< Chapter 01. 보안, 경영진 참여의 중요성 >
안녕하세요, 보안맨 입니다.
이 글은 제가 금융회사, 정보보호 전문 업체 등에서 정보 보안 업무를 맡으면서 겪은 경험, 노하우 등을 공유해, IT보안 직무에 관심이 있으신 ‘취업 준비생’ 또는 ‘초보 현업 보안 담당자’에게 조금이나마 도움이 되고자 작성하였습니다.
이번 글의 주제는 ‘보안, 경영진 참여의 중요성’입니다. 업종별 또는 회사 특성에 맞는 경영진의 참여를 이끌어 내는 방식도 다양한데요.
최고 경영자는 정보보호 및 개인 정보보호 관리체계의 수립과 운영 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영해야 합니다. 사실, 추상적이고 막연하기만 한 주제입니다.
높은 경영진분들을 모시고 회의라뇨, 엄두도 나지 않죠.
사실 최고 경영자는 많은 권한을 CISO(정보보호 책임자)에게 위임합니다.
그렇다고, 최고 경영자의 참여가 아예 없을 수 있는 건 아닌데요.
관련 경험, ISMS (Information Security Management System from KISA) 기준 등을 고려해 준비한 아래 항목을 살펴보시면 도움이 되실 것 같습니다.
1.정보보호 책임 및 역할 명시 (규정)
Figure1. 정보보호 정책서 – 역할 및 책임
경영진에 대한 역할과 책임에 대해 회사 내부 규정서에 명확하게 명시되어 있어야 하죠.
‘정보보호 정책서 내 경영진은 정보보호에 대한 의사결정 책임을 갖고 참여해야 한다’고 말이죠.
단순히 규정서 역할을 문서화하는 것뿐만 아니라, 실질적인 정보보호 활동에 경영진들이 참여하고, 그 중요성을 인식해야만 하죠. 참고로, 정보보호 정책 및 지침/절차서 관리, 제/개정 방법은 다음 기고 글에서 다루도록 할게요.
1.정보보호 연간 계획(또는 전략) 수립/보고
Figure2. 정보보호 연간 활동 계획서
각 회사 관련 법/관련 규정 (e.g. 개인정보보호법, 정보통신망법 등) 또는 정보보호 인증/심사(e.g. ISMS-P, PCI-DSS 등), 또는 기타 내부적인 사유 (e.g. DRM 솔루션 도입)에 따른 관련 정보보호 활동에 대한 연간 계획을 연초에 수립하고 경영진에게 보고하는 것이 매우 바람직하죠. 이때, 어느 정도 주기로, 언제까지, 예산은 어느 정도 들지 세부적인 안을 보고하게 되면, 정보보호 활동에 대한 구체적인 근거가 마련되는 거죠.
더 나아가 각 활동 별 세부 지표(KPI, Key Performance Index)가 마련되고, 각 정보보호 활동에 대해 진행 현황을 주기적으로 보고/개선할 수 있다면 더 좋을 것 같습니다.
1.ISO27001, ISMS 등 대외 심사 시, 경영진의 참여
Figure3. ISO27001 사후심사 스케줄 표
많은 말단 직원분들이 그렇듯 경영진(임원급 이상) 과의 소통을 어려워하죠. 특히 경영진의 황금 같은 시간을 빌려 오픈 미팅 (e.g. ISO27001에 대해 진행하는 사유, 주요 점검 방향 논의 등) 참석을 요청드리는 게 보통 쉬운 일이 아니죠.
저 또한 그랬으니까요. 심지어 심사원과 어느 정도 일정에 대해 협의가 된다면, 해당 일정에 대한 생략이 가능하기도 합니다. 하지만 역으로 생각하면, 회사의 공식적인 정보보호 활동/수준에 대해 인지하실 수 있는 귀한 시간이기도 합니다. 보통 정보보호팀, IT부서가 뭘 하는지 관심조차 없으시거든요.
직접 대면이 어려우시다면, 팀장님/부서장님을 통해서라도 이 기회, 꼭 활용하셔야겠지요?
1.정보보호 온라인/오프라인 교육 시 경영진의 발언
Figure4. 교육 일정 관련 전 직원 공지 메일
요즘 코로나-19 때문에 많은 기업이 정보보호 교육을 온라인으로 진행하고 있는데요.
전문 기업에 교육 위탁 형태로 100% 진행할 수도 있습니다. 다만, IT 보안 부서에서 임직원에게 정보보호 인식 향상 관련 사항 (e.g. 메일 사용의 중요성, 랜섬웨어 주의 등)를 교육 진행 전, 경영진에게 간단히 당부의 말 차원에서 Session을 부탁드린다면, 경영진, 임직원 모두 경각심을 가질 수 있는 귀한 시간이 될 것 같습니다.
