반응형
1. 정보보호 거버넌스의 배경
정보보호 거버넌스는 기업의 전략과 목표에 기초를 두고 있으며 탄생 배경은 아래와 같다.
- 정보보호에 대한 투자가 현업부서의 목적과 부합해야 한다는 요구가 증대되고 있음
- 정보 기술이 기업의 핵심 요소로 자리 잡으면서 가시성에 대하여 이사회와 경영진의 요구가 증대되고 있음
- 이사회 및 경영진이 회사의 위험이 적절한 수준으로 관리되고 있음을 감독할 수 있는 메커니즘을 제공해야 함
2. 정보보호 거버넌스의 목적
정보보호 거버넌스는 아래와 같은 활동이 적절하게 이루어지고 있는지 보장하는 것을 목적으로 하고 있다.
- 위험이 적절한 수준으로 감소하여야 함
- 정보보호 투자가 적절한 방향으로 이루어지고 있음 보증해야 함
- 정보보호 프로그램의 효과성과 가시성을 경영진에게 제공해야 함
3. ITGI(IT Governance Institue) 와 정보보호 거버넌스
IT 거버넌스와 IT 통제의 프레임워크인 COBIT으로 시작하여 전 세계 비즈니스 업계에 가이드를 제시하는 독립적인 비영리 연구기관인 ITGI는 정보보호 거버넌스는 IT 거버넌스와 연계된다고 정의하고 있다. 여기서 IT 거버넌스란 IT와 IT 프로세스의 위험과 수익 사이에 균형을 유지하면서 가치를 창출하고 기업의 목적을 달성하기 위한 기업 통제의 관계 구조 및 프로세스를 말하고 있다.
3. 이사회와 경영진의 역할
이사회의 역할 | 경영진의 역할 |
1. 보안 정책, 절차에 대한 방향을 설정 2. 보안 활동을 위한 자원을 제공 3. 책임 할당을 지휘 4. 우선순위 결정 5. 위험관리 문화를 조성 6. 내/외부 감사를 통한 보증활동 7. 보안 프로그램의 효과성을 감독 |
1. 비즈니스를 고려하여 보안정책을 개발 2. 책임 및 역할 적의와 이에 대한 의사소통을 진행 3. 위협과 취약점을 식별 4. 보안 인프라 구축을 수행 5. 보안 정책에 대한 통제 프레임워크를 구축 6. 침해사고 모니터링 진행 7. 주기적인 검토 및 테스트 진행 8. 보안인식교육 시행 9. SDLC(System Development Life Cycle, 시스템 개발 수명주기) 에 보안 요소를 구현 |
반응형
'certificate > CISA&CISSP' 카테고리의 다른 글
[CISA] CISA(Certified Information Systems Auditor) (0) | 2021.06.01 |
---|