안녕하세요, 보안맨 입니다.
이번에 소개해 드릴 주제는 ‘정보보호위원회’ 인데요. 이미 여러 금융회사, 제조기업 등에서 정보보호위원회가 설치/운영되고 있습니다.
이때, 정보보호위원회는 역할 및 책임 등이 명확해야 하고, 어떤 안건을 가지고 심의/의결해야 하는지 규정되어야 하는데요.
이번 시간에는 크게
1) ‘정보보호위원회 설립/운영에 관한 규정 마련’,
2) ‘정보호위원회가 심의/의결 사례’를 살펴 보도록 하겠습니다.
다만, 필자의 경험상 금융회사 사례를 중심으로 작성되며, 모든 세부적인 내용에 대해서 작성될 수 없는 점 미리 양해 부탁 드립니다.
1.정보보호위원회 설립/운영 관련 규정
정보보호위원회의 주기적인 운영/관리가 가능하도록 위원회의 구성, 역할, 책임, 주기 등을 정의한 규정이 마련되어야 하는데요. 필자의 경우, 상위 정책/지침서에 위원회의 당위성을 짧게 거론하고, 세부적인 설치/운영에 관한 사항을 절차서 수준으로 내규화 했었습니다.
절차서 마련 시 아래와 같은 사항이 고려되시면 좋을 것 같습니다.
Figure 1. 정보보호위원회 설치 및 운영에 관한 절차서 – 목차표
정보보호위원회의 구성 및 운영 목적: 본사 상위 규정 또는 관련 법령 (e.g. 전자금융감독규정) 참고
위원회 구성: 관련 법령 참고 (e.g. 준법감시부서(장), 정보보호책임자, IT 개발/인프라팀(장) 등)
위원회의 임무: 관련 법령에서 정한 사항 등 (e.g. 취약점 분석 평가 결과, 보안성 심의, 정보기술부문계획서 등 다수)
역할 및 책임:
-위원장은 A 로 정함
-정보보안 간사는 회의록 작성 및 보고 등
-위원회에서 의결한 사항은 위원장이 경영진에게 직접 보고 등
회의록
-위원들이 이해할 수 있는 수준의 심의/의결 관련 자료 마련
-회의 시, 각 위원간 질의/응답에 따른 보완점, 재 심의 사항 등 기록
관련 내부 규정 등 다수
1.정보보호위원회 심의/의결 사례
가.정기적
Figure 2. 취약점 분석/평가 결과 관련 정보보호위원회 회의록
위 내용은 전자금융기반시설 취약점 분석/평가에 대한 최종 결과 자료인데요. 위원들이 한눈에 쉽게 파악할 수 있도록 표로 정리 되었습니다. 전체 평가 자산 수량, 취약점 개수, 조치 계획 등을 확인하실 수 있는데요.
심의 시, 보통 준법 부서 담당자는 고위험 취약점 (risk=high)에 대한 빠른 조치를 원합니다.
취약점이 존재하는 것 자체가 조직 측면에서 위험이기 때문이죠. 하지만, IT 인프라팀이나, 개발팀에서는 내부 공수, 예산 등의 사유로 모든 중요한 취약점을 단기간에 조치할 수 없는 한계가 존재하죠. 따라서, 모든 위원이 납득할 수 있는 자료를 만들고 설득력 있게 발표될 수 있도록, 담당자의 치밀한 준비가 굉장히 중요합니다.
예를 들어, 단기간에 조치할 수 없는 high 취약점인 경우, 대체 보안 통제 방안을 제시할 수 있다면 금상첨화겠지요.
최종적으로 위원의 과반수가 결과에 대해 동의하면 (=의결), 의결 사항은 최고 경영자에게 보고됩니다. 이때, 경영진의 선호하는 보고 방식, 예상 질문 등을 미리 준비하시면 좋을 것 같습니다.
(e.g. 작년 대비 올해 네트워크 자산 관련 취약점이 증가한 사유 등)
가.비 정기적
Figure 3. 망분리 적용 예외 보안성 검토 관련 회의록
필자의 이전 회사에서, 내부망에 위치한 개인정보처리시스템을 외부에 있는 A회사에서 접근해야해서 내부적으로 이슈화 된 케이스가 있었습니다.
이 때, 첫번째로 진행했던 사항은 ‘관련 근거’가 무엇인지 파악하는 것 이었습니다.
망분리 예외 관련 전자금융감독규정 시행세칙을 확인하고, 법적으로 저촉되는 부분이 없는지 확인해야 했습니다.
이후 관련 업무 현황을 분석하기 위해 각 부서 담당자들과의 인터뷰를 진행하고, 기술적으로 각 솔루션들의 설정값 등을 확인 했었습니다.
현황 Gap 분석을 통해, 단기간 조치 사항, 장기간 조치 사항, 위험 수용이 따르는 항목 등을 일목요연하게 표로 정리하고, 정보보호위원회로부터 심의/의결을 득 하였습니다.
읽어 주셔서 감사합니다. 기고글이 조금이나마 도움이 되셨나요?
궁금하신 사항 또는 기타 좋은 의견 등은 댓글을 남겨 주세요.
감사합니다. 오늘도 행복하세요. J
8개의 댓글이 있습니다.
IT의 부업무(?) 인 정보보안 관련 내용 잘 참고해보겠습니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입잘 참고하겠습니다~ 감사합니다
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입좋은정보 알려주셔서 많은 도움이 되내요 감사합니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입좋은 정보 감사드립니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입덕분에 큰회사들은 보안에 대한 내부규정을 어떻게 하는구나 엿보고 많이 배우고 있습니다 감사합니다~
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입정보보호위원회에 대해 잘 알게 됐습니다.
Reply감사합니다.
댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입"정보보호 위원회" 말만 들어 봤지, 무엇을 하는지에 대해서는 알지 못했는데,
Reply이 글을 보고 조금이나마 알게 되었네요~~
감사합니다. ^^
:) 조금이나마 도움이 되셔서 다행입니다. 더 알찬 주제로 찾아 뵙겠습니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입