1.정보보호위원회 활동 보고
Figure5. ‘취약점 분석 평가’ 관련 정보보호위원회 심의/의결을 위한 요약표
위 정보보호 연간 계획과도 어느 정도 일맥상통하는 내용인데요. 정보보호 활동에 대해 정기 또는 비정기적으로 경영진들에게 보고하고, 회사에 대한 정보보호 운영 현황을 투명하게 보고해야 하죠. 특히, 추후 기고글에서 다루겠지만 정보보호 위원회 활동 결과는, 중대한 특이사항이 없다면 경영진에게 받아들여지는 사항이기 때문에, 단순히 위원 간 모여서 친목을 다지는 자리가 아니라 심의/의결 안이 명확히 마련되고 적정성 여부를 치밀하게 검토하는 실질적인 미팅이 되어야만 하죠.
이때, 경영진의 입장을 고려해서 보고해야 합니다.
단순히 서술/서사 형태의 일차원적 보고가 아니라, 원 페이퍼 형태 두괄식 표현이 고려되어야 하죠. 물론 기업마다 또는 상황에 따라 보고 형태가 달라져야 하죠.
회사는 보고 (커뮤니케이션)에서 시작해서 보고로 끝난다는 말이 있잖아요?
지속적인 정보보호 활동에 대한 보고는 무엇보다 중요합니다.
위 글이 도움이 되셨나요?
더 궁금하신 내용 등은 댓글 달아 주시면 가능한 범위내에서 답변 드려보도록 하겠습니다.
더 많은 정보보호 /개인정보보호에 관한 유용한 정보는,
https://cafe.naver.com/allaboutpriprotect 를 방문해 주세요 :)
감사합니다.
23개의 댓글이 있습니다.
늘 말로는 중요하다고 하는데 예산, 인력, 업무 지원은 야박하니.... 어쩌란 말이오~~ ㅜㅜ
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입잘봤습니다. 보안 정책은 경영진의 관심과 지원이 꼭 필요합니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입좋은 내용 잘 보았습니다.
Reply다음 내용도 부탁드려요...
댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입좋은 내용 감사합니다~
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입좋은글 감사드립니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입잘 읽었습니다~ ^^
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입정보보안 업무 1. 경영진 참여의 중요성에 대한 중요 내용 참고하겠습니다.
Reply정보보안 가이드라인으로 계속 부탁드립니다.
댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입우리회사 상무님께 공유하고픈 글 ㅎㅎ
Replyㅎㅎㅎ 감사합니다! 열심히 준비하겠습니다!
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입좋은글 잘 읽고 갑니다. 감사합니다.
Reply감사합니다. :)
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입의사 결정권 없는 사람에게 보안 대책을 만들라고 지시하는것만큼
Reply알맹이 없는 일이 없지요... 공감하며 잘 읽었습니다.
감사합니다. :)
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입저도 올해 보안실로 발령이 났는데, 이 글에 대해서 실시간 알림이라도 하고싶네요. 구독, 좋아요^^
Reply다음글 기대됩니다.
열심히 준비하겠습니다. 감사합니다!
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입IT 업무를 하면서 경영진을 어떻게 꼬시냐? 가 중요하다고 느꼈죠 , 큰틀에서 묵묵히 지원해주지만, 디테일은 믿고 맡기는 그런 경영진과 일해보고 싶네요
Reply네, 맞습니다. 현업에서 사실 '예산' 이라는 큰 과제를 어떻게 어필할지가 큰 관건이죠. 정보보안의 수준을 가시적으로 한눈에 표현하는게 중요한 것 같아요. :)
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입이후 이어질 내용이 기대되네요, ^^
Reply네, 감사합니다! 열심히 준비하겠습니다 :)
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입경영진 참여가 정말 중요하죠.
Reply자료 잘 읽었습니다.
감사합니다.
감사합니다. :)
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입좋은글 감사합니다.
혹시 정보보호 활동에서 보안 위반자에 대한 처리 기준이 별도로 있을까요?~
그냥 규정에 규정을 어겼을시 인사위원회(혹은 정보보호위원회)에 결정을 따른다.. 이런식이 대부분이라서,
어떤 어떤 항목을 위반시 경고, 징계, 등등.. 이렇게 기준을 세우시는지 궁금합니다~
좋은 하루되세요~
Reply안녕하세요 :)
Reply말씀하신 것처럼 인사위원회 회부에 대한 간략한 규정을 갖고 있는 회사도 있는 것으로 알고 있구요,
큰 규모의 회사의 경우 자체 기준을 가지고 있는 것으로 알고 있습니다.
타 금융사의 경우, 개인신용정보 모니터링 및 관련 위반 기준을 세우고, 해당 빈도, 중요도 등에 따라
강한 인사 조치로 이어지도록 잘 규정화되어 있는데요. 자세한 사항은 Confidential 자료라 더 상세하게 말씀드리기는 어려운 부분일 것 같습니다. 결론적으로, 회사마다 보안 위반자에 대한 기준은 상이할 수 있지만, 지키고자 하는 핵심 정보 (개인신용정보 등)에 대한 일단 탐지기준 부터 수립하시는게 선행되어야 하실 것 같아요. 더 궁금하신 부분이 있으시면 말씀해 주세요. 감사합니다!
댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입