[º¸¾È´º½º=Á¶ÈñÁØ ¾¾¿¡ÀÌ¿¡½º ÀÌ»ç] ÃÖ±Ù¿¡ ÁÖ¸ñ ¹Þ°í ÀÖ´Â ¸®½ºÅ©¿¡ ´ëÇÑ ³»¿ë°ú À̸¦ ÅëÇØ IT¿Í Á¤º¸º¸È£ÀÇ ¸®½ºÅ©¸¦ ½ÉÃþ ºÐ¼®ÇÑ ¡®¸®½ºÅ© IT ÇÁ·¹ÀÓ¿öÅ©¡¯¸¦ µÎ·ç »ìÆ캸±â·Î ÇÑ´Ù. ÀÌ ±â°í Ä®·³À» ÅëÇؼ Á¤º¸º¸È£¸¦ µµ±¸³ª ±â¼ú·Î¸¸ º¸´Â Â÷¿ø¿¡¼ ±â¾÷À̳ª °ø°ø±â°üÀÇ Áß¿äÇÑ Àü·«À¸·Î ²ø¾î¿Ã¸®´Â ±âȸ°¡ µÇ±â¸¦ ¹Ù¶õ´Ù.
¿¬Àç¼ø¼-----------------------
1. Risk IT ÇÁ·¹ÀÓ¿öÅ©
2. Á¤º¸º¸È£¿¡¼ÀÇ Risk
3. Risk IT ÇÁ·¹ÀÓ¿öÅ©ÀÇ µµ¸ÞÀΨç
4. Risk IT ÇÁ·¹ÀÓ¿öÅ©ÀÇ µµ¸ÞÀΨè
5. Risk IT ÇÁ·¹ÀÓ¿öÅ©ÀÇ µµ¸ÞÀΨé
6. Risk IT ÇÁ·¹ÀÓ¿öÅ©¿Í Á¤º¸º¸È£ÀÇ ¿¬°è
-----------------------------------
Risk IT ÇÁ·¹ÀÓ¿öÅ©ÀÇ 3´ë µµ¸ÞÀÎ
IT¿Í Á¤º¸º¸È£¿¡ ´ëÇÑ ¸®½ºÅ©¸¦ ¼³¸íÇÏ°íÀÚ Risk IT ÇÁ·¹ÀÓ¿öÅ©¸¦ ÁÖÁ¦·Î Àâ¾Ò´Ù. ¶ÇÇÑ ¸ðµç ÇÁ·¹ÀÓ¿öÅ©°¡ ¸¶Âù°¡ÁöÀÌÁö¸¸, ÇÁ·¹ÀÓ¿öÅ©´Â ÁÖÁ¦ ȤÀº µµ¸ÞÀÎ(domain)À» °¡Áö°í ÀÖ´Ù. ¸®½ºÅ© IT ÇÁ·¹ÀÓ¿öÅ©´Â 3°³ÀÇ »óÀ§ µµ¸ÞÀÎÀÌ ÀÖÀ½À» Áö³¹ø ¿¬Àç¿¡¼ ¼Ò°³ÇÑ ¹Ù°¡ ÀÖ´Ù. ÀÌ »óÀ§ µµ¸ÞÀεéÀº ¼·Î ºÐ¸®µÈ °ÍÀÌ ¾Æ´Ï¶ó À¯±âÀûÀ¸·Î »óÈ£ÀÛ¿ëÇϴ Ư¼ºÀ» °¡Áö°í ÀÖ´Ù.
