[정보보안 업무] #1 보안, 경영진 참여의 중요성

[정보보안 업무] #1 보안, 경영진 참여의 중요성

< Chapter 01. 보안경영진 참여의 중요성 >


안녕하세요보안맨 입니다.

이 글은 제가 금융회사정보보호 전문 업체 등에서 정보 보안 업무를 맡으면서 겪은 경험노하우 등을 공유해, IT보안 직무에 관심이 있으신 취업 준비생’ 또는 초보 현업 보안 담당자에게 조금이나마 도움이 되고자 작성하였습니다.

이번 글의 주제는 보안경영진 참여의 중요성입니다업종별 또는 회사 특성에 맞는 경영진의 참여를 이끌어 내는 방식도 다양한데요.

최고 경영자는 정보보호 및 개인 정보보호 관리체계의 수립과 운영 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영해야 합니다사실추상적이고 막연하기만 한 주제입니다
높은 경영진분들을 모시고 회의라뇨엄두도 나지 않죠.

사실 최고 경영자는 많은 권한을 CISO(정보보호 책임자)에게 위임합니다
그렇다고최고 경영자의 참여가 아예 없을 수 있는 건 아닌데요.

관련 경험, ISMS (Information Security Management System from KISA) 기준 등을 고려해 준비한 아래 항목을 살펴보시면 도움이 되실 것 같습니다.


  • 1.정보보호 책임 및 역할 명시 (규정)

Figure1. 정보보호 정책서 – 역할 및 책임


경영진에 대한 역할과 책임에 대해 회사 내부 규정서에 명확하게 명시되어 있어야 하죠
정보보호 정책서 내 경영진은 정보보호에 대한 의사결정 책임을 갖고 참여해야 한다고 말이죠
단순히 규정서 역할을 문서화하는 것뿐만 아니라실질적인 정보보호 활동에 경영진들이 참여하고그 중요성을 인식해야만 하죠참고로정보보호 정책 및 지침/절차서 관리/개정 방법은 다음 기고 글에서 다루도록 할게요.


  • 1.정보보호 연간 계획(또는 전략수립/보고

Figure2. 정보보호 연간 활동 계획서


각 회사 관련 법/관련 규정 (e.g. 개인정보보호법정보통신망법 등또는 정보보호 인증/심사(e.g. ISMS-P, PCI-DSS ), 또는 기타 내부적인 사유 (e.g. DRM 솔루션 도입)에 따른 관련 정보보호 활동에 대한 연간 계획을 연초에 수립하고 경영진에게 보고하는 것이 매우 바람직하죠이때어느 정도 주기로언제까지예산은 어느 정도 들지 세부적인 안을 보고하게 되면정보보호 활동에 대한 구체적인 근거가 마련되는 거죠

더 나아가 각 활동 별 세부 지표(KPI, Key Performance Index)가 마련되고각 정보보호 활동에 대해 진행 현황을 주기적으로 보고/개선할 수 있다면 더 좋을 것 같습니다.


  • 1.ISO27001, ISMS 등 대외 심사 시경영진의 참여

Figure3. ISO27001 사후심사 스케줄 표


많은 말단 직원분들이 그렇듯 경영진(임원급 이상과의 소통을 어려워하죠특히 경영진의 황금 같은 시간을 빌려 오픈 미팅 (e.g. ISO27001에 대해 진행하는 사유주요 점검 방향 논의 등참석을 요청드리는 게 보통 쉬운 일이 아니죠
저 또한 그랬으니까요심지어 심사원과 어느 정도 일정에 대해 협의가 된다면해당 일정에 대한 생략이 가능하기도 합니다하지만 역으로 생각하면회사의 공식적인 정보보호 활동/수준에 대해 인지하실 수 있는 귀한 시간이기도 합니다보통 정보보호팀, IT부서가 뭘 하는지 관심조차 없으시거든요.

직접 대면이 어려우시다면팀장님/부서장님을 통해서라도 이 기회꼭 활용하셔야겠지요?

  • 1.정보보호 온라인/오프라인 교육 시 경영진의 발언

Figure4. 교육 일정 관련 전 직원 공지 메일


요즘 코로나-19 때문에 많은 기업이 정보보호 교육을 온라인으로 진행하고 있는데요.

전문 기업에 교육 위탁 형태로 100% 진행할 수도 있습니다다만, IT 보안 부서에서 임직원에게 정보보호 인식 향상 관련 사항 (e.g. 메일 사용의 중요성랜섬웨어 주의 등)를 교육 진행 전경영진에게 간단히 당부의 말 차원에서 Session을 부탁드린다면경영진임직원 모두 경각심을 가질 수 있는 귀한 시간이 될 것 같습니다.


