정보보호 거버넌스

Security

© Copyright IBM Corporation 2008

2008. 4. 7

한국 IBM Tivoli 사업부

박형근 과장 (CISA, CISSP)

정보보호 거버넌스

2 © Copyright IBM Corporation 2008

목차

1. 정보보호 거버넌스 배경

2. 정보보호 거버넌스의 정의

3. 왜 정보보호 거버넌스를 도입해야 하는가 ?

4. 정보보호 거버넌스 .vs. 정보보호 관리체계 (ISMS)

5. ( 정보 ) 보안 거버넌스 .vs. IT 거버넌스

6. 정보보호 거버넌스 구현 목표

7. 정보보호 거버넌스 프레임워크

8. 성과 관리 모델 : Security BSC(Balanced ScoreCard)

9. 성과 관리 모델 : ROSI (Return On Security Investment)

10. ITGI 정보보호 거버넌스 성숙도 모델

11. 보안 성과 측정 지표

12. 정보보호 거버넌스 구현



1. 국가 , 기업 간 보안 장벽 (Security Round) 대두 : PCI, 삼성자동차 (ISO27001), 현대자동차 (5 Star

등급제도 )

2. 증가하는 법 , 규제 사항의 컴플라이언스 유지를 위한 보안 및 통제 요구 사항 증대

3. 고객의 보안 인식 향상으로 비즈니스적인 보안 요구 사항 증대 : 개인정보보호

4. 영업 및 산업 기밀 보호를 위한 비즈니스적 보안 요구 사항 증대

5. 보안 투자에 대한 가시적 효과 및 성과 관리 요구

6. 비즈니스 정보 위험 관리

7. 정보 보호 조직의 정보 보안 활동의 한계와 효과성 문제 .

8. 이제는 정보 보안이 아니라 비즈니스 보안이다 !!!

비즈니스와 보안의 연계 필요성 증대



- 최고 경영자 : 각종 규제 준수 방안 수립 및 이를 위한 적정 투자 수준 결정- 보안 담당자 : 조직 문화와 정보보호 성숙도에 따른 효과적 / 효율적 정보보호 관리 체계 수립

보보보보보보보보보보보보보보보

보보보보보보보보보보보보보보보보보보보보보

- 최고 경영자 : 현 정보 보안 투자에 대한 성과 가시화 요구- 보안 담당자 : IT 거버넌스 체계 하에서 정보보호 투자 유치를 위한 성과 가시화 방법 요구

보보보보보보보보보보보보보보

정보 보호 기술의 도입만으로 될 것인가 ?* 정보 보안은 단순한 기술적 문제가 아니라 , 조직 문화 , 정보 보호 프로세스 , 정보 보호 기술의 총합이라는 인식 필요


2. 정보보호 거버넌스의 정의

2007.11 박형근 (CISA, CISSP)

정보보호 거버넌스는 이사회와 경영진의 책임 하에 수행되는

기업 거버너스의 일부로서 정보 보안에 대한 투자 성과를

기반으로 의사 결정에 대한 권한과 책임을 정의하고 ,

정보 보안 활동이 조직의 전략과 목표를 유지하고 향상시킬 수

있게 하는 조직 구조 , 프로세스 , 기술을 말한다 .


3. 왜 정보보호 거버넌스를 도입해야 하는가 ?

시간과 비용 통제로 정보보안 활동의 효율성과 효과성 향상

내부 절차와 통제 향상 , 비즈니스 프로세스 개선

정보 보안과 비즈니스 활동 사이의 균형

정보 보안 정책과 정책의 준수 보증

책임 소재의 부재 혹은 정보의 부정확성으로 인해 야기되는 법적 규제 사항의 위반 방지

제한된 보안 자원을 보다 효과적이고 최적화하게 배치 운영

정보보안 프로그램의 질적 향상과 높은 성공률 보장

정보 보안 투자에 대한 성과 가시화 요구


4. 정보보호 거버넌스 .vs. 정보보호 관리체계 (ISMS)

항목 정보보호 거버넌스 정보보호 관리체계목표 - 정보보호 활동에 있어 비즈니스

가치를 구현하도록 통제하는데 목적( 경영진 대상 )

