대부분 정보보호관리체계를 구축한다고 할 때 보통 정책/지침을 수립하고 조직 구성 및 예산 배정 등을 합니다.
그리고 담당자에 의해 정책/지침에서 요구하는 활동들을 끊임없이 수행, 준수하도록 요구하지만 조직의 정보보호 활동은 잘 수행되지 않고 있는 경우가 있습니다.
이에 대한 원인은 다양한 이유가 있겠지만 아래와 같은 유형의 이유일 것입니다.
-기관 내 임원진의 관심이 부족한 경우 (담당자 나홀로 정보보호 활동을 수행)
-기관의 임직원들의 인식이 부족한 경우 (왜 귀찮게 이일을 해야 하느지 불만)
-기관의 비즈니스 전략과 분리 운영되는 경우 (목적 없이 단순히 의무로써 형식적인 수행)
-잘하고 싶은데 어떻게 해야 하는지 모르는 경우 (전문가 채용, 외부 교육 등 역량강화 기회 부족)
-잘하고 있는줄 알았는데 외부인이 보면 문제점이 있다고 할 경우 (객관적인 평가와 지속적인 개선 기회 제공 미흡)
기관의 대표 또는 CISO가 초기 투자 외에는 더 이상의 지원이 어렵다고 판단하는 경우, 현재의 상태를 유지하기 위해 변화하는 내외부 상황에 맞춰 법적요건을 만족하는 수준으로 운영관리 활동이 이뤄질 것입니다.
반면에 이사회 등에서 정보보호에 대한 관심이 높을 경우, 기관의 정보보호 목표를 위해 지속적인 예산 및 인력을 편성하여 도입>구축>활용>개선의 흐름으로 정보보호 활동이 수행됩니다.
기관의 정보보호 활동은 자산에 대한 접근통제로부터 관리체계, 거버넌스의 형태로 발전해 오고 있는데 발전 방향은 좀더 체계적이고 효율적인 정보보호 활동을 수립하고 이행하기 위한 방향으로 변화하고 있으며 이러한 활동을 통해 소정의 목적을 달성하기 위한 중요한 요소에 사람(임직원, 협력사 등)이 있습니다.
정보보호 관리체계 내의 참여 인원의 참여도에 따라 관리체제의 성공여부가 결정되며 한두명의 담당자만이 아닌 전사적인 참여가 필요합니다.
전사적인 참여를 독려하기 위해서는 어떤 활동을 해야 할까요.
1.동기를 자극한다.
정보보호 활동은 길고 긴 여정입니다. 이 긴 여정 내내 지치지 않는 열정을 발휘해 매일 매일 묵묵히 자신이 있어야 하는 곳에서 해야 할 일을 수행해야 합니다.
매일 반복적으로 수행하는 활동은 간혹 따분하기도 하고 목적을 잃고 방황하게 만들기도 합니다.
동기를 부여하기 위해 정보보호 활동을 Visualization + Gamification 하여 임직원의 참여도와 흥미를 높이고 과거와 현재의 수준을 비교해 봄으로써 과거보다 발전된 모습을 볼 수 있도록 하는 것이 좋겠습니다.
2.과정에 집중한다.
정보보호 활동의 목표란 무엇일까요. 매출액, 영업이익 등과 같이 목표를 설정하고 그 목표를 향해 전사적으로 활동하는 것이 옳을까요.
목표보다는 목적, 방향이 더 정확한 개념이라 생각됩니다.
목적 달성을 위해 수립된 절차에 따라 수행해야 할 단위업무들을 정의하고, 담당자 지정 및 수행, 관리자의 주기적인 활동 수행이 필요합니다.
이때 BPR, BPM, TQM 등의 기법을 활용하여 정보보호 활동을 지속적인 개선과 자동화로 목적을 달성할 수 있습니다.
3. 적극적으로 직면하는 태도
반복 수행되는 정보보호 활동에 집중하면서 더욱 나아지는 모습을 그려보는 것이 중요합니다.
