HOME > °øÁö»çÇ× > ÀÚ·á½Ç
º¸¾È´º½º±â°í - ÄÁ¼³ÆÃÆÀ-[CISM ƯÁý] ¨éCISM-Á¤º¸À§Çè°ü¸® 3319

¡°[CISM ƯÁý] ¨éCISM-Á¤º¸À§Çè°ü¸®  
[ÀԷ³¯Â¥: 2009-03-05]

    

CISM, ¡°Á¤º¸º¸¾ÈÀÇ Èð¾îÁ® ÀÖ´Â ¸¹Àº ¿ä¼ÒµéÀ»

Á¶Á÷ ¸ñÀû¿¡ ¸Â°Ô ±¸¼ºÇÏ´Â ÁöÇý°¡ ÇÊ¿äÇØ¡±




»çÀ̹ö»çȸÀÇ ¾çÀû¡¤ÁúÀû ÆØâÀ¸·Î ÀÎÇØ »çÀ̹ö °ø°£¿¡ ´ëÇÑ Áú¼­¿Í ü°è ±×¸®°í º¸¾ÈÀ» È®¸³½ÃÄÑ°¡¾ß ÇÑ´Ù´Â °ÍÀÌ ÀÌÁ¦ »çȸ Àü¹ÝÀûÀÎ È­µÎ°¡ µÇ°í ÀÖ´Ù. ¶Ç ±¹°¡¿Í ±â¾÷¿¡¼­´Â À̸¦ ÃÑ°ý °ü¸®ÇÒ ¼ö ÀÖ´Â Á¶Á÷°ú ÀÎÀç°¡ Àý½ÇÇÑ »óȲÀÌ´Ù. À̹ø ÁÖºÎÅÍ ¸ÅÁÖ 8ȸºÐ¿¡ °ÉÃÄ CISO(Chief of Information Security Officer: Á¤º¸º¸¾È´ã´ç ÀÌ»ç)ÀÇ Çʿ伺À» Á¶¸íÇÏ°í CISM ÀÚ°ÝÁõ¿¡ ´ëÇؼ­µµ ÁýÁß ¼Ò°³ÇÏ´Â ½Ã°£À» °®µµ·Ï ÇÏ°Ú´Ù. ÇÊÀÚ´Â ITÄÁ¼³Æà ¹× °¨¸®¹ýÀÎ (ÁÖ)Å°»è Á¶ÈñÁØ Ã¥ÀÓÄÁ¼³ÅÏÆ®. <ÆíÁýÀÚ ÁÖ>




[°ÔÀç ¼ø¼­]

¨çCISM ¼Ò°³

¨èCISM ½ÃÇ迵¿ª: Á¤º¸º¸¾È°Å¹ö³Í½º

¨éCISM ½ÃÇ迵¿ª: Á¤º¸À§Çè°ü¸®

¨êCISM ½ÃÇ迵¿ª: Á¤º¸º¸¾ÈÇÁ·Î±×·¥°³¹ß

¨ëCISM ½ÃÇ迵¿ª: Á¤º¸º¸¾ÈÇÁ·Î±×·¥°ü¸®

¨ìCISM ½ÃÇ迵¿ª: »ç°í´ëÀÀ°ü¸®

¨íISMS(Á¤º¸º¸¾È°ü¸®Ã¼°è)

¨î»ê¾÷º¸¾È




ù ¹ø° ±Û¿¡¼­´Â CISMÀÇ ÇâÈÄ ±â¾÷ ³»¿¡¼­ÀÇ CISO(Chief of Information Security Officer: Á¤º¸º¸¾È ´ã´çÀÌ»ç)·Î¼­ÀÇ ÀÚ¸®¸Å±èÀ» ¾ê±â ÇÏ¿´°í, µÎ ¹ø° ±Û¿¡¼­´Â CISM ±¹Á¦ ÀÚ°ÝÁõ ½ÃÇè ¿µ¿ªÀÇ 5°¡Áö Áß Ã¹ ¹ø° ¿µ¿ªÀÎ Á¤º¸º¸È£°Å¹ö³Í½º¸¦ »ìÆ캸¾Ò´Ù. À̹ø È£´Â ¼¼ ¹ø° ½Ã°£À¸·Î ½ÃÇ迵¿ªÀÇ µÎ ¹ø°ÀÎ Á¤º¸À§Çè°ü¸®¿¡ ´ëÇØ ¾ê±â ÇØ º¸ÀÚ°í ÇÑ´Ù. CISMÀ» ¿©ÇàÄÚ½º·Î »ý°¢ÇÏ°í Áñ°Ì°í À¯ÀÍÇÑ ¿©ÇàÀÌ µÇ¾úÀ¸¸é ¹Ù¶õ´Ù.




