* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net

정보보안 거버넌스의 정의

(*)출처:마이크로소프트

정보보안 거버넌스는 정보의 무결성, 서비스의 연속성, 정보자산의 보호를 위한 것으로, 기업 거버넌스의 부분집합으로서 전략적 방향을 제시하며 목적달성, 적절한 위험관리, 조직자산의 책임있는 사용, 기업 보안프로그램의 성공과 실패가 모니터링됨을 보장하는 것이다.

IT 거버넌스에 포함되어 있는 정보보안 거버넌스는 기업의 정보보안 전략을 정보보안 자원 (정보자산의 보호, 기밀성, 무결성, 가용성)에 전략적으로 연계하는 것이 목적이다. 정보보안 거버넌스를 간략히 정의하면 다음과 같다. 기업 거버넌스에 필수적이고 투명한 부분이 되어야 하며, IT 거버넌스 프레임워크와 연계되어야 한다. 그리고 이사회와 경영진에서 책임을 져야 하는 것이 정보보안 거버넌스이다. 정보보안 거버넌스는 IT 거버넌스의 3가지 구성요소를 그대로 따르고 있는데, 정보를 보호하는 리더십, 조직구조, 프로세스로 구성되어 있다. 즉, 다음 그림과 같이 정보보안 거버넌스가 IT 거버넌스에 포함되어 있다는 의미이다.

기업 거버넌스, IT 거버넌스와 정보보안 거버넌스 영역
(출처:마이크로소프트)

정보보안 거버넌스에 3대 요소

  • Integrity of Data(데이터 무결성)
  • Service Continuous(서비스 연속성)
  • Protection of information Asset(정보자산의 보호)

보안의 3요소

  • Confiden tiality(기밀성)
  • Integrity(무결성)
  • Availability(가용성)


(출처:[CISM 특집] ②CISM-정보보안 거버넌스, 보안뉴스)
ISACA (Information System Audit & Control Association)의 ITGI(IT Governance Institute)에서 정의한 정보보안 거버넌스는 전략적 경영의 방향을 제공하는 고위경영진 및 이사회가 수행하는 책임과 실제업무의 조합이며 경영목표를 달성하는 것을 보증하고 위험을 적절히 관리하고 있고 기업의 자원이 책임있게 사용되고 있음을 확인하는 것으로 정의하였다. 이 정의는 IT거버넌스의 5개 도메인의 내용에서 출발한 것이라 할 수 있다.


(출처:보안뉴스)

정보보안을 상위레벨의 고위경영진에서 실무진까지 이어지는 효과적인 측정기준에 거버넌스를 적용하여 표현하였다. 이를 보안 측정치의 구성요소(Components of Security Metrics)라고 하는데 고위경영진과 이사회등 상위레벨의 강력한 지원을 기반으로 실무 수행적인 보안정책과 절차가 만들어져서 이는 반드시 계량화 되어 측정 가능한 성과치로 나타나며 결과적으로 분석되어 져야 한다.


(출처:보안뉴스)

정보보안 거버넌스 영역은 8개의 수행활동(Task Statement)과 그에 따른 세분화된 지식 성명서(Knowledge Statement)로 구성되어 있다.

수행활동
Task 1.1 비즈니스의 목표와 목적을 연계하는 정보보안 전략을 개발
Task 1.2 기업 거버넌스와 정보보안 전략의 연계
Task 1.3 정보보호의 투자를 정의할 수 있는 비즈니스 Case의 개발
Task 1.4 정보보안에 영향을 미치는 현재 및 잠재적 법규와 규정사항을 식별
Task 1.5 기업에 영향을 미치는 요인을 식별 (기술, 기업환경, 위험, 지리적 위치)
Task 1.6 정보보안에 대한 고위경영진의 권한 위임 획득
Task 1.7 조직전반에 걸쳐 정보보안을 위한 역할과 책임을 정의
Task 1.8 정보보안을 지원하는 내부 및 외부 보고활동을 수립