유영록 부문대표 ((주)씨에이에스)
금융 IT 보안 및 법규준수 통합 관리를 통한 ICT 안전강화 사례연구
유영록 부문대표 ((주)씨에이에스)
금융 분야에 있어 각종 개인정보 유출사고, 특히 인가자에 의한 사고가 급증하고 있다. 이는 기업 구성원들의 정보자산과 자산의 프로세스에 대한 파악 미흡, 낮은 보안 인식 등으로 인한 것이다. 보안 사고의 증가로 관련 법·규제와 경영진의 책임이 강화되고 있으며, 보안 사고는 기업의 신뢰도와 평판에 직접적인 영향을 주어 큰 손실을 발생시키고 있다.
따라서 CISO와 보안담당자들은 보안위협에 선제적으로 대응하고 법·규제 준거성을 확보하기 위하여 정보보호 거버넌스를 강화해야 하는 문제에 직면하였다. 보안담당자들이 통제 결과를 검증하고 업무효율성을 향상시키며 임직원들과의 의사소통을 원활히 하기 위해서는 정보보호 통합관리 체계의 필요성이 대두된다.
정보보호 통합관리를 위해서는 다음과 같은 업무 요소들이 반드시 포함되어야 한다.
1) 정보보호 거버넌스: 지시, 평가, 모니터링의 거버넌스 활동을 보안 관점에서 놓고, 리스크와 컴플라이언스의 규정, 표준, 절차, 가이드를 보안활동
에 결합하여 총괄적으로 관리하는 업무
2) 리스크 관리: IT운영자산에 기반한 취약점 및 위협을 도출하고, 측정지표(영향도, 발생가능성)를 통해 리스크를 평가하고 대책수립 및 사후관
리 지원
3) 보안 컴플라이언스 관리: 법령, 표준 및 지침 등 보안 관련한 요구사항들을 기반으로 정보보호 컴플라이언스 통합관리체계 및 통합점검체계를 제공함으로써 효율적이고 효과적인 통제 점검 지원
4) 보안 활동 관리: 정보보호 통합관리 체계를 운영하기 위한 주요 활동들을 체계적으로 시스템화하여 정보보호 서비스를 지원
5) 보안 상시 모니터링: 보안통제위반 및 고객정보유출 이상징후 관점에서 핵심위험지표(KRI)를 도출하여 모니터링하고 소명절차를 수집하고 사후관리를 지원