정보보호 위원회

정보보호 위원회

안녕하세요보안맨 입니다.

이번에 소개해 드릴 주제는 정보보호위원회’ 인데요이미 여러 금융회사제조기업 등에서 정보보호위원회가 설치/운영되고 있습니다.

이때정보보호위원회는 역할 및 책임 등이 명확해야 하고어떤 안건을 가지고 심의/의결해야 하는지 규정되어야 하는데요.

이번 시간에는 크게 


1) ‘정보보호위원회 설립/운영에 관한 규정 마련’, 

2) ‘정보호위원회가 심의/의결 사례를 살펴 보도록 하겠습니다


다만필자의 경험상 금융회사 사례를 중심으로 작성되며모든 세부적인 내용에 대해서 작성될 수 없는 점 미리 양해 부탁 드립니다.



  • 1.정보보호위원회 설립/운영 관련 규정

정보보호위원회의 주기적인 운영/관리가 가능하도록 위원회의 구성역할책임주기 등을 정의한 규정이 마련되어야 하는데요필자의 경우상위 정책/지침서에 위원회의 당위성을 짧게 거론하고세부적인 설치/운영에 관한 사항을 절차서 수준으로 내규화 했었습니다.

절차서 마련 시 아래와 같은 사항이 고려되시면 좋을 것 같습니다.

Figure 1. 정보보호위원회 설치 및 운영에 관한 절차서 – 목차표

  • 정보보호위원회의 구성 및 운영 목적본사 상위 규정 또는 관련 법령 (e.g. 전자금융감독규정참고

  • 위원회 구성관련 법령 참고 (e.g. 준법감시부서(), 정보보호책임자, IT 개발/인프라팀()

  • 위원회의 임무관련 법령에서 정한 사항 등 (e.g. 취약점 분석 평가 결과보안성 심의정보기술부문계획서 등 다수)

  • 역할 및 책임:

  • -위원장은 로 정함

  • -정보보안 간사는 회의록 작성 및 보고 등

  • -위원회에서 의결한 사항은 위원장이 경영진에게 직접 보고 등

  • 회의록

  • -위원들이 이해할 수 있는 수준의 심의/의결 관련 자료 마련

  • -회의 시각 위원간 질의/응답에 따른 보완점재 심의 사항 등 기록

  • 관련 내부 규정 등 다수


  • 1.정보보호위원회 심의/의결 사례

  • 가.정기적

Figure 2. 취약점 분석/평가 결과 관련 정보보호위원회 회의록

위 내용은 전자금융기반시설 취약점 분석/평가에 대한 최종 결과 자료인데요위원들이 한눈에 쉽게 파악할 수 있도록 표로 정리 되었습니다전체 평가 자산 수량취약점 개수조치 계획 등을 확인하실 수 있는데요 

심의 시보통 준법 부서 담당자는 고위험 취약점 (risk=high)에 대한 빠른 조치를 원합니다

취약점이 존재하는 것 자체가 조직 측면에서 위험이기 때문이죠하지만, IT 인프라팀이나개발팀에서는 내부 공수예산 등의 사유로 모든 중요한 취약점을 단기간에 조치할 수 없는 한계가 존재하죠따라서모든 위원이 납득할 수 있는 자료를 만들고 설득력 있게 발표될 수 있도록담당자의 치밀한 준비가 굉장히 중요합니다.

예를 들어단기간에 조치할 수 없는 high 취약점인 경우대체 보안 통제 방안을 제시할 수 있다면 금상첨화겠지요.

최종적으로 위원의 과반수가 결과에 대해 동의하면 (=의결), 의결 사항은 최고 경영자에게 보고됩니다이때경영진의 선호하는 보고 방식예상 질문 등을 미리 준비하시면 좋을 것 같습니다.

(e.g. 작년 대비 올해 네트워크 자산 관련 취약점이 증가한 사유 등)


  • 가.비 정기적

Figure 3. 망분리 적용 예외 보안성 검토 관련 회의록

필자의 이전 회사에서내부망에 위치한 개인정보처리시스템을 외부에 있는 A회사에서 접근해야해서 내부적으로 이슈화 된 케이스가 있었습니다

이 때첫번째로 진행했던 사항은 관련 근거가 무엇인지 파악하는 것 이었습니다

망분리 예외 관련 전자금융감독규정 시행세칙을 확인하고법적으로 저촉되는 부분이 없는지 확인해야 했습니다

이후 관련 업무 현황을 분석하기 위해 각 부서 담당자들과의 인터뷰를 진행하고기술적으로 각 솔루션들의 설정값 등을 확인 했었습니다 

현황 Gap 분석을 통해단기간 조치 사항장기간 조치 사항위험 수용이 따르는 항목 등을 일목요연하게 표로 정리하고정보보호위원회로부터 심의/의결을 득 하였습니다.


읽어 주셔서 감사합니다기고글이 조금이나마 도움이 되셨나요?

궁금하신 사항 또는 기타 좋은 의견 등은 댓글을 남겨 주세요.

감사합니다오늘도 행복하세요J

8개의 댓글이 있습니다.

4달 전

IT의 부업무(?) 인 정보보안 관련 내용 잘 참고해보겠습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4달 전

잘 참고하겠습니다~ 감사합니다

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4달 전

좋은정보 알려주셔서 많은 도움이 되내요 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4달 전

좋은 정보 감사드립니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4달 전

덕분에 큰회사들은 보안에 대한 내부규정을 어떻게 하는구나 엿보고 많이 배우고 있습니다 감사합니다~

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4달 전

정보보호위원회에 대해 잘 알게 됐습니다.
감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4달 전

"정보보호 위원회" 말만 들어 봤지, 무엇을 하는지에 대해서는 알지 못했는데,
이 글을 보고 조금이나마 알게 되었네요~~
감사합니다. ^^

Reply

4달 전

:) 조금이나마 도움이 되셔서 다행입니다. 더 알찬 주제로 찾아 뵙겠습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입