¡°[CISM ƯÁý] ¨éCISM-Á¤º¸À§Çè°ü¸®
[ÀԷ³¯Â¥: 2009-03-05]
CISM, ¡°Á¤º¸º¸¾ÈÀÇ Èð¾îÁ® ÀÖ´Â ¸¹Àº ¿ä¼ÒµéÀ»
Á¶Á÷ ¸ñÀû¿¡ ¸Â°Ô ±¸¼ºÇÏ´Â ÁöÇý°¡ ÇÊ¿äÇØ¡±
»çÀ̹ö»çȸÀÇ ¾çÀû¡¤ÁúÀû ÆØâÀ¸·Î ÀÎÇØ »çÀ̹ö °ø°£¿¡ ´ëÇÑ Áú¼¿Í ü°è ±×¸®°í º¸¾ÈÀ» È®¸³½ÃÄÑ°¡¾ß ÇÑ´Ù´Â °ÍÀÌ ÀÌÁ¦ »çȸ Àü¹ÝÀûÀΠȵΰ¡ µÇ°í ÀÖ´Ù. ¶Ç ±¹°¡¿Í ±â¾÷¿¡¼´Â À̸¦ ÃÑ°ý °ü¸®ÇÒ ¼ö ÀÖ´Â Á¶Á÷°ú ÀÎÀç°¡ Àý½ÇÇÑ »óȲÀÌ´Ù. À̹ø ÁÖºÎÅÍ ¸ÅÁÖ 8ȸºÐ¿¡ °ÉÃÄ CISO(Chief of Information Security Officer: Á¤º¸º¸¾È´ã´ç ÀÌ»ç)ÀÇ Çʿ伺À» Á¶¸íÇÏ°í CISM ÀÚ°ÝÁõ¿¡ ´ëÇؼµµ ÁýÁß ¼Ò°³ÇÏ´Â ½Ã°£À» °®µµ·Ï ÇÏ°Ú´Ù. ÇÊÀÚ´Â ITÄÁ¼³Æà ¹× °¨¸®¹ýÀÎ (ÁÖ)Å°»è Á¶ÈñÁØ Ã¥ÀÓÄÁ¼³ÅÏÆ®. <ÆíÁýÀÚ ÁÖ>
[°ÔÀç ¼ø¼]
¨çCISM ¼Ò°³
¨èCISM ½ÃÇ迵¿ª: Á¤º¸º¸¾È°Å¹ö³Í½º
¨éCISM ½ÃÇ迵¿ª: Á¤º¸À§Çè°ü¸®
¨êCISM ½ÃÇ迵¿ª: Á¤º¸º¸¾ÈÇÁ·Î±×·¥°³¹ß
¨ëCISM ½ÃÇ迵¿ª: Á¤º¸º¸¾ÈÇÁ·Î±×·¥°ü¸®
¨ìCISM ½ÃÇ迵¿ª: »ç°í´ëÀÀ°ü¸®
¨íISMS(Á¤º¸º¸¾È°ü¸®Ã¼°è)
¨î»ê¾÷º¸¾È
ù ¹ø° ±Û¿¡¼´Â CISMÀÇ ÇâÈÄ ±â¾÷ ³»¿¡¼ÀÇ CISO(Chief of Information Security Officer: Á¤º¸º¸¾È ´ã´çÀÌ»ç)·Î¼ÀÇ ÀÚ¸®¸Å±èÀ» ¾ê±â ÇÏ¿´°í, µÎ ¹ø° ±Û¿¡¼´Â CISM ±¹Á¦ ÀÚ°ÝÁõ ½ÃÇè ¿µ¿ªÀÇ 5°¡Áö Áß Ã¹ ¹ø° ¿µ¿ªÀÎ Á¤º¸º¸È£°Å¹ö³Í½º¸¦ »ìÆ캸¾Ò´Ù. À̹ø È£´Â ¼¼ ¹ø° ½Ã°£À¸·Î ½ÃÇ迵¿ªÀÇ µÎ ¹ø°ÀÎ Á¤º¸À§Çè°ü¸®¿¡ ´ëÇØ ¾ê±â ÇØ º¸ÀÚ°í ÇÑ´Ù. CISMÀ» ¿©ÇàÄÚ½º·Î »ý°¢ÇÏ°í Áñ°Ì°í À¯ÀÍÇÑ ¿©ÇàÀÌ µÇ¾úÀ¸¸é ¹Ù¶õ´Ù.
