[CISM 특집] ③CISM-정보위험관리

CISM, “정보보안의 흩어져 있는 많은 요소들을

조직 목적에 맞게 구성하는 지혜가 필요해”

사이버사회의 양적·질적 팽창으로 인해 사이버 공간에 대한 질서와 체계 그리고 보안을 확립시켜가야 한다는 것이 이제 사회 전반적인 화두가 되고 있다. 또 국가와 기업에서는 이를 총괄 관리할 수 있는 조직과 인재가 절실한 상황이다. 이번 주부터 매주 8회분에 걸쳐 CISO(Chief of Information Security Officer: 정보보안담당 이사)의 필요성을 조명하고 CISM 자격증에 대해서도 집중 소개하는 시간을 갖도록 하겠다. 필자는 IT컨설팅 및 감리법인 (주)키삭 조희준 책임컨설턴트. <편집자 주>

[게재 순서]

①CISM 소개

②CISM 시험영역: 정보보안거버넌스

③CISM 시험영역: 정보위험관리

④CISM 시험영역: 정보보안프로그램개발

⑤CISM 시험영역: 정보보안프로그램관리

⑥CISM 시험영역: 사고대응관리

⑦ISMS(정보보안관리체계)

⑧산업보안

첫 번째 글에서는 CISM의 향후 기업 내에서의 CISO(Chief of Information Security Officer: 정보보안 담당이사)로서의 자리매김을 얘기 하였고, 두 번째 글에서는 CISM 국제 자격증 시험 영역의 5가지 중 첫 번째 영역인 정보보호거버넌스를 살펴보았다. 이번 호는 세 번째 시간으로 시험영역의 두 번째인 정보위험관리에 대해 얘기 해 보자고 한다. CISM을 여행코스로 생각하고 즐겁고 유익한 여행이 되었으면 바란다.

CISM 2장 정보위험관리

Information Risk Management라고 한다면 CISM에서 얘기하는 위험(Risk)이란 무엇인가? 요즘 위험관리라는 얘기는 프로젝트의 사업관리에 꼭 포함되어 있고, IT뿐 아니라 기타 기획업무, 운영업무에서도 위험에 대해 식별하고 대응책을 수립하였는지 점검하고 있으며, IT감사 및 감리에서는 위험관리를 하나의 주제로 정해놓고 집중적으로 조명하기도 한다. 그렇다면 위험이란 것이 무조건 부정적인 성질을 갖고 있어서 깨어지기 쉬운 살얼음을 다루듯이 하는 것일까? CISM에서는 위험을 불확실성(Uncertainty)으로 정의한다. 불확실하다는 것은 그것이 긍정적(positive)인지 부정적(negative)인지를 알 수 없다는 것이다. 위험관리는 그런 불확실성을 식별해서 긍정적 요소를 향상시키며 부정적 요소를 최소화 하는 것이다.

정보보안관리란 기업의 핵심자산인 정보에 대하여 위험에 노출될 취약성(Vulnerability)을 분석하고 이 취약성에 위협이(Threat) 가해질 때의 영향을 계량화하여 대응책(Countermeasures)을 수립하는 일련의 주기적 관리순환체계인 것이다.

또한 위 그림에서 보듯이 위험을 통제(완화) 하더라도 남아있는 위험이 있는데 이를 잔여위험(residual risk)라며 하며 잔여 위험의 수준은 경영진에 의해서 결정된다. 위험자체는 완전히 제거되지도 않을뿐더러 (정보라는 자산의 위험은 급변하는 환경과 밀접해서 항상 새로운 위험을 발생되기 마련이다.) 완전에 가깝게 제거 혹은 완화하기 위해서는 득과 실을 따져봐야 한다. 적정수준의 위험관리수준(ALR: Acceptable Level of Risk)을 경영진이 정하게 되는 이유가 여기에 있는 것이다. 아래 그림은 ALR를 설명해 놓은 것이다.

정보위험관리 영역은 7개의 수행활동(Task Statement)과 그에 따른 세분화된 지식 성명서(Knowledge Statement)로 구성되어 있다.

CISM 에게 던지는 질문

“위험관리는 위험평가와 위험통제(완화)와 또 무엇으로 구성 되는 일련의 관리체계인가”라고 CISM에게 질문을 한다면?

역시 여러 가지 대답이 나올 수 있을 것이다.

“위험관리수준(ALR)” 혹은 “위험의 수용(acceptance)”, “위험의 대응책(countermeasures)” 등등 정보위험관리를 구성하는 요소를 꺼내게 될 것이다.

하지만 2장 정보위험관리에서는 “위험에 대한 지속적인 감시(monitoring)”라고 추천하고 있다. 위험을 통제하고 그것이 얼마만큼 조직의 목적달성과 연계되는지 지속적으로 관심을 갖는 것이 CISM이 해야 할 일인 것이다.

CISM의 시험영역 제 2장 정보위험관리는 동서고금이 바라보는 시각이 같다고 생각한다. “위기”라는 단어는 위험과 기회라고 했다. 위험은 곧 그것을 잘 통제할 때 기회로 만드는, 즉 긍정적인 측면을 잘 이끌어 내야 할 것이다. 이런 지혜와 의사결정이 정보보안 이사로서의 CISM이 갖추어야 할 자격요건이라 생각한다. CISM은 정보보안의 흩어져 있는 많은 요소들을 조직의 목적에 맞게 구성하는 지혜가 필요하지 않을까?

보다 자세한 내용은 http://www.isaca.or.kr/혹은 http://www.lyzeum.com/에서 찾아볼 수 있다.

참고자료 및 출처

http://www.isaca.org/

www.isaca.or.kr

www.lyzeum.com

Information Security Governance-Guide for BOD and ㅌxecutives, ITGI, 2004

Information Security Governance, ITGI, 2008

CISM Review Manual, ISACA. 2006~2008

CISM Review Questions/Answer/Explanations Manual, ISACA, 2008

[필자 약력]

-기고자: 조 희 준

-IT컨설팅 및 감리법인 (주)키삭 책임컨설턴트 재직 중

-고려대학교 대학원 감사 행정학과 재학 중

-(사)한국정보시스템 감사통제협회 ISACA GRA 연구회원

-한국 CISSP 협회 ISC2 Korea 교육연구분과 교육팀장

-CISM, CGEIT, CISA, COBIT, CISSP, PMP, ITIL, CIA, IT-EAP, ISO 27001 정보시스템 감리원

글·조희준(CISM, CGEIT, CISA, COBIT, CISSP, PMP, ISO27001, CIA, 정보시스템감리원) / josephc@chol.com

[정리 길민권 기자(reporter21@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)