CISM 2Àå Á¤º¸À§Çè°ü¸®

Information Risk Management¶ó°í ÇÑ´Ù¸é CISM¿¡¼­ ¾ê±âÇÏ´Â À§Çè(Risk)À̶õ ¹«¾ùÀΰ¡? ¿äÁò À§Çè°ü¸®¶ó´Â ¾ê±â´Â ÇÁ·ÎÁ§Æ®ÀÇ »ç¾÷°ü¸®¿¡ ²À Æ÷ÇԵǾî ÀÖ°í, IT»Ó ¾Æ´Ï¶ó ±âŸ ±âȹ¾÷¹«, ¿î¿µ¾÷¹«¿¡¼­µµ À§Çè¿¡ ´ëÇØ ½Äº°ÇÏ°í ´ëÀÀÃ¥À» ¼ö¸³ÇÏ¿´´ÂÁö Á¡°ËÇÏ°í ÀÖÀ¸¸ç, IT°¨»ç ¹× °¨¸®¿¡¼­´Â À§Çè°ü¸®¸¦ ÇϳªÀÇ ÁÖÁ¦·Î Á¤Çسõ°í ÁýÁßÀûÀ¸·Î Á¶¸íÇϱ⵵ ÇÑ´Ù. ±×·¸´Ù¸é À§ÇèÀ̶õ °ÍÀÌ ¹«Á¶°Ç ºÎÁ¤ÀûÀÎ ¼ºÁúÀ» °®°í À־ ±ú¾îÁö±â ½¬¿î »ì¾óÀ½À» ´Ù·çµíÀÌ ÇÏ´Â °ÍÀϱî? CISM¿¡¼­´Â À§ÇèÀ» ºÒÈ®½Ç¼º(Uncertainty)À¸·Î Á¤ÀÇÇÑ´Ù. ºÒÈ®½ÇÇÏ´Ù´Â °ÍÀº ±×°ÍÀÌ ±àÁ¤Àû(positive)ÀÎÁö ºÎÁ¤Àû(negative)ÀÎÁö¸¦ ¾Ë ¼ö ¾ø´Ù´Â °ÍÀÌ´Ù. À§Çè°ü¸®´Â ±×·± ºÒÈ®½Ç¼ºÀ» ½Äº°Çؼ­ ±àÁ¤Àû ¿ä¼Ò¸¦ Çâ»ó½ÃÅ°¸ç ºÎÁ¤Àû ¿ä¼Ò¸¦ ÃÖ¼ÒÈ­ ÇÏ´Â °ÍÀÌ´Ù.




Á¤º¸º¸¾È°ü¸®¶õ ±â¾÷ÀÇ ÇÙ½ÉÀÚ»êÀÎ Á¤º¸¿¡ ´ëÇÏ¿© À§Çè¿¡ ³ëÃâµÉ Ãë¾à¼º(Vulnerability)À» ºÐ¼®ÇÏ°í ÀÌ Ãë¾à¼º¿¡ À§ÇùÀÌ(Threat) °¡ÇØÁú ¶§ÀÇ ¿µÇâÀ» °è·®È­ÇÏ¿© ´ëÀÀÃ¥(Countermeasures)À» ¼ö¸³ÇÏ´Â ÀÏ·ÃÀÇ ÁÖ±âÀû °ü¸®¼øȯü°èÀÎ °ÍÀÌ´Ù.