CISM 2Àå Á¤º¸À§Çè°ü¸®
Information Risk Management¶ó°í ÇÑ´Ù¸é CISM¿¡¼ ¾ê±âÇÏ´Â À§Çè(Risk)À̶õ ¹«¾ùÀΰ¡? ¿äÁò À§Çè°ü¸®¶ó´Â ¾ê±â´Â ÇÁ·ÎÁ§Æ®ÀÇ »ç¾÷°ü¸®¿¡ ²À Æ÷ÇԵǾî ÀÖ°í, IT»Ó ¾Æ´Ï¶ó ±âŸ ±âȹ¾÷¹«, ¿î¿µ¾÷¹«¿¡¼µµ À§Çè¿¡ ´ëÇØ ½Äº°ÇÏ°í ´ëÀÀÃ¥À» ¼ö¸³ÇÏ¿´´ÂÁö Á¡°ËÇÏ°í ÀÖÀ¸¸ç, IT°¨»ç ¹× °¨¸®¿¡¼´Â À§Çè°ü¸®¸¦ ÇϳªÀÇ ÁÖÁ¦·Î Á¤Çسõ°í ÁýÁßÀûÀ¸·Î Á¶¸íÇϱ⵵ ÇÑ´Ù. ±×·¸´Ù¸é À§ÇèÀ̶õ °ÍÀÌ ¹«Á¶°Ç ºÎÁ¤ÀûÀÎ ¼ºÁúÀ» °®°í ÀÖ¾î¼ ±ú¾îÁö±â ½¬¿î »ì¾óÀ½À» ´Ù·çµíÀÌ ÇÏ´Â °ÍÀϱî? CISM¿¡¼´Â À§ÇèÀ» ºÒÈ®½Ç¼º(Uncertainty)À¸·Î Á¤ÀÇÇÑ´Ù. ºÒÈ®½ÇÇÏ´Ù´Â °ÍÀº ±×°ÍÀÌ ±àÁ¤Àû(positive)ÀÎÁö ºÎÁ¤Àû(negative)ÀÎÁö¸¦ ¾Ë ¼ö ¾ø´Ù´Â °ÍÀÌ´Ù. À§Çè°ü¸®´Â ±×·± ºÒÈ®½Ç¼ºÀ» ½Äº°Çؼ ±àÁ¤Àû ¿ä¼Ò¸¦ Çâ»ó½ÃÅ°¸ç ºÎÁ¤Àû ¿ä¼Ò¸¦ ÃÖ¼ÒÈ ÇÏ´Â °ÍÀÌ´Ù.
Á¤º¸º¸¾È°ü¸®¶õ ±â¾÷ÀÇ ÇÙ½ÉÀÚ»êÀÎ Á¤º¸¿¡ ´ëÇÏ¿© À§Çè¿¡ ³ëÃâµÉ Ãë¾à¼º(Vulnerability)À» ºÐ¼®ÇÏ°í ÀÌ Ãë¾à¼º¿¡ À§ÇùÀÌ(Threat) °¡ÇØÁú ¶§ÀÇ ¿µÇâÀ» °è·®ÈÇÏ¿© ´ëÀÀÃ¥(Countermeasures)À» ¼ö¸³ÇÏ´Â ÀÏ·ÃÀÇ ÁÖ±âÀû °ü¸®¼øȯü°èÀÎ °ÍÀÌ´Ù.
