[CISM 특집] ②CISM-정보보안 거버넌스

“정보보안, 나무를 보지 말고 숲을 보라”

사이버사회의 양적·질적 팽창으로 인해 사이버 공간에 대한 질서와 체계 그리고 보안을 확립시켜가야 한다는 것이 이제 사회 전반적인 화두가 되고 있다. 또 국가와 기업에서는 이를 총괄 관리할 수 있는 조직과 인재가 절실한 상황이다. 이번 주부터 매주 8회분에 걸쳐 CISO(Chief of Information Security Officer: 정보보안담당 이사)의 필요성을 조명하고 CISM 자격증에 대해서도 집중 소개하는 시간을 갖도록 하겠다. 필자는 IT컨설팅 및 감리법인 (주)키삭 조희준 책임컨설턴트. <편집자 주>

[게재 순서]

①CISM 소개

②CISM 시험영역: 정보보안거버넌스

③CISM 시험영역: 정보위험관리

④CISM 시험영역: 정보보안프로그램개발

⑤CISM 시험영역: 정보보안프로그램관리

⑥CISM 시험영역: 사고대응관리

⑦ISMS(정보보안관리체계)

⑧산업보안

지난 기고에서는 CISM(Certified Information Security Manager; 정보보안 관리자)에 대한 전반적인 개요를 둘러보았다. 기업 거버넌스와 IT거버넌스를 연계하고 고위경영진과 이사회의 책임으로 동인되는 정보보안 거버넌스의 역할인 CISM, 향후 IT강국의 CISO(Chief of Information Security Officer: 정보보안 담당이사) 혹은 CSO(Chief of Security Officer: 보안 담당이사)의 관문으로 정리하여 보았다. 이러한 CISM의 국제자격시험 5개의 시험영역을 이번 호부터 하나씩 살펴봄으로써 IT거버넌스의 확장인 CISM에 대해 한발 더 다가서 보도록 하겠다.

CISM 1장 정보보안 거버넌스

ISACA (Information System Audit & Control Association)의 ITGI(IT Governance Institute)에서 정의한 정보보안 거버넌스는 전략적 경영의 방향을 제공하는 고위경영진 및 이사회가 수행하는 책임과 실제업무의 조합이며 경영목표를 달성하는 것을 보증하고 위험을 적절히 관리하고 있음을 주장하며 기업의 자원이 책임 있게 사용되고 있음을 확인하는 것으로 정의하였다. 이 정의는 IT거버넌스의 5개 도메인의 내용에서 출발한 것이라 할 수 있다.

정보보안은 상위레벨의 고위경영진에서부터 시작하여 실무진까지로 이어지는 효과적인 측정기준을 거버넌스를 적용하여 표현하였다. 이를 보안 측정치의 구성요소(Components of Security Metrics)라고 하는데 고위경영진과 이사회의 상위레벨의 강력한 지원을 기반으로 실무 수행적인 보안정책과 절차가 만들어져서 이는 반드시 계량화 되어 측정 가능한 성과치로 나타나며 결과론적으로 분석되어 져야 한다.

정보보안 거버넌스 영역은 8개의 수행활동(Task Statement)과 그에 따른 세분화된 지식 성명서(Knowledge Statement)로 구성되어 있다.

수행활동

Task 1.1 비즈니스의 목표와 목적을 연계 하는 정보보안 전략을 개발

Task 1.2 기업 거버넌스와 정보보안 전략의 연계

Task 1.3 정보보호의 투자를 정의할 수 있는 비즈니스 케이스의 개발

Task 1.4 정보보안에 영향을 미치는 현재 및 잠재적 법규와 규정사항을 식별

Task 1.5 기업에 영향을 미치는 요인을 식별 (기술, 기업환경, 위험, 지리적 위치)

Task 1.6 정보보안에 대한 고위경영진의 권한 위임 획득

Task 1.7 조직전반에 걸쳐 정보보안을 위한 역할과 책임을 정의

Task 1.8 정보보안을 지원하는 내부 및 외부 보고활동을 수립

CISM 에게 던지는 질문

“정보보안을 위한 고위경영진의 공약과 지원은 다음 무엇을 통해 가장 잘 이끌어 낼 수 있는가”라고 CISM에게 질문을 한다면 여러 가지 대답이 나올 수 있을 것이다. “치명적인 보안공격의 형태와 방어법을 설명으로써”, “조직에게 기술적으로 보안 위험을 설명함으로써”, “타 조직의 보안 성공사례를 견주어 조직을 평가함으로써” 등 여러 가지 대답이 나올 수 있을 것이다. 하지만 1장 정보보호 거버넌스에서는 “핵심 비즈니스 목적과 보안 위험을 연계시킴으로써” 고위 경영층의 지원과 공약을 이끌어 낼 수 있다라고 추천되는 대답이라고 얘기하고 싶다.

CISM의 시험영역 제 1장 정보보호 거버넌스를 간략히 살펴보았다. 정보보안을 해야 하는 이유는 보안 그 자체가 중요한 것이라기 보다는 기업의 생존과 기업의 전략 달성을 위해 꼭 필요하다는 나무를 보기보다 숲을 보는 관점이 중요하다고 하겠다.

보다 자세한 내용은 http://www.isaca.or.kr/혹은 http://www.lyzeum.com/에서 찾아볼 수 있다.

참고자료 및 출처

http://www.isaca.org/

http://www.isaca.or.kr/

http://www.lyzeum.com/

Information Security Governance-Guide for BOD & Εxecutives, ITGI, 2004

Information Security Governance, ITGI, 2008

CISM Review Manual, ISACA. 2006~2008

CISM Review Questions/Answer/Explanations Manual, ISACA, 2008

[필자 약력]

-기고자: 조 희 준

-IT컨설팅 및 감리법인 (주)키삭 책임컨설턴트 재직 중

-고려대학교 대학원 감사 행정학과 재학 중

-(사)한국정보시스템 감사통제협회 ISACA GRA 연구회원

-한국 CISSP 협회 ISC2 Korea 교육연구분과 교육팀장

-CISM, CGEIT, CISA, COBIT, CISSP, PMP, ITIL, CIA, IT-EAP, ISO 27001 정보시스템 감리원

글·조희준(CISM, CGEIT, CISA, COBIT, CISSP, PMP, ISO27001, CIA, 정보시스템감리원) / josephc@chol.com

[정리 길민권 기자(reporter21@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)