[기고] 정보보호 거버넌스와 BMIS-개요

개념을 실무로 - 현실세계

아무리 좋은 생각이 있어도 이를 구체화 하지 않으면 현실세계에서는 의미가 반감될 수 밖에 없다. 플라톤이 설파한 ‘물에 빠진 탈레스’ 관한 일화로 유명하다. 탈레스라는 철학자가 하늘의 별을 쳐다보다가 그만 우물에 빠졌다는 얘기이다. 단순히 철학자들에게만 적용 될 수 있는 이야기는 아닌 것 같다.

정보보호 거버넌스에 대한 개념정립에서 수립, 필요한 6가지 산출물들에 대해서 이해하고 지식을 습득하였다면 이것을 체화 내지 내재화(in place) 하여야 한다. 현실세계에서 적용할 수 없는 이론은 이론일 뿐이다.

정보보호 거버넌스의 프레임워크 - BMIS

정보보호 거버넌스를 구체화하는 방법론과 ‘How to’를 제시하고 있는 것은 BMIS이다. Business Model for Information Security, 즉 정보보호를 위한 비즈니스 모델이다. 필자가 특히 관심을 많이 갖고 독자들에게 소개하는 이유는 이름에서도 알 수 있듯이 ‘비즈니스 모델’이라는 것이다.

정보보호의 목적에서도 살펴보았듯이 기업과 공공기관의 전략과 목적을 달성하는 데에 정보보호가 기여와 공헌을 함으로써 비즈니스 기회를 넓히고 이에 따른 비즈니스 위험을 최소화해야 되기 때문이다.

BMIS는 ISACA(Information Systems Audit and Control Association; 정보시스템 감사통제협회) 국제본부에서 만들어 졌다. ISACA는 ‘IT 거버넌스 전문가를 위한 서비스 지원(Serving IT Governance Professionals)’와 정보시스템의 신뢰와 가치(Trust in, Value from, Information Systems)라는 캐치프레이즈를 갖고 있다.

협회의 이름에서 알 수 있듯이 정보시스템 즉, IT의 감사(Audit)와 IT 통제(Control), 그리고 IT 거버넌스를 주제로 한 학문과 연구를 위한 전세계 전문가 협회이다(대한민국도 당연히 포함되어 있고 한국 챕터도 있다. www.isaca.or.kr).

반 세기를 넘게 이런 주제들을 다루었던 ISACA 국제협회가 정보보호 거버넌스 (Information Security Governance)를 주제로 다루게 되고 BMIS와 같은 프레임워크를 제시하는 것은 당연하다고 할 수 있다.

BMIS

BMIS는 누구야?

정보보호 거버넌스의 목적도 비즈니스의 지원이니까 정보보호 거버넌스의 프레임워크도 당연히 비즈니스의 지원이라 함은 중언부언일 뿐이다. 그러므로 BMIS는 정보보호 관리를 위해 비즈니스 지향적인 접근방법(Business Oriented Approach)로 탄생하게 된다. 또한 효과적인 관리를 위한 시스템적 사고(Systems Thinking)를 바탕으로 한다.

이 모델을 구성하고 있는 4가지의 요소(Elements)와 6가지의 역동 연결자(Dynamic Interconnections)는 정보보호 거버넌스의 수립과 운영을 위한 범위와 인적 자원, 프로세스, 변화 관리 등을 대응하는 구체적인 젓을 모델링 한다.

또한 다른 프레임워크와 상호 연계하여 시너지를 나타낸다. 특히 COBIT(Control OBjectives for Information and Related Technology)프레임워크와는 IT 거버넌스와 연계한 통합적인 면을 제시할 수 있다.

BMIS의 4요소

BMIS는 정보보호 거버넌스를 위한 프레임워크이다.

비즈니스 지향적인 접근방법 모델이다.

시스템적 사고 모델이다.

4가지의 요소와 6가지의 역동 연결자로 구성된다.

COBIT과 연계 시너지가 높다.

BMIS의 6 역동 연결자

BMIS와 COBIT의 시너지

BMIS를 통하여 정보보호 거버넌스를 구현 운영, 개선시키고자 연재 기고가 계속 된다. 지속적인 관심을 가지고 비즈니스 지향적인 마음가짐으로 시스템적 사고를 해 나가기를 바란다. 이 칼럼을 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업(공공기관)의 중요한 전략으로 끌어올리는 기회가 되기를 바란다.

[글 _ 조희준 IT거버넌스/컨설팅/감리법인 ㈜씨에이에스 컨설팅 이사(josephc@chol.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)