제2절 정보보호 관리체계의 필요성
정보보호에 대한 최고 경영층은 ‘정보보호는 완벽해야 하는 것’이라는 인식이 자리잡고 있으며, 제한된 예산과 부족한 인력으로 부분적 일회성 정보보호 활동을 수행하거나 침해사고 등에 대해 단편적인 대응에 그치고 있다.
하지만 정보보호에 대한 조직 및 기업의 사회적 책임이 중요해지면서 정보보호 컴플라이언스, 정보보호 거버넌스, 위험관리 등이 기업의 경쟁력의 중요 요소가 되고 있다. 실무자들은 완벽한 보안이 어렵다는 점을 인식하고 있지만 차마 공개적으로 얘기하기는 어려운 현실이다. 완벽에 가까운 정책을 만들고 그에 맞는 정보보호 활동을 이행해면서 사고가 발생한 경우 피해를 최소화하는 대책 수립이 최선이다. 즉 정보보호와 관련된 통합적, 체계적인 활동을 수행하고 침해사고 등에 대해 지속적인 대응을 하기 위해서는 제한된 예산과 자원을 효율적으로 활용하면서 중요한 위험부터 우선순위에 의한 대응 전략을 수립하는 정보보호 관리체계가 필요하다.
효과적인 정보보호 관리를 위해서는 비즈니스 목적에 부합하는 정보보호 전략을 수립하고 경영진이 승인한 정책, 지침, 프로세스를 수립하여야 한다. 배정된 예산을 기반으로 정보보호 활동을 수행할 조직 운영하거나 인력의 채용 및 교육, 효율적 효과적인 인프라/기술/도구/기법을 선택, 적용하여야 한다. 수립된 정보보호 관리체계를 지속적으로 이행, 점검, 개선함으로써 사고 발생 가능성은 줄이고 탐지 또는 발생된 사고에 대해서는 손실이 최소화 되도록 비즈니스 연속성을 보장하여야 한다.
구축된 정보보호 관리체계는 대내외적인 신뢰도를 높이기 위해 전문적이고 객관적인 제3자에의한 평가를 받는 것이 좋다. 평가를 통해 정보보호 역량에 대한 보증을 제공함으로써 조직의 이미지 제고, 이해관계자의 인식 개선, 사업 활성화 등에 기여하고, 정보보호 수준을 강화하거나 유지하는데 도움을 줄 수 있다. 정보보호 관리체계를 구축하거나 정보보호 관리체계 인증을 받았다고 완벽한 정보보호가 보장되지는 않는다. 수립된 정보보호 활동을 실무에 적용하고 임직원들의 정책, 지침, 절차 준수가 필수이다.
4차 산업혁명 시대에 정부에서는 마이 데이터, 가명정보 등 새로운 비즈니스의 기회를 제공하기 위해 규제를 개선하고 있어 개인정보 등의 안전성 확보조치를 통한 컴플라이언스 준수 활동이 매우 중요한 시점이 되었다.
'(부제) 나는 CISO 이다 > SecureDog 프로젝트' 카테고리의 다른 글
제2항 정보보호 정책, 표준, 지침 (0) | 2022.05.02 |
---|---|
제3절 정보보호 관리체계의 구성요소 (0) | 2022.04.26 |
정보보호 관리체계의 개요 (0) | 2022.04.11 |
마이크로세그먼테이션 (0) | 2022.04.08 |
제로 트러스트 (0) | 2022.04.08 |
댓글