- 효율적인 정보보호를 하기 위한 관리 목적 ( 정보보호조직 대상 )

보안전략 - 비즈니스와의 전략적 연계 중요시

- 비즈니스와의 전략적 연계를 위한 보안 전략맵 수립 중요

- 보안 전략으로부터 출발 ( 경영진의 참여 )

- 비용 관리 (Financial Management) 개념 중요

- 비즈니스와의 전략적 연계의 중요성을 인지하나 , 기본적으로 위험 평가로부터 출발

- 보안 정책으로부터 출발 ( 경영진의 승인 )

- 비용 관리 (Financial Management) 개념 부재

보안 조직 - 중앙 집중형 , 지방 분권형 , 연방형 등 다양한 조직 형태에 대해 논의

- 중앙집중적 통제 조직 운영 기준으로 효율적 조직 형태에 대한 논의 미약

가치 창출 - 비즈니스 보호 뿐만 아니라 , 직접적인 비즈니스 기여 중시

- 비즈니스 보호를 위한 통제 중심

성과 측정 - 정보보호 활동에 대한 성과 지표 수립과 측정 활동 중요 .

- 정보보호 활동에 대한 성과 측정에 대해 직접적으로 다루지 않음 .


5. ( 정보 ) 보안 거버넌스 .vs. IT 거버넌스

기업 거버넌스

IT 거버넌스 기업보안 거버넌스

정보보호 거버넌스통일성 컨버젼스


6. 정보보호 거버넌스 구현 목표

IS Value IS Value DeliveryDelivery

PerformanPerformance ce

MeasuremMeasurementent

Risk & Risk & Resource Resource ManagemManagem

entent

ISISStrategicStrategicAlignmentAlignment

““control” control”

비즈니스 전략에 대한 정보 보안의 전략적 연계

조직 목표를 지원하는 정보 보안 투자를 최적화하는 가치 전달

수용 가능한 수준으로 정보 자산의 잠재적 영향을 줄이고 ,

위험을 관리하기 위해 적절한 평가를 수행하는 위험 관리

정보보호 지식과 인프라를 효율적이고 ,

효과적으로 운영하기 위한 자원 관리

조직 목표 달성을 보증하기 위한 정보보호 거버넌스 척도를 기준으로 모니터링 , 보고 및 평가를 수행하는 성과 관리

““direct” direct”

StakeholdStakeholder Value er Value DriversDrivers


6. 정보보안 거버넌스 구현 목표

정보보안 활동이 비즈니스 목표와 연계 정보보안 전략 라이프사이클 관리 커뮤니케이션을 위해 비즈니스 용어로 재정의 CSF 와 KPI 정의

◎ 전략적 연계

정보 자산의 가치 식별과 위험 평가 가치에 기반한 대응 전략 수립 위험 관리와 표준 기반의 IT 운영 관리와의 연계

◎ 위험 관리

정보 보안 자원의 효율적 , 효과적 운영 표준화된 프로세스 정립 및 최적화를 통한 비용 절감

◎ 자원 관리

KPI 측정 및 모니터링 성과 트랜드 분석 및 조정 활동 수행 위험 관리 활동 및 IT 표준 운영 체계와 연계

◎ 성과 관리

비즈니스 목표 지원 표준화와 최적화로 운영 및 개발 비용 절감 비즈니스 이니셔티브

◎ 가치 전달


전략적수준

전술적 수준( 정책 , 표준 )

운영적 수준( 관리 가이드 ,

절차 )

지시

보안

정보

및 성

과 측

정

직접적인 실행

BSC + ROSI

통제 출처 : Information Security Governance: A model basedon the Direct–Control Cycle, 2006 Elsevier

7. 정보보호 거버넌스 프레임워크 : Direct–Control Cycle Model


7. 정보보호 거버넌스 통제 프레임워크 (Benchmarking Model)

COBIT

PO AI DS M IS(ISO 27001 & KISA ISMS)

정보기술 관리체계 ( 예 , ITIL/ITSM)정보보호 관리체계

(ISO 27001 & KISA ISMS)

정보 위험 관리

IT 통제 정보보호 통제

정보보호 거버넌스 통제 시스템

출처 : 2006 ISACA, Vernon Poole(CISM)