  • 1.정보보호위원회 활동 보고

Figure5. ‘취약점 분석 평가’ 관련 정보보호위원회 심의/의결을 위한 요약표


위 정보보호 연간 계획과도 어느 정도 일맥상통하는 내용인데요정보보호 활동에 대해 정기 또는 비정기적으로 경영진들에게 보고하고회사에 대한 정보보호 운영 현황을 투명하게 보고해야 하죠특히추후 기고글에서 다루겠지만 정보보호 위원회 활동 결과는중대한 특이사항이 없다면 경영진에게 받아들여지는 사항이기 때문에단순히 위원 간 모여서 친목을 다지는 자리가 아니라 심의/의결 안이 명확히 마련되고 적정성 여부를 치밀하게 검토하는 실질적인 미팅이 되어야만 하죠.

이때경영진의 입장을 고려해서 보고해야 합니다
단순히 서술/서사 형태의 일차원적 보고가 아니라원 페이퍼 형태 두괄식 표현이 고려되어야 하죠물론 기업마다 또는 상황에 따라 보고 형태가 달라져야 하죠
회사는 보고 (커뮤니케이션)에서 시작해서 보고로 끝난다는 말이 있잖아요?

지속적인 정보보호 활동에 대한 보고는 무엇보다 중요합니다.


위 글이 도움이 되셨나요?

더 궁금하신 내용 등은 댓글 달아 주시면 가능한 범위내에서 답변 드려보도록 하겠습니다

감사합니다.



태그가 없습니다.

21개의 댓글이 있습니다.

24일 전

좋은 내용 잘 보았습니다.
다음 내용도 부탁드려요...

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

24일 전

좋은 내용 감사합니다~

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

25일 전

좋은글 감사드립니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

1st 5stars

26일 전

잘 읽었습니다~ ^^

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

28일 전

정보보안 업무 1. 경영진 참여의 중요성에 대한 중요 내용 참고하겠습니다.
정보보안 가이드라인으로 계속 부탁드립니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전

우리회사 상무님께 공유하고픈 글 ㅎㅎ

Reply

약 한 달 전

ㅎㅎㅎ 감사합니다! 열심히 준비하겠습니다!

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전

좋은글 잘 읽고 갑니다. 감사합니다.

Reply

약 한 달 전

감사합니다. :)

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전

의사 결정권 없는 사람에게 보안 대책을 만들라고 지시하는것만큼
알맹이 없는 일이 없지요... 공감하며 잘 읽었습니다.

Reply

약 한 달 전

감사합니다. :)

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전

저도 올해 보안실로 발령이 났는데, 이 글에 대해서 실시간 알림이라도 하고싶네요. 구독, 좋아요^^
다음글 기대됩니다.

Reply

약 한 달 전

열심히 준비하겠습니다. 감사합니다!

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전

IT 업무를 하면서 경영진을 어떻게 꼬시냐? 가 중요하다고 느꼈죠 , 큰틀에서 묵묵히 지원해주지만, 디테일은 믿고 맡기는 그런 경영진과 일해보고 싶네요

Reply

약 한 달 전

네, 맞습니다. 현업에서 사실 '예산' 이라는 큰 과제를 어떻게 어필할지가 큰 관건이죠. 정보보안의 수준을 가시적으로 한눈에 표현하는게 중요한 것 같아요. :)

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전

이후 이어질 내용이 기대되네요, ^^

Reply

약 한 달 전

네, 감사합니다! 열심히 준비하겠습니다 :)

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전

경영진 참여가 정말 중요하죠.
자료 잘 읽었습니다.
감사합니다.

Reply

약 한 달 전

감사합니다. :)

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 한 달 전

좋은글 감사합니다.

혹시 정보보호 활동에서 보안 위반자에 대한 처리 기준이 별도로 있을까요?~
그냥 규정에 규정을 어겼을시 인사위원회(혹은 정보보호위원회)에 결정을 따른다.. 이런식이 대부분이라서,
어떤 어떤 항목을 위반시 경고, 징계, 등등.. 이렇게 기준을 세우시는지 궁금합니다~

좋은 하루되세요~

Reply

약 한 달 전

안녕하세요 :)
말씀하신 것처럼 인사위원회 회부에 대한 간략한 규정을 갖고 있는 회사도 있는 것으로 알고 있구요,
큰 규모의 회사의 경우 자체 기준을 가지고 있는 것으로 알고 있습니다.
타 금융사의 경우, 개인신용정보 모니터링 및 관련 위반 기준을 세우고, 해당 빈도, 중요도 등에 따라
강한 인사 조치로 이어지도록 잘 규정화되어 있는데요. 자세한 사항은 Confidential 자료라 더 상세하게 말씀드리기는 어려운 부분일 것 같습니다. 결론적으로, 회사마다 보안 위반자에 대한 기준은 상이할 수 있지만, 지키고자 하는 핵심 정보 (개인신용정보 등)에 대한 일단 탐지기준 부터 수립하시는게 선행되어야 하실 것 같아요. 더 궁금하신 부분이 있으시면 말씀해 주세요. 감사합니다!

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입