1¹ø° µµ¸ÞÀÎ - ¸®½ºÅ© °Å¹ö³Í½º (Risk Governance)
2¹ø° µµ¸ÞÀÎ - ¸®½ºÅ© Æò°¡ (Risk Evaluation)
3¹ø° µµ¸ÞÀÎ - ¸®½ºÅ© ´ëÀÀ (Risk Response)
ÀÌ 3°¡Áö µµ¸ÞÀÎÀº Á¶Á÷ÀÇ Àü·«°ú ¸ñÀû ´Þ¼ºÀ» À§ÇØ ¼ö¿ë °¡´ÉÇÑ ¼öÁØÀÇ ¸®½ºÅ©¸¦ ½Äº°ÇÏ°í ¸®½ºÅ© °ü¸®¸¦ Àü»çÀû Â÷¿øÀ¸·Î ÀνÄÇÏ°í Ãâ¹ßÇÏ¿©¾ß ÇÑ´Ù(¸®½ºÅ© °Å¹ö³Í½º). ±×¸®°í ÀÌ·¯ÇÑ ¸®½ºÅ©ÀÇ Áß¿äµµ¿Í ¿ì¼±¼øÀ§¸¦ À§Çؼ´Â ÀûÀýÇÑ Æò°¡°¡ ÀÌ·ç¾îÁ®¾ß ÇϹǷΠ±âÃÊÀÚ·á¿Í Á¤º¸ µîÀÌ ¼öÁýµÇ¾î¾ß ÇÑ´Ù(¸®½ºÅ© Æò°¡).
ÀÌ·¸°Ô ÇÔÀ¸·Î½á ºÒÈ®½ÇÇÑ ¸®½ºÅ©¿¡ ´ëÇÑ ´ëÀÀÃ¥µéÀÌ ¸¶·ÃµÇ°í ÁغñµÇ°í ÀÌÇàÈ µÇ´Â °ÍÀÌ´Ù(¸®½ºÅ© ´ëÀÀ). ¼·ÎÀÇ ¿¬°á°í¸®¸¦ °¡Áö°í »óÈ£ ¿µÇâÀ» ³¢Ä¡°í ÀÖÀ½À» ¾Ë ¼ö ÀÖ´Ù.
¡â ¸®½ºÅ© IT ÇÁ·¹ÀÓ¿öÅ© 3´ë µµ¸ÞÀÎÀÇ °ü°è |
¸®½ºÅ© Æò°¡ (Risk Evaluation) µµ¸ÞÀΰú Á¤º¸º¸È£
¸®½ºÅ© IT ÇÁ·¹ÀÓ¿öÅ©ÀÇ µÎ ¹ø° µµ¸ÞÀÎÀº ¸®½ºÅ© Æò°¡ÀÌ´Ù. Æò°¡ÀÇ °³³äÀº ¡®»ç¹°ÀÇ °¡Ä¡³ª ¼öÁØ µûÀ§¸¦ ÆòÇÏ´Â °Í¡¯ÀÌ´Ù. ½Äº°µÈ ¸®½ºÅ©°¡ ±àÁ¤ÀûÀÎ ¿ä¼ÒÀÎÁö ºÎÁ¤ÀûÀÎ ¿ä¼ÒÀÎÁö(positive or negative), ½Äº°µÈ ¸®½ºÅ©°¡ ¾ó¸¶³ª È®·üÀûÀ¸·Î ¹ß»ýÈ®·üÀÌ ³ôÀºÁö ³·ÀºÁö(probability), ±×¸®°í ¹ß»ýÇÏ¿´À» ¶§ÀÇ ±× ±àÁ¤Àû/ºÎÁ¤Àû ¿µÇâÀº ¾îÂî µÇ´ÂÁö(impact) µîÀÌ ¸®½ºÅ© Æò°¡ÀÇ ¹üÁÖ¿¡ ÇØ´çÇÏ´Â ³»¿ëÀÌ´Ù.
¸®½ºÅ© Æò°¡ µµ¸ÞÀο¡´Â ÇÏÀ§ ºÐ·ù¸¦ 3°¡Áö·Î ÇÏ¿´°í, ±×¿¡ ´ëÇÑ ¼³¸í°ú Á¤º¸º¸È£ °üÁ¡Àº ´ÙÀ½°ú °°´Ù.