¶ÇÇÑ À§ ±×¸²¿¡¼ º¸µíÀÌ À§ÇèÀ» ÅëÁ¦(¿ÏÈ) ÇÏ´õ¶óµµ ³²¾ÆÀÖ´Â À§ÇèÀÌ Àִµ¥ À̸¦ ÀÜ¿©À§Çè(residual risk)¶ó¸ç Çϸç ÀÜ¿© À§ÇèÀÇ ¼öÁØÀº °æ¿µÁø¿¡ ÀÇÇؼ °áÁ¤µÈ´Ù. À§ÇèÀÚü´Â ¿ÏÀüÈ÷ Á¦°ÅµÇÁöµµ ¾ÊÀ»»Ó´õ·¯ (Á¤º¸¶ó´Â ÀÚ»êÀÇ À§ÇèÀº ±Þº¯Çϴ ȯ°æ°ú ¹ÐÁ¢Çؼ Ç×»ó »õ·Î¿î À§ÇèÀ» ¹ß»ýµÇ±â ¸¶·ÃÀÌ´Ù.) ¿ÏÀü¿¡ °¡±õ°Ô Á¦°Å ȤÀº ¿ÏÈÇϱâ À§Çؼ´Â µæ°ú ½ÇÀ» µûÁ®ºÁ¾ß ÇÑ´Ù. ÀûÁ¤¼öÁØÀÇ À§Çè°ü¸®¼öÁØ(ALR: Acceptable Level of Risk)À» °æ¿µÁøÀÌ Á¤ÇÏ°Ô µÇ´Â ÀÌÀ¯°¡ ¿©±â¿¡ ÀÖ´Â °ÍÀÌ´Ù. ¾Æ·¡ ±×¸²Àº ALR¸¦ ¼³¸íÇØ ³õÀº °ÍÀÌ´Ù.
Á¤º¸À§Çè°ü¸® ¿µ¿ªÀº 7°³ÀÇ ¼öÇàÈ°µ¿(Task Statement)°ú ±×¿¡ µû¸¥ ¼¼ºÐÈµÈ Áö½Ä ¼º¸í¼(Knowledge Statement)·Î ±¸¼ºµÇ¾î ÀÖ´Ù.
CISM ¿¡°Ô ´øÁö´Â Áú¹®
¡°À§Çè°ü¸®´Â À§ÇèÆò°¡¿Í À§ÇèÅëÁ¦(¿ÏÈ)¿Í ¶Ç ¹«¾ùÀ¸·Î ±¸¼º µÇ´Â ÀÏ·ÃÀÇ °ü¸®Ã¼°èÀΰ¡¡±¶ó°í CISM¿¡°Ô Áú¹®À» ÇÑ´Ù¸é?
¿ª½Ã ¿©·¯ °¡Áö ´ë´äÀÌ ³ª¿Ã ¼ö ÀÖÀ» °ÍÀÌ´Ù.
¡°À§Çè°ü¸®¼öÁØ(ALR)¡± ȤÀº ¡°À§ÇèÀÇ ¼ö¿ë(acceptance)¡±, ¡°À§ÇèÀÇ ´ëÀÀÃ¥(countermeasures)¡± µîµî Á¤º¸À§Çè°ü¸®¸¦ ±¸¼ºÇÏ´Â ¿ä¼Ò¸¦ ²¨³»°Ô µÉ °ÍÀÌ´Ù.
ÇÏÁö¸¸ 2Àå Á¤º¸À§Çè°ü¸®¿¡¼´Â ¡°À§Çè¿¡ ´ëÇÑ Áö¼ÓÀûÀÎ °¨½Ã(monitoring)¡±¶ó°í ÃßõÇÏ°í ÀÖ´Ù. À§ÇèÀ» ÅëÁ¦ÇÏ°í ±×°ÍÀÌ ¾ó¸¶¸¸Å Á¶Á÷ÀÇ ¸ñÀû´Þ¼º°ú ¿¬°èµÇ´ÂÁö Áö¼ÓÀûÀ¸·Î °ü½ÉÀ» °®´Â °ÍÀÌ CISMÀÌ ÇØ¾ß ÇÒ ÀÏÀÎ °ÍÀÌ´Ù.
