정보보호 관리체계의 개요

제１절 정보보호 관리체계의 개요

관리체계란 조직 및 기업의 품질경영이나 환경경영 등에서 사용하는 용어로써 정보시스템과 같은 IT 시스템을 의미하는 것이 아니라 어떤 대상을 관리하기 위한 체계를 의미한다. 경영학의 대가인 피터 드러커에 따르면 관리체계는 강점을 높이고 약점을 낮추며 조직 및 기업이 공동의 성과를 올릴 수 있도록 만들어 준다. 이러한 성과를 얻기 위해 인적 물적 자원과 경영진의 적극적인 참여와 의사결정이 필수적이다.

정보보호 관리체계는 조직 및 기업의 주요 정보자산을 보호하기 위하여 조직, 인력, 설비, 정책, 목적, 제도, 절차, 문서, 기록 등 경영자원을 활용하여 체계적으로 보호대책을 수립하고 지속적으로 관리하기 위한 방법론이다.

 정보보호 관리체계를 구축 운용하는 조직 및 기업은 관리체계 기반을 마련하고, 중요한 정보자산을 보호하기 위해 위협 및 취약점을 통한 위험분석 및 평가를 수행한다. 위험평가 결과를 바탕으로 다양한 관리적, 물리적, 기술적 보호대책을 통해 위험대응 전략을 수립, 이행하며, 주기적으로 대응 전략의 적절성, 효과성을 점검 개선하는 활동을 PDCA(계획, 실행, 점검, 개선) 단계별 활동을 통해 반복 수행한다.

[그림] 정보보호 관리체계 PDCA

 

정보보호 관리체계에서는 앞서 제1장의 ‘정보보호의 대상’에서 나열하였던 다양한 요소들을 정보자산으로 식별하고 다양한 위협과 취약점을 기반으로 위험관리를 수행하게 된다.

정보보호 관리체계 내의 요구사항에서는 ‘절차를 수립하여 운영하여야 한다.’라는 요구사항이 다수 존재한다. 이는 입력과 출력, 입력을 적절하게 출력으로 변환하는 활동으로 이뤄진 프로세스 접근방법이라 볼 수 있으며 조직 내의 정보보호 활동과 관련된 다양한 프로세스를 식별, 수립, 운영, 개선하는 PDCA 사이클 개념이다. PDCA 사이클 이론은 1950년대에 에드워즈 데밍에 의해 개발된 이론으로 사이클에 따라 피드백이라는 선순환구조에 의해 지속적인 품질개선활동 수행을 정의한 이론이다. 조직 및 기업은 비즈니스 활동을 효과적으로 수행하기 위해 프로세스 접근방법을 활용하고 있다. 이러한 활동들은 독립적으로 동작하거나 타 활동들과 상호작용을 통해 동작하기도 한다. 프로세스 접근방법을 적용하기 위해서 조직 및 기업 내의 다양한 프로세스를 식별하고, 프로세스 간의 상호관계를 파악한 후 하나의 유기적인 통합시스템 관점에서 접근하여 관리 운영이 필요하다.

[그림] 프로세스 접근방법

 

프로세스 접근방법 구현 방법으로는 다양한 비즈니스 활동 내에서 적절한 정보보호 활동 수행이 보장될 수 있도록 비즈니스 프로세스를 개선하거나 정보보호 관리체계 구축 과정 자체를 프로세스화 활동으로 보고 정보보호 활동과 관련한 프로세스를 신규 수립할 수도 있다.

정보통신 기술의 발전으로 인해 인류의 문화생활을 더욱 편리하고 윤택하게 하기 위해 필요한 다양한 IT 및 통신기기들이 개발되고 더욱 다양한 정보와 콘텐츠 그리고 과학기술 환경이 발전하고 있다. 사회 환경이 복잡해지고 다양해짐에 따라 조직 및 기업의 정보자산을 위협으로부터 보호하기 위한 복잡성과 노력 또한 비례하여 증가하고 있다.

정보자산을 외부 노출 또는 유출 등으로부터 예방하기 위해 전사적이고 체계적이면서 종합적이고 지속적인 노력을 수행하기 위해서는 체계적인 방법이 필요하다.

체계적인 관리 부재로 인해 발생한 크고 작은 다양한 보안사고는 지금까지 셀 수 없이 많이 발생하고 있으며 그 피해 규모도 크게 증가하고 있다. 기술의 발전에 따라서 조직 내외부의 보안 위협은 날이 갈수록 지능화, 첨단화 되고 있어 조직 및 기업의 안전성 및 보안성 수준을 향상시키기 위해 정보보호 관리체계(ISMS: Information Security Management System) 구축의 필요성 또한 날이 갈수록 증가하고 있다.