¶ÇÇÑ À§ ±×¸²¿¡¼­ º¸µíÀÌ À§ÇèÀ» ÅëÁ¦(¿ÏÈ­) ÇÏ´õ¶óµµ ³²¾ÆÀÖ´Â À§ÇèÀÌ Àִµ¥ À̸¦ ÀÜ¿©À§Çè(residual risk)¶ó¸ç Çϸç ÀÜ¿© À§ÇèÀÇ ¼öÁØÀº °æ¿µÁø¿¡ ÀÇÇؼ­ °áÁ¤µÈ´Ù. À§ÇèÀÚü´Â ¿ÏÀüÈ÷ Á¦°ÅµÇÁöµµ ¾ÊÀ»»Ó´õ·¯ (Á¤º¸¶ó´Â ÀÚ»êÀÇ À§ÇèÀº ±Þº¯Çϴ ȯ°æ°ú ¹ÐÁ¢Çؼ­ Ç×»ó »õ·Î¿î À§ÇèÀ» ¹ß»ýµÇ±â ¸¶·ÃÀÌ´Ù.) ¿ÏÀü¿¡ °¡±õ°Ô Á¦°Å ȤÀº ¿ÏÈ­Çϱâ À§Çؼ­´Â µæ°ú ½ÇÀ» µûÁ®ºÁ¾ß ÇÑ´Ù. ÀûÁ¤¼öÁØÀÇ À§Çè°ü¸®¼öÁØ(ALR: Acceptable Level of Risk)À» °æ¿µÁøÀÌ Á¤ÇÏ°Ô µÇ´Â ÀÌÀ¯°¡ ¿©±â¿¡ ÀÖ´Â °ÍÀÌ´Ù. ¾Æ·¡ ±×¸²Àº ALR¸¦ ¼³¸íÇØ ³õÀº °ÍÀÌ´Ù.





Á¤º¸À§Çè°ü¸® ¿µ¿ªÀº 7°³ÀÇ ¼öÇàÈ°µ¿(Task Statement)°ú ±×¿¡ µû¸¥ ¼¼ºÐÈ­µÈ Áö½Ä ¼º¸í¼­(Knowledge Statement)·Î ±¸¼ºµÇ¾î ÀÖ´Ù.







CISM ¿¡°Ô ´øÁö´Â Áú¹®

¡°À§Çè°ü¸®´Â À§ÇèÆò°¡¿Í À§ÇèÅëÁ¦(¿ÏÈ­)¿Í ¶Ç ¹«¾ùÀ¸·Î ±¸¼º µÇ´Â ÀÏ·ÃÀÇ °ü¸®Ã¼°èÀΰ¡¡±¶ó°í CISM¿¡°Ô Áú¹®À» ÇÑ´Ù¸é?

¿ª½Ã ¿©·¯ °¡Áö ´ë´äÀÌ ³ª¿Ã ¼ö ÀÖÀ» °ÍÀÌ´Ù.

¡°À§Çè°ü¸®¼öÁØ(ALR)¡± ȤÀº ¡°À§ÇèÀÇ ¼ö¿ë(acceptance)¡±, ¡°À§ÇèÀÇ ´ëÀÀÃ¥(countermeasures)¡± µîµî Á¤º¸À§Çè°ü¸®¸¦ ±¸¼ºÇÏ´Â ¿ä¼Ò¸¦ ²¨³»°Ô µÉ °ÍÀÌ´Ù.

ÇÏÁö¸¸ 2Àå Á¤º¸À§Çè°ü¸®¿¡¼­´Â ¡°À§Çè¿¡ ´ëÇÑ Áö¼ÓÀûÀÎ °¨½Ã(monitoring)¡±¶ó°í ÃßõÇÏ°í ÀÖ´Ù. À§ÇèÀ» ÅëÁ¦ÇÏ°í ±×°ÍÀÌ ¾ó¸¶¸¸Å­ Á¶Á÷ÀÇ ¸ñÀû´Þ¼º°ú ¿¬°èµÇ´ÂÁö Áö¼ÓÀûÀ¸·Î °ü½ÉÀ» °®´Â °ÍÀÌ CISMÀÌ ÇØ¾ß ÇÒ ÀÏÀÎ °ÍÀÌ´Ù.