7. 정보보호 거버넌스 프레임워크 : PHK 모델

역할과 책임

비즈니스 요구사항

정보보호거버넌스관리 대상

인적

자원

프로세스

기반

기술

데이터와

정보

인프라스트럭쳐

전략적 수준

전술적 수준 (COBIT)

운영적 수준 (PDCA)

효과

성효

율성

비밀

성무

결성

가용

성컴

플라

이언

스신

뢰성


보보보

보보보보보

보보보보보보보보

보보보

보보보

보보보보보

보보보

보보보보보보

보보보보보보

보보보보보

보보보보

보보보보

보보보보

보보보보

보보 보보 보보 보보

보보보보보보보보보

보보보보보보보보

보보보보보보보보보보보보

보보보보보보보보보보보보

7. 정보보호 거버넌스 프레임워크 : PHK 모델





고객 지향

투명한 보안 체계 구축습관적 보안 인식

목표 :

- 고객 만족 - 비즈니스와의 연계 - 서비스 레벨의 성과

비즈니스 가치

비즈니스의 기여자 , 추진자 . 지원이 아니라 파트너 .

목표 :

- 보안 선도의 비즈니스 가치 - 보안 투자의 책임 - 전략적 기여

운영 효율 증대

효율적 , 효과적 , 혁신적 보안 체계 구축

목표 :

- 효율성과 효과성의 최적화 - 엔터프라이즈 아키텍처 진화 - 비즈니스 단위를 통해 협력 증진 - 응답성

인식 및 성장 지향

기업 목표에 보다 잘 도달하기 위한 보안 성장 증진과 학습

목표 :

- 사용자 지식과 효과성 - 보안 담당자의 전문성 향상 - 최신 기술 연구

출처 : Giga Information Group




9. 성과 관리 모델 : ROSI (Return On Security Investment)

Risk Exposure: ALE = SLE X ARO = 25,000 원 , 연간 4 회 발생 = 100,000 원- ALE: Annual Loss Exposure- SLE: Single Loss Exposure- ARO: Annual Rate Occurrence

Risk Mitigated: 75%/100 = 0.75

Solution Cost: 25,000 원





수준 0:

인식 부재

- 정보보호 거버넌스의 필요성에 대한 인식 부재

수준 1:

시작

- 정보보호 거버넌스의 필요성 인식

- 조직 , 프로세스 , 기술 구조는 체계화되어 있지 않고 , 표준 부재

- 지원 조직과 정보보호가 연계되어 있지 않음 .

- 툴과 서비스가 연계되어 있지 않음 .

- 사고에 대한 대응력이 미약함 .

수준 2:

반복

- 정보보호 거버넌스의 필요성 인식 확산

- 정보보호 거버넌스 활동과 핵심지표 일부 수립 시작

- 표준화 없이 부가 조직에서 시험 적용

- 방법론 없이 품질 향상 노력 시작하나 사고 반복 지속 .

- 변경 통제 부재

수준 3:

정의

- 보다 높은 수준의 정보보호 거버넌스 인식

- 프로세스들이 표준화되고 , 구현되고 , 문서화됨 .

- 변경 통제

- 안정된 성과 지표 운영



수준 4:

관리

- 기업 내 개별 수준에서 정보보호 거버넌스 인식의 확산

- 서비스 목록 구현과 서비스 수준 협약 (SLA) 설정

- 재무 관리 (Financial Management) 부재

- 지속적 향상을 위한 프로세스 시작

수준 5:

최적화

- 정보보호 거버넌스 인식 보편화

- 재무 관리 (ROSI 적용 )

- 모범 사례 적용 및 관리

- 정보보호 거버넌스 지속 향상

- 지속적인 프로세스 최적화



Risk

Management

(KRI)

- % of system without security controls

- % of system analyzed

- % of physical environment analyzed

- % of Business impact analyzed

Policy

Compliance

(KCI)

- % of non-compliance with norms and laws

- % of non-compliance with the security policy

- % of internal controls not implemented

- % of control system audits

- % of system/services monitored by IPS/IDS.

