Risk IT 프레임워크의 도메인②

리스크 거버넌스, 리스크 평가, 리스크 대응...유기적으로 상호작용

[보안뉴스=조희준 씨에이에스 이사] 최근에 주목 받고 있는 리스크에 대한 내용과 이를 통해 IT와 정보보호의 리스크를 심층 분석한 ‘리스크 IT 프레임워크’를 두루 살펴보기로 한다. 이 기고 칼럼을 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업이나 공공기관의 중요한 전략으로 끌어올리는 기회가 되기를 바란다.

연재순서-----------------------

1. Risk IT 프레임워크

2. 정보보호에서의 Risk

3. Risk IT 프레임워크의 도메인①

4. Risk IT 프레임워크의 도메인②

5. Risk IT 프레임워크의 도메인③

6. Risk IT 프레임워크와 정보보호의 연계

-----------------------------------

Risk IT 프레임워크의 3대 도메인

IT와 정보보호에 대한 리스크를 설명하고자 Risk IT 프레임워크를 주제로 잡았다. 또한 모든 프레임워크가 마찬가지이지만, 프레임워크는 주제 혹은 도메인(domain)을 가지고 있다. 리스크 IT 프레임워크는 3개의 상위 도메인이 있음을 지난번 연재에서 소개한 바가 있다. 이 상위 도메인들은 서로 분리된 것이 아니라 유기적으로 상호작용하는 특성을 가지고 있다.

1번째 도메인 - 리스크 거버넌스 (Risk Governance)

2번째 도메인 - 리스크 평가 (Risk Evaluation)

3번째 도메인 - 리스크 대응 (Risk Response)

이 3가지 도메인은 조직의 전략과 목적 달성을 위해 수용 가능한 수준의 리스크를 식별하고 리스크 관리를 전사적 차원으로 인식하고 출발하여야 한다(리스크 거버넌스). 그리고 이러한 리스크의 중요도와 우선순위를 위해서는 적절한 평가가 이루어져야 하므로 기초자료와 정보 등이 수집되어야 한다(리스크 평가).

이렇게 함으로써 불확실한 리스크에 대한 대응책들이 마련되고 준비되고 이행화 되는 것이다(리스크 대응). 서로의 연결고리를 가지고 상호 영향을 끼치고 있음을 알 수 있다.

△ 리스크 IT 프레임워크 3대 도메인의 관계

리스크 평가 (Risk Evaluation) 도메인과 정보보호

리스크 IT 프레임워크의 두 번째 도메인은 리스크 평가이다. 평가의 개념은 ‘사물의 가치나 수준 따위를 평하는 것’이다. 식별된 리스크가 긍정적인 요소인지 부정적인 요소인지(positive or negative), 식별된 리스크가 얼마나 확률적으로 발생확률이 높은지 낮은지(probability), 그리고 발생하였을 때의 그 긍정적/부정적 영향은 어찌 되는지(impact) 등이 리스크 평가의 범주에 해당하는 내용이다.

리스크 평가 도메인에는 하위 분류를 3가지로 하였고, 그에 대한 설명과 정보보호 관점은 다음과 같다.

분류	설명	정보보호 관점
RE1: 데이터 수집	IT와 관련된 리스크의 식별, 분석 및 보고를 효과적으로 가능하게 하는 관련 데이터를 정의한다.	조직의 목적달성을 위해서 보호되어야 하는 정보자산을 식별하고, 정보자산을 분류하고 이에 대한 위험평가를 하기 위한 관련 데이터를 정의하고 수집하여야 한다.
RE2: 리스크 분석	사업 관련 리스크 요인을 고려한 리스크 결정을 판단할 수 있는 유의미한 정보를 밝혀낸다.	정보자산에 대한 평가와 분석은 정보자산이 갖고 있는 위험에 따라서 정성적, 정량적으로 평가되어야 한다.
RE3: 리스크 프로파일 유지	알려진 리스크와 특성의 완전하며 최신 상태의 목록(예, 예상 빈도, 잠재적인 영향, 성향), IT 자원, 기능의 전체 목록을 유지하고 비즈니스 제품, 서비스 및 프로세스 맥락의 이해로서 통제해야 한다.	정보자산 별로 리스크 프로파일을 확보하고 유지 관리함으로써 정보자산의 보호대책에 대한 보증수준(DOA: Degree of Assurance)이 적절한지를 확인하여야 한다.

△ 리스크 평가의 분류

리스크 평가의 핵심활동들

리스크 평가 도메인도 역시 리스크 거버넌스 도메인과 마찬가지로 구체적으로 가사화하기 위한 프로세스가 존재한다. 리스크 평가에는 각 요소별로 RE1에서 4개, RE2에서 4개, RE3에서 6개의 프로세스로 상세화 하였다. 각 설명은 아래 도표에 그림과 함께 기술하여 놓았다.

△ 리스크 평가의 프로세스

[참고자료 및 출처]

www.isaca.org

www.isaca.or.kr

www.isc2.org

www.cisspkorea.or.kr

Information Security Governance, ITGI, 2008

CISM Review Manual, ISACA, 2009

The IT Governance Implementation Guide-Using COBIT® and Val IT 2nd Edition, ISACA, 2007

Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008

CISM 한글 Review Manual, ISACA, 2011

ISACA 지식용어집, ISACA 지식 FAQ, 한국정보시스템감사통제협회, 2009

IT 거버넌스 프레임워크 코빗 COBIT4.1을 중심으로, 인포더북스, 2010

정보보호 전문가의 CISSP 노트, 인포더북스, 2011

리스크 IT 프레임워크, 한국정보시스템감사통제협회, 2012

필자는 -----------------------------------------

조 희 준 josephc@chol.com

CIA, CRMA, CGEIT, CISA, COBIT, CISM, CRISC, CCFP, CISSP, CSSLP, ISO 27001(P.A), ITIL intermediate, IT-PMP, PMP, ISO 20000(P.A)

G-ISMS 심사원, BS10012(P.A), BS25999(P.A), CPPG

PMS(P.A), (ISC)2 CISSP 공인강사, 정보시스템감리원,

행정안전부 개인정보보호 전문강사

행정안전부/한국정보화진흥원 사이버범죄예방교화 전문강사

IT거버넌스/컨설팅/감리법인 ㈜씨에이에스 컨설팅 이사, 강원대학교 겸임교수, 세종사이버대학교 외래교수, 한양대학교 대학원 외래강사, (ISC)2 CISSP Korea 한국지부, (사)한국정보시스템감사통제협회, 한국포렌식조사전문가협회에서 활동하고 있다. IT감사, 내부감사, IT거버넌스와 정보보호 거버넌스가 주 관심분야이다, 이와 관련해서 컨설팅, 기고, 강의, 강연활동을 활발하게 펼치고 있다. 2010년 두 번째 단행본인 ‘IT거버넌스 프레임워크 코빗, COBIT’ 출간 후, 2011년에 ‘정보보호 전문가의 CISSP 노트’를 발간했고, 2012년 ‘리스크 IT 프레임워크’를 번역 출간했으며, 현재 고려대학교 일반대학원 박사과정에서 공부 중이다.

-----------------------------------------------------------

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)