[정보보안기사] 39. 정보보호 거버넌스와 관리 체계 수립

1. 정보보호 거버넌스

1) 등장 배경

정보기술이 기업의 핵심 운영요소로 자리잡히면서 정보기술의 가시성에 대한 이사회 및 경영진의 요구가 증대되고 있다.

회사의 이사회 및 경영진 측에서 회사의 위험이 적절한 수준으로 관리되고 있음을 감독할 수 있는 매커니즘을 제공해야한다.

 

2) 정보보호 거버넌스 프레임워크

비즈니스와의 전략적 연계, 관련법과 규정의 준수, 의사결정 권한과 책임의 할당을 위한 프로세스 및 실행체계이다.

 

책임성(Accountability): 정보보호 활동의 성과에 누가 책임을 지는가? 

비즈니스 연계성(Business Alignment): 정보보호 활동이 기업 비즈니스 목표 달성에 기여하는가?

준거성(Compliance): 정보보호 활동이 원칙과 기준에 따라 수행되는가?

 

3) IT 거버넌스와 정보보호 거버넌스

IT 거버넌스란 IT와 IT프로세스의 위험과 수익 사이에 균형을 맞추어 가치를 창출하면서 기업의 목적을 달성하기 위한 기업통제의 관계구조 및 프로세스이다.

정보보호 거버넌스는 IT 거버넌스와 연계되어있어 이사회의 역할은 정보보호 거버넌스의 최종적인 책임을 지는 것이다.

 

4) 정보보호 거버넌스 구현 요건

전락적 연계: 비즈니스, IT 목표 및 정보 보안 전략이 서로 연계되어있어야 한다.

위험 관리: 위험 관리 체계 수립 및 관리를 통해 수용가능한 수준으로 위험을 낮춰야 한다.

자원 관리: 중요 정보 자산과 인프라를 포함하는 전사적 정보 보안 아키텍처를 확보해야 한다.

성과 관리: 정보보호 거버넌스의 운영 척도로써 모니터링, 보고에 따른 성과 평과 체계를 운영한다.

가치 전달:  기업의 구성원에게 정보보안의 중요성과 가치를 전달해야 한다.

 

2. IT 보안 관리

1) 기능 및 프로세스

적절한 수준의 CIA, 책임추적성, 인증 및 신뢰성을 얻고 유지하기 위해 사용되는 프로세스를 말한다.

 

ISO 27000: 개관 및 용어

ISO 27001: ISMS 요구사항

ISO 27002: 정보보안관리를 위한 실행 규약

ISO 27003: ISMS 구현 지침 

ISO 27004: 정보보안관리 지표 및 지표 프레임워크를 위한 지침

ISO 27005: 정보보안 위험관리 지침

 

보안관리 프로세스(PCDA)

IT 보안 위험 프로세스는 조직의 모든 자산 및 비즈니스 프로세스에 대한 보다 더 폭넓은 위험 평가로 통합되어야한다.

이프로세스의 반복되는 성질은 ISO27001의 핵심으로 구체적으로 ISO27005에 있는 보안 위험 관리 프로세스에 적용된다.

 

계획(plan): 보안 정책, 목적 프로세스 및 절차 수립

실행(do): 위험 처리 계획의 이행

점검(check): 위험 처리 계획을 모니터링하고 유지보수

처리(act): 사건, 검토 또는 인지된 변화에 대응하여 정보 보안 위험 관리를 유지보수하고 개선

 

 

 

2) ISO 27001

어떤 조직이 ISO 27001인증을 했다고 하면 ISO 27001에서 제시한 프레임워크에 따라 회사의 위험을 관리하고, 이를 개선해나가는 체계를 갖추었다는 의미이다.

 

ISO 27001:2013

조직의 상황, 리더쉽, 기획, 지원, 운영, 성과평가, 개선의 7개의 효율적인 PDCA 관리 과정으로 구성되어있다.

 

P: 조직의 상황, 리더쉽, 기획

D: 지원, 운영

C: 성과평가

A: 개선

 

3. 정보보호 정책, 절차, 표준, 지침, 기준선

1) 정보보호 정책

정보자산을 어떻게 관리하고 보호할 것인가에 대하여 문서로 기술해 놓은 것이다.

정책은 기술 및 솔루션과는 독립적으로 구성하고 달성하기 위한 특정 방법을 조직에 고정해서는 안된다.

보안정책은 조직 안에서 보안이 어떤 종류의 역할을 수행하는지 규정하기 위해 최고경영진에 의해 마련된 일반적인 선언이다.

조직과 조직체의 수행 임무와 관련이 있으며 이는 임무수행에 대한 전반적인 위협에 기반을 둔다.

보안요구사항은 조직의 정보 및 기타 정보시스템에 대하여 조직이 요구하는 총괄적인 자산 보호를 의미한다.

 

2) 정보보호 정책의 역할

임직원에게 책임 및 책임 추적성을 제공하고 기업의 비밀 및 지적 재산권을 보호하며 컴퓨팅 자원 낭비를 방지하게 한다.

임직원의 가치판단 기준 및 경영진의 목표를 직원들이 공유할 수 있다.

 

3) 정보보호 정책의 수정

보안 정책은 보안 정책 변경 규정에 의해 수행되어야한다.

새로운 시스템 추가, 기능을 수행하지 못할때, 보안 사고 등으로 문제점이 발생할 수 있기 때문에 보안정책을 수정한다.

 

4) 정보보호 정책을 구현하기 위한 요건

정보보호 관리자가 개발한다.

정책은 포괄적, 일반적, 개괄적으로 기술되어야한다.

문서화 되어야하고 임직원에 대해 교육을 충분히 행한 상태여야 법적 보호를 받는다.

 

5) 정보보호 정책 구현 요소

표준(강제): 요구사항을 정의한 것이고 의무적인 활동 행위 또는 규칙이고 표준은 정책을 지원하고 방향을 강화한다.

    ↓

기준선: 일관되게 참조할 포인트 이며 필요한 최소 보호 수준을 정의하기 위해 사용된다.

    ↓

지침(유연): 표준이 정해지지 않은 사람들에 대한 권장행동과 운영적 안내사항이며 유연성을 제공한다.

    ↓

 절차: 특정 목표를 성취하기 위한 단계적 작업을 자세하게 설명한다.

 

6) IT 보안 계획

무엇이 이루어질지, 어떤 자원이필요한지, 누가 책임을 질 것인지에 관하여 자세히 기술한 문서이다.

장기적(5년) 관점에서 수립되어야하며 최소 1년에 한 번씩 검토되어야한다.

 

4. 정보보호 조직의 역할과 책임

최고 경영자: 정보보호 총괄 책임

정보시스템 정보보호 관리자: 조직의 정보보호 정책, 표준, 대책 등

데이터 관리자: 저장된 데이터의 정확성과 무결성 유지

프로세스 관리자: 조직의 정보보호 정책에 따라 적절한 보안을 보증할 책임

기술지원 인력: 보안대책의 구현에 대하여 조언할 책임

정보시스템 감시자: 정보보호 정책, 표준, 대책, 실무 및 절차가 보안 목적에 따라 적절하게 이루어지고 있음을 독립적인 입장에서 관리자에게 보증할 책임

 

정보보호 내부 감사를 수행하는 구성원은 제3자가 감사를 수행해야한다.