Asset

Management

- % of assets classified

- % of owners defined

- % of assets labeled

Knowledge

Management

- % of users trained

- % of managers/technicians trained

- total time invested in security awareness/ education/ training

- % of weak passwords



Incident

Management

- Total of reported incidents

- Total of incident responses

- Average time taken by incident responses

- % of learning from incidents

- % of skilled people to deal with incidents

Continuity

Management

- % of tests of emergency plans

- % of critical assets enclosed in recovery plans

- % of disasters solved

- % of skilled people to implement the diaster recovery plan

Security

Infrastructure

- Amount of meetings/workshops promoted by the Security Committee

- % of participation of stakeholders in meetings/workshops.

- % of planning actions implemented

- % of management processes documented

- % of outsourcing services

- % of IT budget allocated for IS

- % projects involving the IS department



1 단계 : 정보보호 거버넌스 시작 (Initiation)

- 최고 경영자의 도입 의지 표명 및 구현 결정

- 정보보호 위원회 결성 .

- 역할 및 책임 정의 (R&R)

- 정보보호 위원회 및 관련자의 정보보호 거버넌스 연구 ① 전략적 계획 기법 (PEST 혹은 SWAT 등 ) 을 사용하여 계획 및 구현에 대한 정보보호 위원회 구성원 간의 이해 및 필요성 공유 ② 정보보호 거버넌스 및 정보보호 관리체계 모델 연구 , 벤치마킹 수행 ③ CobiT, ISO27001, KISA ISMS 등 표준 연구 ④ 정보보호 거버넌스 프레임워크 개발 및 선정

- 중장기 비즈니스 목표에 대한 정보보호 거버넌스 하의 전략적 계획 및 목표 선정



2 단계 : 정보보호 거버넌스 분석 (Diagnosis)

- 정보보호 거버넌스 구현을 위한 TASK Force Team 구성 ( 필요 조직 & 프로세스 )

- 평가 : 위험 , 정보보안 프로세스 성숙도

- 차이 (Gap) 분석 : 표준 프로세스 혹은 구현하려고 하는 프로세스와 현재의 프로세스 사이의 차이 분석 수행

- 요구사항 식별 ① 비즈니스로부터 요구되는 각 프로세스별 보안 요구사항 식별 ② 각 프로세스 별 핵심 성공 요소 (CSF) 식별 . ③ 핵심 성공 요소에 따른 핵심성과지표 (KPI), 핵심위험지표 (KRI), 핵심준수지표 (KCI) 개발 및 선정

- 정보보호 거버넌스 구현 권고 사항 연구



3 단계 : 정보보호 거버넌스 구현 (Establishment)

- 우선 순위 설정 : 비즈니스 우선 순위에 따른 성숙도 목표와 구현 대상 프로세스 선정

- 정보보호 거버넌스 관련 필요 솔루션 혹은 개발 검토 및 선정 .

- 정보보호 거버넌스 프로젝트 계획 수립



4 단계 : 정보보호 거버넌스 수행 (Act)

- 정보보호 거버넌스 프로세스와 솔루션 개발

- 정보보호 거버넌스 프로세스와 솔루션 테스트 (Pilot)

- 정보보호 거버넌스 프로세스와 솔루션 고도화 (Refinement)

- 정보보호 거버넌스 프로세스와 솔루션 배치 (Deployment)

- 정보보호 거버넌스 프로세스와 솔루션 운영 및 관리



5 단계 : 정보보호 거버넌스 학습 (Learning)

- 운영 중인 정보보호 거버넌스 프로세스와 솔루션 분석 및 확인 ① 분석 단계에서 수립한 핵심성과지표 (KPI), 핵심위험지표 (KRI), 핵심준수지표 (KCI) 에 의한 성과 측정 수행 및 성숙도 평가 ② ROSI 혹은 Security BSC 에 의한 성과 관리 수행 및 정보보호 전략 수정



비즈니스 전략 목표

BSC( 보안 전략 목표와 측정지표 )

위험 평가

보안에 대한 전략적 결정과 이행 계획 수립

보안 정책 재검토 ( 유지 , 신설 , 변경 , 삭제 )

정보 보안 활동 ( 절차 , 지침 , 구현 등 )

보안 측정 지표에 의한 성과 측정


Documents

정보보호 거버넌스