적극적으로 기관이 직면한 주요 현황을 인식, 분석하고
기관의 중장기 비전과도 같은 모습을 통해
정보보호 활동의 목적을 달성할 수 있도록 적극적으로 참여하고 개선되는 모습이 필요합니다.
하지만 꾸준히 개선되는 모습이란 단지 제3자의 평가 경과, 인증서 등을 의미하는 것이 아니라 기관의 주관적인 자신만의 목적이면서 지속적인 향상을 의미합니다.
4. 실패를 수용한다.
수행하는 과정에 발생한 침해사고나 정보보호관리체계에서 부적합 사항이 조직의 정보보호 수준을 의미하는 것은 아닙니다.
정보보호 수준이란 평소에 침해사고를 예방하기 위해 얼마나 많은 노력을 기울였고, 침해사고 발생했을 때 얼마나 적법하게 효율적, 효과적으로 대응할 수 있느냐를 의미합니다.
부적합 사항의 갯수가 기관의 정보보호 수준을 의미하지 않습니다.
기관의 수준이란 유사한 부적합 사항이 얼마나 자주 발생하느냐, 제3자의 관점에서 점검된 결과를 잘 받아들여 체계적으로 개선해 나가느냐가 기관의 정보보호 수준입니다.
실패나 실수에 지나치게 낙담하거나 과민하게 반응하지 말고
오히려 현재의 상태를 파악하고 지속적인 개선 활동을 통해 더 생산적으로 활용하는 중요한 계기로 삼는다면 기관의 정보보호 수준은 높은 경지에 도달 할 수 있을 것입니다.
5. 인내심을 가져라.
경영진에게 보고를 위해 지표의 실적 위주로 활동하는 경우가 있습니다. 지표 자체가 전체적인 정보보호 수준 파악을 위한 적절하지 않은 지표일수도 있으며 적절한 지표이더라도 수준 향상에 정체기가 있을 수 있습니다.
이 정체기는 높은 성장을 위한 잠시 움츠림입니다.
초기 단기간에 적은 노력으로 많이 성장하는 모습을 보일 수 있지만 시간이 지나 수준이 높아질 경우 좀더 나은 수준이 되기 위해서는 기존의 노력보다 더 많은 노력과 시간이 소요됩니다.
개구리가 멀리 뛰기 위해 잠깐 움추리는 것처럼 기관의 정보보호 목적, 방향을 성찰하고 꾸준한 활동 수행이 필요합니다.
6. 현재에 집중한다.
완전히 몰입할 수 있도록 시간, 공간, 에너지를 안배하여야 한다.
방해가 될 수 있는 요소를 제거하고 하루하루 단위 업무의 정확한 수행이 매우 중요합니다.
정해진 절차에 따라 적절하게 수행했을 때 현재의 활동들이 쌓여 하루를, 1년을 변화시킬 수 있습니다.
활동에 집중할수록 그 활동대상에 가치가 부여되고 대상의 중요성을 인식하게 되며 다시 활동을 좀더 잘 할 수 있도록 노력하게 됩니다. 때문에 의식적으로 해당 활동에 좀더 집중하는 일이 중요합니다.
'(부제) 나는 CISO 이다 > ISMS-P 인증심사' 카테고리의 다른 글
(ISMS-P) 정보보호 최고책임자 신고제도 강화 (정통망법 21.05.24) (1) | 2021.05.26 |
---|---|
(ISMS-P) 정보보호 조직의 구성 및 역할 (0) | 2021.05.16 |
(ISMS-P) (개인) 정보보호 조직 구성의 주요 부적합 사항 및 개선 방안 (0) | 2021.05.02 |
(ISMS-P) 정보보호 최고책임자 지정신고 대상 및 제외대상 (0) | 2021.05.02 |
(ISMS-P) 정보통신서비스 제공자 해당 여부 (0) | 2021.05.02 |
댓글