[정보보안 업무][보안맨] #1 보안, 경영진 참여의 중요성

< Chapter 01. 보안, 경영진 참여의 중요성 >

안녕하세요, 보안맨 입니다.

이 글은 제가 금융회사, 정보보호 전문 업체 등에서 정보 보안 업무를 맡으면서 겪은 경험, 노하우 등을 공유해, IT보안 직무에 관심이 있으신 ‘취업 준비생’ 또는 ‘초보 현업 보안 담당자’에게 조금이나마 도움이 되고자 작성하였습니다.

이번 글의 주제는 ‘보안, 경영진 참여의 중요성’입니다. 업종별 또는 회사 특성에 맞는 경영진의 참여를 이끌어 내는 방식도 다양한데요.

최고 경영자는 정보보호 및 개인 정보보호 관리체계의 수립과 운영 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영해야 합니다. 사실, 추상적이고 막연하기만 한 주제입니다. 
높은 경영진분들을 모시고 회의라뇨, 엄두도 나지 않죠.

사실 최고 경영자는 많은 권한을 CISO(정보보호 책임자)에게 위임합니다. 
그렇다고, 최고 경영자의 참여가 아예 없을 수 있는 건 아닌데요.

관련 경험, ISMS (Information Security Management System from KISA) 기준 등을 고려해 준비한 아래 항목을 살펴보시면 도움이 되실 것 같습니다.

• 1.정보보호 책임 및 역할 명시 (규정)

Figure1. 정보보호 정책서 – 역할 및 책임

경영진에 대한 역할과 책임에 대해 회사 내부 규정서에 명확하게 명시되어 있어야 하죠. 
‘정보보호 정책서 내 경영진은 정보보호에 대한 의사결정 책임을 갖고 참여해야 한다’고 말이죠. 
단순히 규정서 역할을 문서화하는 것뿐만 아니라, 실질적인 정보보호 활동에 경영진들이 참여하고, 그 중요성을 인식해야만 하죠. 참고로, 정보보호 정책 및 지침/절차서 관리, 제/개정 방법은 다음 기고 글에서 다루도록 할게요.

• 1.정보보호 연간 계획(또는 전략) 수립/보고

Figure2. 정보보호 연간 활동 계획서

각 회사 관련 법/관련 규정 (e.g. 개인정보보호법, 정보통신망법 등) 또는 정보보호 인증/심사(e.g. ISMS-P, PCI-DSS 등), 또는 기타 내부적인 사유 (e.g. DRM 솔루션 도입)에 따른 관련 정보보호 활동에 대한 연간 계획을 연초에 수립하고 경영진에게 보고하는 것이 매우 바람직하죠. 이때, 어느 정도 주기로, 언제까지, 예산은 어느 정도 들지 세부적인 안을 보고하게 되면, 정보보호 활동에 대한 구체적인 근거가 마련되는 거죠. 

더 나아가 각 활동 별 세부 지표(KPI, Key Performance Index)가 마련되고, 각 정보보호 활동에 대해 진행 현황을 주기적으로 보고/개선할 수 있다면 더 좋을 것 같습니다.

• 1.ISO27001, ISMS 등 대외 심사 시, 경영진의 참여

Figure3. ISO27001 사후심사 스케줄 표

많은 말단 직원분들이 그렇듯 경영진(임원급 이상) 과의 소통을 어려워하죠. 특히 경영진의 황금 같은 시간을 빌려 오픈 미팅 (e.g. ISO27001에 대해 진행하는 사유, 주요 점검 방향 논의 등) 참석을 요청드리는 게 보통 쉬운 일이 아니죠. 
저 또한 그랬으니까요. 심지어 심사원과 어느 정도 일정에 대해 협의가 된다면, 해당 일정에 대한 생략이 가능하기도 합니다. 하지만 역으로 생각하면, 회사의 공식적인 정보보호 활동/수준에 대해 인지하실 수 있는 귀한 시간이기도 합니다. 보통 정보보호팀, IT부서가 뭘 하는지 관심조차 없으시거든요.

직접 대면이 어려우시다면, 팀장님/부서장님을 통해서라도 이 기회, 꼭 활용하셔야겠지요?

• 1.정보보호 온라인/오프라인 교육 시 경영진의 발언

Figure4. 교육 일정 관련 전 직원 공지 메일

요즘 코로나-19 때문에 많은 기업이 정보보호 교육을 온라인으로 진행하고 있는데요.

전문 기업에 교육 위탁 형태로 100% 진행할 수도 있습니다. 다만, IT 보안 부서에서 임직원에게 정보보호 인식 향상 관련 사항 (e.g. 메일 사용의 중요성, 랜섬웨어 주의 등)를 교육 진행 전, 경영진에게 간단히 당부의 말 차원에서 Session을 부탁드린다면, 경영진, 임직원 모두 경각심을 가질 수 있는 귀한 시간이 될 것 같습니다.

• 1.정보보호위원회 활동 보고

Figure5. ‘취약점 분석 평가’ 관련 정보보호위원회 심의/의결을 위한 요약표

위 정보보호 연간 계획과도 어느 정도 일맥상통하는 내용인데요. 정보보호 활동에 대해 정기 또는 비정기적으로 경영진들에게 보고하고, 회사에 대한 정보보호 운영 현황을 투명하게 보고해야 하죠. 특히, 추후 기고글에서 다루겠지만 정보보호 위원회 활동 결과는, 중대한 특이사항이 없다면 경영진에게 받아들여지는 사항이기 때문에, 단순히 위원 간 모여서 친목을 다지는 자리가 아니라 심의/의결 안이 명확히 마련되고 적정성 여부를 치밀하게 검토하는 실질적인 미팅이 되어야만 하죠.

이때, 경영진의 입장을 고려해서 보고해야 합니다. 
단순히 서술/서사 형태의 일차원적 보고가 아니라, 원 페이퍼 형태 두괄식 표현이 고려되어야 하죠. 물론 기업마다 또는 상황에 따라 보고 형태가 달라져야 하죠. 
회사는 보고 (커뮤니케이션)에서 시작해서 보고로 끝난다는 말이 있잖아요?

지속적인 정보보호 활동에 대한 보고는 무엇보다 중요합니다.

위 글이 도움이 되셨나요?

더 궁금하신 내용 등은 댓글 달아 주시면 가능한 범위내에서 답변 드려보도록 하겠습니다.

더 많은 정보보호 /개인정보보호에 관한 유용한 정보는,

https://cafe.naver.com/allaboutpriprotect 를 방문해 주세요 :) 

감사합니다.