[보안맨] 정보 보호 계획 수립

안녕하세요, 보안맨 입니다.

이번 기고글에서는 "정보보호 연간 계획 수립"에 관한 주제를 다루고자 합니다.

회사 규모, 업종에 따라 연간 계획 수립 시기, 방법 등이 다양할 수 있는데요. 필자가 경험했던 외국계 금융회사 기준으로 말씀 드리겠습니다.

국내 정보보호 관리체계 인증 기준 중, 연간 계획 수립 내용이 포함된 "자원 할당" 항목은 아래와 같이 정의하고 있습니다.

최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리 체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.

통상적으로 계획을 수립할 때, 연간 소요 예산, 인력 추가 채용 여부 등을 함께 검토 하는데요. 필자회사는 규모가 크지 않아, 정보보호 관련 계획은 IT 인프라/개발 등 전반적인 IT 계획과 함께 수립했습니다.

그럼, 실제 계획을 수립한 경험을 바탕으로 4단계로 구분해 말씀 드리겠습니다.

Step1. 초안 계획 수립

전년도 계획 수립 내역 등을 참고해 정보보안 담당자가 초안 계획서를 마련 했습니다. 추가적으로 아래와 같은 사항을 고려했습니다.

- 정기적인 업무 형태가 포함되었는가? (e.g. 연간 전자금융기반시설 분석/평가)

- 본사에서 요구하는 프로젝트가 포함되어 있는가? (e.g. M365 서비스 도입)

- 내부 업무 개선 활동 등이 포함되어 있는가? (e.g. 관리자 권한관리 체계 개선 - IT Audit finding)

- 그 외

Figure1. 정보보호 연간 활동 계획서 (예)

변동 가능성을 배제할 수 없지만, 활동 계획서 양식 내 수행 시기, 예산 등 최대한 구체적으로 마련해, 속된말로 "옆차기 업무"를 최대한 지양하도록 작성했습니다. 그럼에도, 예상치 못한 업무, 장애 상황 등이 있을 수 있기 때문에, 적절한 buffer 일정/예산을 고려했습니다.

추가적으로 드리고 싶은 말씀은, 위 계획서는 어디까지나 참고용일 뿐입니다. 금융회사 +On-premise/legacy 기반의 인프라를 보유하거나, 크게 서비스에 변화가 없는 회사 환경에 적절한 계획 양식이 존재하는 반면, 스타트업/클라우드 환경의 빈번한 서비스 개발/배포환경 워크로드를 지원하기 위한 microservice 형태의 인프라 환경 운영이라면 agile 한 계획 수립이 필요할 것 입니다.

Step2. 유관 부서/담당자 미팅 (1차 finalization within IT)

위 Step1 완료에 따른 초안 계획서 / 회의 안건 등을 바탕으로 IT 부서 연간 계획 수립 미팅을 진행 했습니다. 회의 참석자는 "개발팀장 / IT 부서장 (CISO) / 인프라 팀장 / 정보보호 담당자" 였습니다. 이때, 위 계획과 더불어 금융감독원에 "정보기술부문계획서" 제출을 위해 아래와 같은 사항을 토의 했습니다.

- IT 개발 측면 큰 공수가 발생 (major update to core application) 하는 업무가 존재하는가?

- IT 인프라 측면 프로세스 변경 또는 솔루션 도입 등 에 따른 예산/공수 소모가 필요한 업무가 존재하는가?

- 예산/인력 등은 전년도 대비 변동점이 없는가?

- 현 조직구조 (+IT아웃소싱 인력)의 적절한가?

- 외부주문 (IT아웃소싱 등) 현황이 적절한가?

- 사이버 보험 (약칭) 등 가입 수준/규모 등은 적절한가?

Step3. 정보보호위원회 심의/의결 (2차 finalization)

위 Step2 에 따른 IT 부서 담당자간 계획이 aligned 되었다면, 마의 고비인 '정보보호위원회 심의/의결'이 이루어져야 합니다.

ff the record 로, '정보보호기술부문 계획서' 심의/의결 agenda 외에도, 취약점 분석 평가 결과 등 여러 업무를 심의/의결하기 위해 함께 모이는 시간이 왕왕 있었습니다. 그 때, IT 측부서 측면 법률 부서면 대립각이 심존재했었습니다 정보보호위원회 간사로서 긍호적인 분위기를 만형성하기 해 이다양한 events 를 시도했던 기억이 있습니다.

당사 '정보보호위원회 운영 절차서'에 따라 (+ 전자금융감독규정 요건) IT stakeholders 외 법률 관련 부서장 등 도 정보보호위원회 멤버로 반드시 join 해야 했습니다.

이때 계획된 안건에 대해 적절성 여부를 심도있게 토의했습니다. 혹여 금융감독원에 challenge 될 수 있는 부분이 있는지 꼼꼼히 살펴봤었습니다.

- 실행이 불가능한 건은 없는지? 일부 실행안의 경우, 비지니스 부서와 사전 논의된 건 인지?

- 작년에 시행되지 않은 건들이 금년도 실행 계획에 다시 포함된 경우, 관련 사유 확인 등

Figure2. 정보보호위원회 심의/의결 관련 회의록  (예)

minor 한 부분이지만, 계획 관련 문구하나하나 심혈을 기울여 의견을 주고받았습니다.

특별히 이슈될 내용이 없다면, 관련 회의록 작성 / 공유 / 위원 서명을 통해 과반수 의결에 대한 증빙을 마련했습니다.

Step4. 경영진 보고 및 금융감독원 제출

마의 Step3 를 넘었다면, 경영진에게 계획 결과를 보고합니다. 크게 아래와 같은 문서를 첨부/요약해 보고했습니다.

- 정보보호위원회 회의록 증빙 (incl. 의결 完)

- 금년도 주요 정보보호기술 부문 계획서

경영진의 경우, 보고 내용 상 특별한 이슈가 없으면 정보보호위원회 내에서 의결한 사항을 수용했습니다.

이후 '금융감독원 보고기(프로그램)'을 통해 제출 기한내 계획서를 무사히 제출합니다.

본 기고글이 현업에 도움 되셨으면 좋겠습니다.

궁금하신 사항은 댓글 또는 쪽지를 통해 말씀해 주세요.

고맙습니다.