ºÐ·ù |
¼³¸í |
Á¤º¸º¸È£ °üÁ¡ |
RE1: µ¥ÀÌÅÍ ¼öÁý |
IT¿Í °ü·ÃµÈ ¸®½ºÅ©ÀÇ ½Äº°, ºÐ¼® ¹× º¸°í¸¦ È¿°úÀûÀ¸·Î °¡´ÉÇÏ°Ô ÇÏ´Â °ü·Ã µ¥ÀÌÅ͸¦ Á¤ÀÇÇÑ´Ù. |
Á¶Á÷ÀÇ ¸ñÀû´Þ¼ºÀ» À§Çؼ º¸È£µÇ¾î¾ß ÇÏ´Â Á¤º¸ÀÚ»êÀ» ½Äº°ÇÏ°í, Á¤º¸ÀÚ»êÀ» ºÐ·ùÇÏ°í ÀÌ¿¡ ´ëÇÑ À§ÇèÆò°¡¸¦ Çϱâ À§ÇÑ °ü·Ã µ¥ÀÌÅ͸¦ Á¤ÀÇÇÏ°í ¼öÁýÇÏ¿©¾ß ÇÑ´Ù. |
RE2: ¸®½ºÅ© ºÐ¼® |
»ç¾÷ °ü·Ã ¸®½ºÅ© ¿äÀÎÀ» °í·ÁÇÑ ¸®½ºÅ© °áÁ¤À» ÆÇ´ÜÇÒ ¼ö ÀÖ´Â À¯ÀǹÌÇÑ Á¤º¸¸¦ ¹àÇô³½´Ù. |
Á¤º¸Àڻ꿡 ´ëÇÑ Æò°¡¿Í ºÐ¼®Àº Á¤º¸ÀÚ»êÀÌ °®°í ÀÖ´Â À§Çè¿¡ µû¶ó¼ Á¤¼ºÀû, Á¤·®ÀûÀ¸·Î Æò°¡µÇ¾î¾ß ÇÑ´Ù. |
RE3: ¸®½ºÅ© ÇÁ·ÎÆÄÀÏ À¯Áö |
¾Ë·ÁÁø ¸®½ºÅ©¿Í Ư¼ºÀÇ ¿ÏÀüÇϸç ÃֽŠ»óÅÂÀÇ ¸ñ·Ï(¿¹, ¿¹»ó ºóµµ, ÀáÀçÀûÀÎ ¿µÇâ, ¼ºÇâ), IT ÀÚ¿ø, ±â´ÉÀÇ Àüü ¸ñ·ÏÀ» À¯ÁöÇÏ°í ºñÁî´Ï½º Á¦Ç°, ¼ºñ½º ¹× ÇÁ·Î¼¼½º ¸Æ¶ôÀÇ ÀÌÇطμ ÅëÁ¦ÇØ¾ß ÇÑ´Ù. |
Á¤º¸ÀÚ»ê º°·Î ¸®½ºÅ© ÇÁ·ÎÆÄÀÏÀ» È®º¸ÇÏ°í À¯Áö °ü¸®ÇÔÀ¸·Î½á Á¤º¸ÀÚ»êÀÇ º¸È£´ëÃ¥¿¡ ´ëÇÑ º¸Áõ¼öÁØ(DOA: Degree of Assurance)ÀÌ ÀûÀýÇÑÁö¸¦ È®ÀÎÇÏ¿©¾ß ÇÑ´Ù. |
¡â ¸®½ºÅ© Æò°¡ÀÇ ºÐ·ù
¸®½ºÅ© Æò°¡ÀÇ ÇÙ½ÉÈ°µ¿µé
¸®½ºÅ© Æò°¡ µµ¸ÞÀεµ ¿ª½Ã ¸®½ºÅ© °Å¹ö³Í½º µµ¸ÞÀΰú ¸¶Âù°¡Áö·Î ±¸Ã¼ÀûÀ¸·Î °¡»çÈÇϱâ À§ÇÑ ÇÁ·Î¼¼½º°¡ Á¸ÀçÇÑ´Ù. ¸®½ºÅ© Æò°¡¿¡´Â °¢ ¿ä¼Òº°·Î RE1¿¡¼ 4°³, RE2¿¡¼ 4°³, RE3¿¡¼ 6°³ÀÇ ÇÁ·Î¼¼½º·Î »ó¼¼È ÇÏ¿´´Ù. °¢ ¼³¸íÀº ¾Æ·¡ µµÇ¥¿¡ ±×¸²°ú ÇÔ²² ±â¼úÇÏ¿© ³õ¾Ò´Ù.
