“ [CISM 특집] ⑤CISM-정보보안 프로그램 관리
사이버사회의 양적·질적 팽창으로 인해 사이버 공간에 대한 질서와 체계 그리고 보안을 확립시켜가야 한다는 것이 이제 사회 전반적인 화두가 되고 있다. 또 국가와 기업에서는 이를 총괄 관리할 수 있는 조직과 인재가 절실한 상황이다. 이번 주부터 매주 8회분에 걸쳐 CISO(Chief of Information Security Officer: 정보보안담당 이사)의 필요성을 조명하고 CISM 자격증에 대해서도 집중 소개하는 시간을 갖도록 하겠다. 필자는 IT컨설팅 및 감리법인 (주)키삭 조희준 책임컨설턴트. <편집자 주>
[게재 순서]
①CISM 소개
②CISM 시험영역: 정보보안 거버넌스
③CISM 시험영역: 정보위험관리
④CISM 시험영역: 정보보안 프로그램 개발
⑤CISM 시험영역: 정보보안 프로그램 관리
⑥CISM 시험영역: 사고대응관리
⑦ISMS(정보보안관리체계)
⑧산업보안
체계적으로 잘 만들어진 업무지침이 있다고 가정하자. 그 업무지침이 서류함에 잘 보관된 채로 그 누구도 꺼내어 활용하지 않는다면 아무 소용이 없어지는 것이 아닌가? 조직과 비즈니스의 전략과 연계하여 정보보안거버넌스에 의해 보호되어야 할 정보보안을 위험관리를 거쳐 정보보안프로그램개발까지 잘 만들어졌다.
정보보안을 위한 준비는 최적화되었다고 볼 수 있지만 효과적이고 효율적으로 운영되기 위해서는 통제와 감시를 통해 관리를 잘 해주어야 한다. 기업의 정보보안담당이사로서 CISM은 정보보안프로그램관리를 통해 종착점인 정보보안의 완성을 이루어야 한다.
CISO(Chief of Information Security Officer: 정보보안 담당이사)로서의 CISM 국제 자격증 시험 영역의 4번째 주제는 정보보안프로그램관리로서, 구체화되어 수행되고 있는 정보보안프로그램을 관리, 감독하는 단계인 것이다. CISM이라는 먼 여정에서 이제 신발끈을 한번 더 동여매고 도착점을 향해 한걸음 더 나아가야 하는 것이다. 여행은 계속 되어야 하고 목적지까지는 도착하여야 한다. 이번 연재에서도 CISM의 입장에서 즐거운 여행이 되길 바란다.
CISM 4장 정보보안프로그램관리
계획되고 개발된 정보보안프로그램에 의해 수행되는 일련의 정보보안관련 활동들은 감시, 관리, 감독하기 위해 CISM은 효과 효율적인 것에 초점을 두어야 한다. 정보보안 목적 자체를 달성하는 것을 효과적이라고 한다면 그 목적달성을 시간, 비용 등의 제약사항 하에서 투자대비 최대화하여 이루어질 때 효율적이라 할 수 있다.
감시,관리,감독을 위해서 CISM은 다양한 정보보안에 대한 기법을 알아야 하며 항상 나침반을 손에 쥐고 정보보안정책에서 세부지침까지 일관되게 적용되는지 방향성 있는 보증을 제시하여야 한다. 정보보안정책의 준수성과 효과성, 효율성을 측정하고 감시(monitor)하기 위한 측정기준(metrics)을 사용하며, 이 감시와 측정기준은 보고(report)되어야 하고 또한 분석되어 추세분석(trend analysis) 되어야 한다. 추세 분석된 정보보안의 내용은 정보보안거버넌스에 다시 환류(feedback)되어 조직과 경영의 전략과 일치되는지를 재 조명하게 되는, 정보보안거버넌스의 고리(cycle)를 형성하게 된다. (아래 그림 참조)
정보보안프로그램관리에서 실질적인 관리의 핵심은 사람에게 있다고 할 수 있다. 조직이나 기업의 문화가 얼마나 정보보안에 대해 인식되고 내재화(in place)되어 있는지, 고위경영진에 의해 강조되는지, 지속적으로 보안인식 교육(security awareness program)이 발표, 공지되는가에 따라 정보보안프로그램의 성패가 좌우 될 수 있다고 하겠다.
