에 그 범위가 넓으며 그러므로 인해서 IT거버넌스의 확장이라 할 수 있겠다.

오늘날 IT가 기업에서 차지하는 중요도는 IT없이 기업의 영속성(Going Concern)을 보증할 수 없음으로 인해 IT거버넌스는 기업거버넌스에 통합되는 일부분으로 IT가 이제는 IT 부서만의 책임과 투자가 아닌 기업의 최고 경영진의 책임과 의무로서 거버넌스로 인식된다. 정보가 기업의 생명이며 가장 중요한 자산중의 하나로서 간주되는 지금 정보보안에 대한 IT거버넌스적 접근이 CISM으로 검증 될 수 있다 하겠다.

정보보안 관리자, 정보보안 컨설턴트, 대기업 금융기관 및 일반기업체의 정보시스템 및 정보보안 관련부서, 정보보안 관련연구소 등에서 CISM의 필요성은 IT거버넌스와 더불어 날로 확산 되리라 생각한다. ISACA의 IT거버넌스에 대한 지식활동은 2008년도에는 CGEIT(Certified in the Governance of Enterprise IT) 자격시험도 탄생시켰다.

ISACA 국제본부와 ISACA Korea Chapter(한국지부)와의 꾸준한 노력 끝에 CISM 탄생 5년 만에 영어로만 볼 수 있었던 CISM 시험이 2008년부터 한글화 되었다. 우리나라 땅에서 우리나라말로 번역된 CISM 시험을 볼 수 있게 된 것이다. CISM이 IT거버넌스와의 만남이라는 제목을 쓴 이유는 ISACA의 국제자격증 탄생 배경에도 있지만 또한 IT거버넌스의 등장배경에도 있다. 보다 현실적으로 시험영역(과목)을 살펴보면 그 이유를 명확히 알 수 있으리라 생각한다.

5개의 시험영역을 요약하여 보면 정보보안 거버넌스는 정보보안이 기업의 전략적 목표를 달성하기 위해 고위경영진 및 이사회가 수행하는 책임과 의무로서 정보보안 프로그램을 유지하여 목표 달성을 보증하고, 그에 따른 위험을 적절하게 관리하고 있음을 주장하며 정보보안 사고의 적절한 대응과 기업의 자산이 책임 있게 사용되고 있음을 증명하는 것이다. 이와 같은 정보보안 거버넌스는 CISM에 의해서 성공적으로 수행 되어야 할 것이다.

CISM 시험일정 및 출제형식

CISM 시험은 매년 6월, 12월 둘째 주 토요일 실시되는데, 2009년의 경우 6월 13일(토)에 시험이 시행된다.

문제 형식은 200개의 사지선다형 객관식으로 출제된다.

시험언어와 시험장소는 응시원서 접수 시 본인이 선택하며, ISACA에 등록된 전세계 어느 곳에서나 한글응시가 가능하다.

CISM의 자격요건

시험영역 분야에서 5년간의 정보보안 업무 경력을 갖추어야 한다. 이 5년 중 3년 이상은 매니저로서의 경력이어야 하며, 위 5개의 영역 중 3개 이상의 영역에서 경력이 있어야 한다.

CISA(국제공인 정보시스템감사사), CISSP(국제공인 정보시스템 보안전문가) 또는 석사이상의 관련학위(정보보안연관 및 경영학) 소지자는 2년 경력이 면제된다. (단, 일반경력요건 분야의 2년이 면제되며, 3년의 관리자 급 이상의 경력요건은 충족되어야 한다.)

보다 자세한 내용은 http://www.isaca.or.kr/혹은 http://www.lyzeum.com/에서 찾아볼 수 있다.

보안의 기술 지향적인 내용도 포함하고 있지만 경영지향적인 시각으로 정보보안을 바라보는 CISM은 시험응시자 지침(Candidate’s Guide)에 기술한 것처럼 기업의 정보보안을 감독, 관리하고 수립하는 고위관리자에게 요구되는 자격사항인 것이다. 특히 CISO(혹은 CSO)가 되기 위한 필수 관문이라 하겠다. 위에서 본 자격요건에 5년 이상의 정보보안 경력을 요구하는 이유도 여기에 있겠다. 정보보안의 경력개발의 중장기적인 관점에서 CISO를 지향하는 바를 독자들은 주목해야 할 것이다.

보다 자세한 5개의 시험영역을 앞으로 연재로서 실어 봄으로서 CISM을 더 이해하고 IT거버넌스와의 연계를 찾는 지식활동에 도움이 되길 바란다.

참고자료 및 출처

http://www.isaca.org/

http://www.isaca.or.kr/

http://www.lyzeum.com/

Information Security Governance-Guide for BOD and E×ecutives, ITGI, 2004

Information Security Governance, ITGI, 2008

CISM Review Manual, ISACA. 2006~2008

CISM Review Questions/Answer/Explanations Manual, ISACA, 2008

[필자 약력]

-기고자: 조 희 준

-IT컨설팅 및 감리법인 (주)키삭 책임컨설턴트 재직 중

-고려대학교 대학원 감사 행정학과 재학 중

-(사)한국정보시스템 감사통제협회 ISACA GRA 연구회원

-한국 CISSP 협회 ISC2 Korea 교육연구분과 교육팀장

-CISM, CGEIT, CISA, COBIT, CISSP, PMP, ITIL, CIA, IT-EAP, ISO 27001 정보시스템 감리원

글·조희준(CISM, CGEIT, CISA, COBIT, CISSP, PMP, ISO27001, CIA, 정보시스템감리원) / mailto:josephc@chol.com

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)