CISMÀÇ ½ÃÇ迵¿ª Á¦ 2Àå Á¤º¸À§Çè°ü¸®´Â µ¿¼°í±ÝÀÌ ¹Ù¶óº¸´Â ½Ã°¢ÀÌ °°´Ù°í »ý°¢ÇÑ´Ù. ¡°À§±â¡±¶ó´Â ´Ü¾î´Â À§Çè°ú ±âȸ¶ó°í Çß´Ù. À§ÇèÀº °ð ±×°ÍÀ» Àß ÅëÁ¦ÇÒ ¶§ ±âȸ·Î ¸¸µå´Â, Áï ±àÁ¤ÀûÀÎ Ãø¸éÀ» Àß À̲ø¾î ³»¾ß ÇÒ °ÍÀÌ´Ù. ÀÌ·± ÁöÇý¿Í ÀÇ»ç°áÁ¤ÀÌ Á¤º¸º¸¾È ÀÌ»ç·Î¼ÀÇ CISMÀÌ °®Ãß¾î¾ß ÇÒ ÀÚ°Ý¿ä°ÇÀ̶ó »ý°¢ÇÑ´Ù. CISMÀº Á¤º¸º¸¾ÈÀÇ Èð¾îÁ® ÀÖ´Â ¸¹Àº ¿ä¼ÒµéÀ» Á¶Á÷ÀÇ ¸ñÀû¿¡ ¸Â°Ô ±¸¼ºÇÏ´Â ÁöÇý°¡ ÇÊ¿äÇÏÁö ¾ÊÀ»±î?
º¸´Ù ÀÚ¼¼ÇÑ ³»¿ëÀº http://www.isaca.or.kr/ȤÀº http://www.lyzeum.com/¿¡¼ ã¾Æº¼ ¼ö ÀÖ´Ù.
Âü°íÀÚ·á ¹× Ãâó
http://www.isaca.org/
www.isaca.or.kr
www.lyzeum.com
Information Security Governance-Guide for BOD and ¤¼xecutives, ITGI, 2004
Information Security Governance, ITGI, 2008
CISM Review Manual, ISACA. 2006~2008
CISM Review Questions/Answer/Explanations Manual, ISACA, 2008
[ÇÊÀÚ ¾à·Â]
-±â°íÀÚ: Á¶ Èñ ÁØ
-ITÄÁ¼³Æà ¹× °¨¸®¹ýÀÎ (ÁÖ)Å°»è Ã¥ÀÓÄÁ¼³ÅÏÆ® ÀçÁ÷ Áß
-°í·Á´ëÇб³ ´ëÇпø °¨»ç ÇàÁ¤Çаú ÀçÇÐ Áß
-(»ç)Çѱ¹Á¤º¸½Ã½ºÅÛ °¨»çÅëÁ¦Çùȸ ISACA GRA ¿¬±¸È¸¿ø
-Çѱ¹ CISSP Çùȸ ISC2 Korea ±³À°¿¬±¸ºÐ°ú ±³À°ÆÀÀå
-CISM, CGEIT, CISA, COBIT, CISSP, PMP, ITIL, CIA, IT-EAP, ISO 27001 Á¤º¸½Ã½ºÅÛ °¨¸®¿ø
±Û¡¤Á¶ÈñÁØ(CISM, CGEIT, CISA, COBIT, CISSP, PMP, ISO27001, CIA, Á¤º¸½Ã½ºÅÛ°¨¸®¿ø) / josephc@chol.com
[Á¤¸® ±æ¹Î±Ç ±âÀÚ(reporter21@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>
¡° |