1. 제목
정보보호 거버넌스 개념 도입을 위한 정보보호관리체계(ISMS) 발전방안 연구
2. 연구개발의 목적 및 중요성
○ 본 연구는 정보보호 거버넌스 개념을 정보보호관리체계에 적용하여 관리체계의 수립 및 운영을 전사적인 위험관리의 주요 도구로써 인식할 수 있는 기반을 조성하고 이를 토대로 정보보호관리체계 인증제도를 보다 효과적으로 운영할 수 있는 인증스킴, 프로세스, 기준 등 적용 방안 수립을 주요 목표로 한다.
3. 연구개발의 내용 및 범위
◆ 정보보호관리체계의 개념 정리 및 개선사항 도출
◆ 정보보호관리체계와 정보보호 거버넌스의 연계
◆ 정보보호 거버넌스를 위한 핵심성공요인 및 핵심성과지표 도출
◆ 정보보호 거버넌스 구현을 위한 모범 실무지침(Best Practices) 개발
◆ 정보보호 거버넌스를 고려한 정보보호관리체계 인증
◆ 정보보호 거버넌스 심사기준 및 점검항목 개발
4. 연구결과
제2장 정보보호관리체계와 정보보호 거버넌스
○ 정보보호관리체계는 정보자산의 무결성, 비밀성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립, 문서화하고 지속적으로 관리, 운영하는 체계로 정의하고 있으며, 조직의 적절한 정보보호를 위해 정보보호 관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 시스템을 의미한다.
○ 현재 정보보호관리체계는 본래의 목적인 정보보호 관리과정을 통한 지속적인 개선이 아닌 인증을 통한 대외 홍보 수단이나 내부통제 용도로 사용되고 있으며, 정보보호관리체계의 개선을 위해서는 정보 보호에 대한 최고 경영층의 인식 개선과 의지가 반영되어야 한다.
○ 정보보호 거버넌스는 정보보호 관리과정의 정보보호정책 수립, 범위 설정, 위험관리, 구현, 사후관리 활동에 대해 평가, 지시, 모니터링하는 소위 메타레벨의 활동이며, 정보보호 활동에 대한 이사회 및 최고 경영층의 역할 및 책임, 확고한 의지를 강조하고 있다. 현재 정보보호 거버넌스가 필요한 시점이며, 정보보호 거버넌스의 목표 및 실행원칙들을 달성하기 위한 모범 실무지침이 개발되어야 한다.
제3장 정보보호 거버넌스의 개념 및 표준화 동향
○ 정보보호 거버넌스는 기업 거버넌스의 일환으로써 비즈니스와의 전략적 연계, 관련 법과 규정의 준수, 의사결정 권한과 책임의 할당을 위한 프로세스 및 실행체계이다. 즉, 정보보호 거버넌스는 비즈니스에 존재하는 정보자산 위험을 관리함으로써 기업 거버넌스와의 연계와 정보보호 문화 형성을 도모하고, 이를 위해 기업의 모든 이해관계자를 고려하여 최고 경영층 및 이사회의 정보보호 프로그램에 대한 지시 및 통제 활동과 이를 위한 조직, 역할과 책임, 절차를 포함한다.
○ 정보보호 거버넌스 프레임워크는 3가지 목표(책임성, 비즈니스 연계성, 준거성), 정보보호 거버넌스의 목표로부터 도출된 10가지 원칙, 5가지 주요활동 분야(전략적 연계, 가치전달, 위험관리, 자원관리, 성과관리), 구현 모델(프로세스, 조직화, 정보보호 아키텍처, 정보보호 투자관리)로 구성된다.
○ 정보보호 거버넌스 표준화와 관련하여 2009년 제38차 SC 27회의에 ISO/IEC 1st WD 27014 Information Security Governance Framework가 제출되었으며, IT 거버넌스의 표준화 동향과 비교해 볼 때, 정보보호 거버넌스 구현을 위한 지침을 개발할 필요가 있다.