CISMÀÇ ½ÃÇ迵¿ª Á¦ 2Àå Á¤º¸À§Çè°ü¸®´Â µ¿¼­°í±ÝÀÌ ¹Ù¶óº¸´Â ½Ã°¢ÀÌ °°´Ù°í »ý°¢ÇÑ´Ù. ¡°À§±â¡±¶ó´Â ´Ü¾î´Â À§Çè°ú ±âȸ¶ó°í Çß´Ù. À§ÇèÀº °ð ±×°ÍÀ» Àß ÅëÁ¦ÇÒ ¶§ ±âȸ·Î ¸¸µå´Â, Áï ±àÁ¤ÀûÀÎ Ãø¸éÀ» Àß À̲ø¾î ³»¾ß ÇÒ °ÍÀÌ´Ù. ÀÌ·± ÁöÇý¿Í ÀÇ»ç°áÁ¤ÀÌ Á¤º¸º¸¾È ÀÌ»ç·Î¼­ÀÇ CISMÀÌ °®Ãß¾î¾ß ÇÒ ÀÚ°Ý¿ä°ÇÀ̶ó »ý°¢ÇÑ´Ù. CISMÀº Á¤º¸º¸¾ÈÀÇ Èð¾îÁ® ÀÖ´Â ¸¹Àº ¿ä¼ÒµéÀ» Á¶Á÷ÀÇ ¸ñÀû¿¡ ¸Â°Ô ±¸¼ºÇÏ´Â ÁöÇý°¡ ÇÊ¿äÇÏÁö ¾ÊÀ»±î?




º¸´Ù ÀÚ¼¼ÇÑ ³»¿ëÀº http://www.isaca.or.kr/ȤÀº http://www.lyzeum.com/¿¡¼­ ã¾Æº¼ ¼ö ÀÖ´Ù.




Âü°íÀÚ·á ¹× Ãâó

http://www.isaca.org/

www.isaca.or.kr

www.lyzeum.com

Information Security Governance-Guide for BOD and ¤¼xecutives, ITGI, 2004

Information Security Governance, ITGI, 2008

CISM Review Manual, ISACA. 2006~2008

CISM Review Questions/Answer/Explanations Manual, ISACA, 2008




[ÇÊÀÚ ¾à·Â]

-±â°íÀÚ: Á¶ Èñ ÁØ

-ITÄÁ¼³Æà ¹× °¨¸®¹ýÀÎ (ÁÖ)Å°»è Ã¥ÀÓÄÁ¼³ÅÏÆ® ÀçÁ÷ Áß

-°í·Á´ëÇб³ ´ëÇпø °¨»ç ÇàÁ¤Çаú ÀçÇÐ Áß

-(»ç)Çѱ¹Á¤º¸½Ã½ºÅÛ °¨»çÅëÁ¦Çùȸ ISACA GRA ¿¬±¸È¸¿ø

-Çѱ¹ CISSP Çùȸ ISC2 Korea ±³À°¿¬±¸ºÐ°ú ±³À°ÆÀÀå

-CISM, CGEIT, CISA, COBIT, CISSP, PMP, ITIL, CIA, IT-EAP, ISO 27001 Á¤º¸½Ã½ºÅÛ °¨¸®¿ø




±Û¡¤Á¶ÈñÁØ(CISM, CGEIT, CISA, COBIT, CISSP, PMP, ISO27001, CIA, Á¤º¸½Ã½ºÅÛ°¨¸®¿ø) / josephc@chol.com




[Á¤¸® ±æ¹Î±Ç ±âÀÚ(reporter21@boannews.com)]




<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

¡°

2009-03-09 Å°»è

µî·ÏµÈ ÆÄÀÏÀÌ ¾ø½À´Ï´Ù.

ÀÌÀü ¸¶¾ÆÅ©·Î¼ÒÇÁÆ®¿þ¾î 3¿ùÈ£ ±â»ç - ÄÁ¼³Æà ÆÀ
- º¸¾È´º½º±â°í - ÄÁ¼³ÆÃÆÀ-[CISM ƯÁý] ¨éCISM-Á¤º¸À§Çè°ü¸®
´ÙÀ½ IT°Å¹ö³Í½º - Board Briefing of IT Governance