정보보안프로그램관리 영역은 9개의 수행활동(Task Statement)과 그에 따른 세분화된 지식 성명서(Knowledge Statement)로 구성되어 있다.
CISM 에게 던지는 질문
“정보보안정책이 잘 이행되기 위한 가장 좋은 방법은 어떤 방법이 있을까요? 라고 CISM에게 질문을 한다면?
현실적인 여러 가지 대답이 나올 수 있을 것이다.
“정보보안정책을 출력해서 모든 직원에게 배포한다.” 혹은 “정보보안정책을 준수하지 않을 경우 불이익을 준다” 등의 방법론을 운운 하게 될 것이다.
하지만 4장 정보프로그램개발관리에서는 “정보보안정책의 준수성에 대해 주기적 관찰을 실시한다” 라고 추천하고 있다. 잘 만들어진 제도는 그 시행여부와 준거성 여부를 주기적으로 관찰하고 평가해 주어야 한다는 것이 CISM이 가져야 할 역할과 책임인 것이다.
CISM의 시험영역 제 4장 정보보안프로그램관리를 통하여 정보보안 정책과 실행의 준거성은 주기적으로 관찰하고 항상 처음 만들 때의 목적과 방향이 맞는지를 묻고 답해야 한다. 마치 우주선을 쏘아 올리는 것과 같다고 본다. 우주선을 쏘아 올릴 때 우주선 제일 앞에 장착된 컴퓨터는 1초에도 수십 번의 경로 재 탐색을 한다고 한다. 바람, 지구의 자전, 우주선의 무게 등등의 변화요소를 계속 점검하고 재 계산하여 목적지로 간다는 것이다.
또한 사람(조직구성원)과 정보보안의 관계 또한 CISM이 겪어 내야 할 난제 중 하나이다. 정보보안의 최대 약한 고리라는 사람을 이용한 사회공학(social engineering)이 전화사기(phishing)와 인터넷사기(pharming) 그리고 정보보안프로그램의 관리에 취약성으로 나타나기 쉽다. 정보보안인식 프로그램에 CISM이 앞장서서 주도 할 때 이 난제를 극복할 수 있으리라 생각한다. CISM은 정보보안의 지식뿐 아니라 지혜로 발전시킬 수 있어야 하지 않을까? 라고 질문을 던져본다.
보다 자세한 내용은 www.isaca.or.kr 혹은 www.lyzeum.com에서 찾아볼 수 있다.
참고자료 및 출처
http://www.isaca.org
http://www.isaca.or.kr
http://www.lyzeum.com
Information Security Governance-Guide for BOD and Executives, ITGI, 2004
Information Security Governance, ITGI, 2008
CISM Review Manual, ISACA. 2006~2008
CISM Review Questions/Answer/Explanations Manual, ISACA, 2008
[필자 약력]
-기고자: 조 희 준
-IT컨설팅 및 감리법인 (주)키삭 책임컨설턴트 재직 중
-고려대학교 대학원 감사 행정학과 재학 중
-(사)한국정보시스템 감사통제협회 ISACA GRA 연구회원
-한국 CISSP 협회 ISC2 Korea 교육연구분과 교육팀장
-CISM, CGEIT, CISA, COBIT, CISSP, PMP, ITIL, CIA, IT-EAP, ISO 27001 정보시스템 감리원
글·조희준(CISM, CGEIT, CISA, COBIT, CISSP, PMP, ISO27001, CIA, 정보시스템감리원) / josephc@chol.com
[정리 길민권 기자(reporter21@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
“ |