제4장 정보보호 거버넌스 구현을 위한 모범 실무지침 개발
○ 정보보호 거버넌스의 목표가 달성되기 위해서는 목표에서부터 도출된 10가지 원칙이 지켜져야 하며, 정보보호 거버넌스의 5가지 주요 관심 분야에 원칙을 투영하여 핵심성공요인을 도출해야 한다. 또한 도출된 핵심성공요인을 세부적인 활동으로 작성하고, 이를 평가하기 위한 성과지표를 작성해야 한다. 따라서 정보보호 거버넌스의 모범 실무지침은 주어진 활동 목표를 어떻게 달성해야 하는가에 초점을 맞추어 작성되어야 한다.
○ 정보보호 거버넌스를 위한 9가지 핵심성공요인은 다음과 같다.
ㆍ경영진은 비즈니스 전략 수립 및 의사결정 시 정보보호를 반영할 책임이 있음
ㆍ정보보호 관련 의사결정의 유형에 따라 적절한 경영진 및 이해관계자의 참여와 의사결정 권한이 명확히 정의되어야 함
ㆍ경영진은 정보보호 활동을 위해 필요한 자원의 할당을 평가하고 효과적으로 지원할 수 있도록 역할 및 책임을 수행하여야 함
ㆍ경영진은 정보보호의 가치를 명확히 인식하고, 이를 일상적인 업무활동에 반영해야 함
ㆍ위험관리 활동의 실행 시 정보자산을 포함하는 비즈니스 단위로 위험을 고려하도록 지시함
ㆍ조직의 자본계획 및 투자 통제 프로세스에 정보보호를 반영해야 함
ㆍ정보보호 거버넌스 요구사항을 반영할 수 있도록 기존의 규정체계를 재구성해야 함
ㆍ내외부 규제사항을 만족할 수 있도록 충분한 투자가 수반되어야 함
ㆍ정보보호정책 및 외부 규제사항에 대한 준수 여부를 주기적으로 평가하여 경영의 성과관리 체계에 반영함
○ 정보보호 거버넌스를 위한 9개 핵심성공요인과 42개 일반 성과지표를 비교했을 때, 5개 이상의 핵심성공요인과 연관관계가 나타날 경우 핵심성과지표로서 결정하였으며, 아래와 같은 총 14개의 핵심성과지표가 선정되었다.
ㆍ정보보호정책 승인 및 심의 시 정보보호의 영역 별 의사결정 유형에 따라 경영진 및 주요 이해관계자가 참여하는 비율
ㆍ경영 계획상에 정보보호 예산 배정 비율
ㆍ경영진이나 이사회에서의 정보보호 예산신청 대비 승인 비율
ㆍ외부 규제사항에 대해 정보보호 관련 주요 이해관계자 및 경영진이 공동으로 대응 방안을 수립하고 협의한 의사결정 회의 건수
ㆍ정보보호관리체계 범위에 비즈니스 단위포함 비율
ㆍ신규 비즈니스나 규제사항으로 인해 발생하는 적용 범위 변경 건수
ㆍ현업의 사업계획에서 위험관리 활동과 연계한 비즈니스 활동의 비율
ㆍ위험관리 전략 및 계획 수립에 대한 주요 이해관계자 및 경영진의 참여 건수
ㆍ위험수준과 위험수준의 변화 추이에 대한 현업과 정보보호 관련 이해관계자의 합의와 협업을 위한 주기적인 회의 건수
ㆍ위험보증수준(DoA) 및 잔여위험에 대해 정보보호 관련 주요 이해관계자와 합의한 경영진의 비율
ㆍ대응책 수립 및 적용을 위한 전략적 우선순위 결정 과정에서 주요 이해관계자 및 경영진의 참여도
ㆍ정보보호계획 상 목표대비 통제구현 달성율
ㆍ정보보호관리체계 지속적 개선을 위한 정보보호활동 개선 건수와 주요 이해관계자 및 경영진의 만족도
ㆍ정보보호관리체계 수립 이후 보안사고로 인한 업무 중단 시간의 축소 비율
○ 정보보호 거버넌스의 모범 실무지침은 개별 핵심성과지표가 측정 가능한 상태로 운영되기 위한 요건을 정의하고, 해당 요건을 거버넌스 프로세스에 따라 평가, 지시, 모니터링하기 위한 이상적인 모습을 표현한 것으로, 8개의 모범 실무지침을 개발하였다. (정보보호정책 수립: 2, 정보보호관리체계 범위설정: 2, 위험관리: 2, 구현: 1, 사후관리: 1)
제5장 정보보호 거버넌스를 고려한 정보보호관리체계 인증
○ 정보보호관리체계 인증이 보다 완전하게 진화하기 위해서는 경영진의 책임과 경영측면의 성공요인을 평가할 수 있는 정보보호 거버넌스 레이어가 필요하며, 정보보호관리체계 수립을 위한 경영진의 책임과 경영 측면의 성공 요인에 대한 평가 영역과 항목은 핵심성과지표와 모범 실무지침에 기반하여 구성되고, 이를 위한 8개의 인증심사 기준 및 18개의 점검항목을 도출하였다.
