Risk IT 프레임워크의 도메인③

리스크의 중요도와 우선순위 파악해 적절한 대응 이뤄져야

[보안뉴스=조희준 씨에이에스 이사] 최근에 주목 받고 있는 리스크의 중요성과 이를 통해 IT와 정보보호의 리스크를 심층 분석한 ‘리스크 IT 프레임워크’를 두루 살펴보기로 한다. 이번 기고를 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업이나 공공기관의 중요한 전략으로 끌어올리는 기회가 되기를 바란다.

연재순서-----------------------------

1. Risk IT 프레임워크

2. 정보보호에서의 Risk

3. Risk IT 프레임워크의 도메인①

4. Risk IT 프레임워크의 도메인②

5. Risk IT 프레임워크의 도메인③

6. Risk IT 프레임워크와 정보보호의 연계

--------------------------------

Risk IT 프레임워크의 3대 도메인

IT와 정보보호(Information Security)에 대한 리스크를 설명하고자 Risk IT 프레임워크를 주제로 연재를 계속하고 있다. 모든 프레임워크는 주제 혹은 도메인(domain)을 가지고 있다. 리스크 IT 프레임워크는 3개의 상위 도메인이 있음을 지난번 기고에서 소개한 바 있다.

1번째 도메인 - 리스크 거버넌스(Risk Governance)

2번째 도메인 - 리스크 평가(Risk Evaluation)

3번째 도메인 - 리스크 대응(Risk Response)

이 3가지 도메인은 조직의 전략과 목적 달성을 위해 수용 가능한 수준의 리스크를 식별하고 리스크 관리를 전사적 차원으로 인식하고 출발하여야 한다(리스크 거버넌스).

그리고 이러한 리스크의 중요도와 우선순위를 위해서는 적절한 평가가 이루어져야 하므로 기초 자료와 정보 등이 수집되어야 한다(리스크 평가). 이렇게 함으로써 불확실한 리스크에 대한 대응책들이 마련되고 준비되고 이행화되는 것이다(리스크 대응). 서로 연결고리를 가지고 상호 영향을 끼치고 있다.

리스크 대응 (Risk Response) 도메인과 정보보호

리스크 IT 프레임워크의 세 번째 도메인은 리스크 대응이다. 리스크 대응은 조직의 목적을 달성함에 있어서 식별된 리스크가 긍정적인 요소인지 부정적인 요소인지(positive or negative), 얼마나 확률적으로 발생확률이 높은지 낮은지(probability), 그리고 발생하였을 때의 그 긍정적 또는 부정적 영향은 어찌 되는지(impact) 등의 리스크 평가를 거쳐 그에 알맞은 대응을 하는 것이다.

리스크 대응 도메인에는 하위 분류를 3가지이고, 이에 대한 설명과 정보보호 관점은 다음과 같다.

분류	설명	정보보호 관점
RR1: 리스크 구체화	IT 관련 리스크들의 실제 상태에 대한 정보를 확인하고 기회를 시기 적절히, 그리고 적절한 대응을 하기 위해 올바른(right) 사람을 이용 가능하도록 한다.	정보자산에 대한 리스크 평가를 통해서 적절한 대응을 계획한다. 적절한 대응이란 조직의 정보자산을 통해서 조직의 기회를 살리고, 조직에 위험이 되는 위협을 낮추는 것이다.
RR2: 리스크 관리	전략적 기회를 붙잡고 리스크를 수용 가능한 수준으로 낮추기 위한 조치들을 하나의 포트폴리오로 관리한다.	정보자산에 대한 적절한 대응을 목록화하고 이를 구현하는 것으로서 계획과 구현, 그리고 진행상황 등을 관리하여야 한다. 적절한 대응은 분산적으로 시행하는 것이 아닌 일련의 조치들을 연계성 있게 모은 포트폴리오 관리이어야 한다.
RR3: 이벤트들에 대한 반응	당면한 기회를 붙잡거나 IT 관련된 이벤트들로부터 손실의 규모를 제한하는 것이 시기 적절히 이루어지고 효과적인 것을 보증한다.	정보보호 대책들이 정보보호 사고에 효과적인지를 모니터링하고 정보보호 사건들에 대한 대응을 통해 잘 된 것과 잘못된 것들의 교훈을 수집하여 향후 정보보호 사건들에 피드백 하여야 한다.

▲ 리스크 대응의 분류

리스크 대응의 핵심활동들

리스크 대응 도메인도 다른 도메인과 마찬가지로 구체적으로 가시화하기 위한 프로세스가 존재한다. 리스크 대응에는 각 요소별로 RR1에서 4개, RR2에서 5개, RR3에서 4개의 프로세스로 상세화했다. 각 설명은 아래 도표에 그림과 함께 기술하여 놓았다.

▲ 리스크 대응의 프로세스

[참고자료 및 출처]

www.isaca.org

www.isaca.or.kr

www.isc2.org

www.cisspkorea.or.kr

Information Security Governance, ITGI, 2008

CISM Review Manual, ISACA, 2009

The IT Governance Implementation Guide-Using COBIT® and Val IT 2nd Edition, ISACA, 2007

Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008

CISM 한글 Review Manual, ISACA, 2011

ISACA 지식용어집, ISACA 지식 FAQ, 한국정보시스템감사통제협회, 2009

IT 거버넌스 프레임워크 코빗 COBIT4.1을 중심으로, 인포더북스, 2010

정보보호 전문가의 CISSP 노트, 인포더북스, 2011

리스크 IT 프레임워크, 한국정보시스템감사통제협회, 2012

필자는 ----------------------------------------------------

조 희 준 josephc@chol.com

CIA, CRMA, CGEIT, CISA, COBIT, CISM, CRISC, CCFP, CISSP, CSSLP, ISO 27001(P.A), ITIL intermediate, IT-PMP, PMP, ISO 20000(P.A)

G-ISMS 심사원, BS10012(P.A), BS25999(P.A), CPPG

PMS(P.A), (ISC)2 CISSP 공인강사, 정보시스템감리원,
안전행정부 개인정보보호 전문강사

안전헹정부/한국정보화진흥원 사이버범죄예방교화 전문강사

IT거버넌스/컨설팅/감리법인 ㈜씨에이에스 컨설팅 이사, 강원대학교 겸임교수, 세종사이버대학교 외래교수, 한양대학교 대학원 외래강사, (ISC)2 CISSP Korea 한국지부, (사)한국정보시스템감사통제협회, 한국포렌식조사전문가협회에서 활동하고 있다. IT감사, 내부감사, IT거버넌스와 정보보호 거버넌스가 주 관심분야이다, 이와 관련해서 컨설팅, 기고, 강의, 강연활동을 활발하게 펼치고 있다. 2010년 두 번째 단행본인 ‘IT거버넌스 프레임워크 코빗, COBIT’ 출간 후, 2011년에 ‘정보보호 전문가의 CISSP 노트’를 발간했고, 2012년 ‘리스크 IT 프레임워크’를 번역 출간했으며, 현재 고려대학교 일반대학원 박사과정에서 공부 중이다.

-----------------------------------------------------------

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)