¡â ¸®½ºÅ© Æò°¡ÀÇ ÇÁ·Î¼¼½º
[Âü°íÀÚ·á ¹× Ãâó]
www.isaca.org
www.isaca.or.kr
www.isc2.org
www.cisspkorea.or.kr
Information Security Governance, ITGI, 2008
CISM Review Manual, ISACA, 2009
The IT Governance Implementation Guide-Using COBIT¢ç and Val IT 2nd Edition, ISACA, 2007
Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008
CISM ÇÑ±Û Review Manual, ISACA, 2011
ISACA Áö½Ä¿ë¾îÁý, ISACA Áö½Ä FAQ, Çѱ¹Á¤º¸½Ã½ºÅÛ°¨»çÅëÁ¦Çùȸ, 2009
IT °Å¹ö³Í½º ÇÁ·¹ÀÓ¿öÅ© ÄÚºø COBIT4.1À» Áß½ÉÀ¸·Î, ÀÎÆ÷´õºÏ½º, 2010
Á¤º¸º¸È£ Àü¹®°¡ÀÇ CISSP ³ëÆ®, ÀÎÆ÷´õºÏ½º, 2011
¸®½ºÅ© IT ÇÁ·¹ÀÓ¿öÅ©, Çѱ¹Á¤º¸½Ã½ºÅÛ°¨»çÅëÁ¦Çùȸ, 2012
ÇÊÀÚ´Â -----------------------------------------
Á¶ Èñ ÁØ josephc@chol.com
CIA, CRMA, CGEIT, CISA, COBIT, CISM, CRISC, CCFP, CISSP, CSSLP, ISO 27001(P.A), ITIL intermediate, IT-PMP, PMP, ISO 20000(P.A)
G-ISMS ½É»ç¿ø, BS10012(P.A), BS25999(P.A), CPPG
PMS(P.A), (ISC)2 CISSP °øÀΰ»ç, Á¤º¸½Ã½ºÅÛ°¨¸®¿ø,
ÇàÁ¤¾ÈÀüºÎ °³ÀÎÁ¤º¸º¸È£ Àü¹®°»ç
ÇàÁ¤¾ÈÀüºÎ/Çѱ¹Á¤º¸ÈÁøÈï¿ø »çÀ̹ö¹üÁË¿¹¹æ±³È Àü¹®°»ç
IT°Å¹ö³Í½º/ÄÁ¼³ÆÃ/°¨¸®¹ýÀÎ ¢ß¾¾¿¡ÀÌ¿¡½º ÄÁ¼³Æà ÀÌ»ç, °¿ø´ëÇб³ °âÀÓ±³¼ö, ¼¼Á¾»çÀ̹ö´ëÇб³ ¿Ü·¡±³¼ö, ÇѾç´ëÇб³ ´ëÇпø ¿Ü·¡°»ç, (ISC)2 CISSP Korea Çѱ¹ÁöºÎ, (»ç)Çѱ¹Á¤º¸½Ã½ºÅÛ°¨»çÅëÁ¦Çùȸ, Çѱ¹Æ÷·»½ÄÁ¶»çÀü¹®°¡Çùȸ¿¡¼ È°µ¿ÇÏ°í ÀÖ´Ù. IT°¨»ç, ³»ºÎ°¨»ç, IT°Å¹ö³Í½º¿Í Á¤º¸º¸È£ °Å¹ö³Í½º°¡ ÁÖ °ü½ÉºÐ¾ßÀÌ´Ù, ÀÌ¿Í °ü·ÃÇؼ ÄÁ¼³ÆÃ, ±â°í, °ÀÇ, °¿¬È°µ¿À» È°¹ßÇÏ°Ô ÆîÄ¡°í ÀÖ´Ù. 2010³â µÎ ¹ø° ´ÜÇົÀÎ ¡®IT°Å¹ö³Í½º ÇÁ·¹ÀÓ¿öÅ© ÄÚºø, COBIT¡¯ Ãâ°£ ÈÄ, 2011³â¿¡ ¡®Á¤º¸º¸È£ Àü¹®°¡ÀÇ CISSP ³ëÆ®¡¯¸¦ ¹ß°£Çß°í, 2012³â ¡®¸®½ºÅ© IT ÇÁ·¹ÀÓ¿öÅ©¡¯¸¦ ¹ø¿ª Ãâ°£ÇßÀ¸¸ç, ÇöÀç °í·Á´ëÇб³ ÀϹݴëÇпø ¹Ú»ç°úÁ¤¿¡¼ °øºÎ ÁßÀÌ´Ù.
-----------------------------------------------------------
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>