○ 정보보호정책 수립에 대한 거버넌스 평가항목
ㆍ정보보호정책 수립 과정에서 주요 경영진 및 이해관계자의 참여
- 정보보호정책이 현업 담당 임원 및 부서장과의 합의를 통해 수립되었는가?
- 현업 담당 임원 및 부서장의 정보보호정책에 대한 검토 의견이 정보보호정책에 실질적으로 반영되었는가?
- 현업 담당 임원의 정보보호정책에 대한 인지도를 지속적으로 확인하고 있는가?
ㆍ경영 계획과 정보보호정책의 연계
- 정보보호 활동이 현업의 업무에 미치는 긍정적인 영향을 평가하였는가?
- 현업의 업무와 정보보호 활동의 연관관계를 지속적으로 모니터링하고 있는가?
○ 정보보호관리체계 범위 정의에 대한 거버넌스 평가항목
ㆍ업무 상 정보보호 관련 규제사항에 대한 대응
- 현업 부서와 정보보호 담당 부서는 현업의 업무 상 정보보호 관련 규제사항을 공유하고 공통의 대응방안을 수립하고 있는가?
- 정보보호 관련 규제사항을 주기적으로 식별 및 확인하고 있는가?
ㆍ신규 비즈니스의 정보보호관리체계 범위 포함에 대한 의사결정
- 신규 비즈니스 개발 과정에서 정보보호 이슈를 확인 및 분석하고 있는가?
- 정형화된 프로세스에 의해 신규 비즈니스에 대한 보안성 검토를 실시하는가?
○ 위험관리에 대한 거버넌스 평가항목
ㆍ비즈니스 프로세스를 고려한 위험관리 실행 및 결과 산출
- 위험분석 단계부터 비즈니스 프로세스를 고려하는 방법론이 적용되고 있는가?
- 정보보호 담당 부서와 현업이 업무 상 존재하는 위험관리 방법에 대해 공통의 대응방안을 수립하고 있는가?
ㆍ현업의 참여에 기반한 위험 대응책의 수립 및 선정
- 위험관리 전략 수립 시 현업의 의견을 적용하고 있는가?
- 위험에 대한 대응책 수립 시 현업에 미치는 영향을 고려하고 있는가?
○ 구현에 대한 거버넌스 평가항목
- 정보보호계획의 구현 정도를 측정할 수 있는 지표가 개발되어 있는가?
- 개발된 지표에 따라 정보보호계획의 구현을 통제하고 있는가?
○ 사후관리에 대한 거버넌스 평가항목
- 비즈니스에 부정적인 영향을 미친 보안 사고의 경과를 문서화 하도록 지시하고 있는가?
- 정보보호대책의 비즈니스 기여도 측정 방법이 개발되었는가?
- 정보보호 활동 전후의 비즈니스 성과를 비교하고 정보보호의 기여도에 대해 의사소통 하고 있는가?