기존의 기업 정보보호 활동은 정보보호 조직 중심이 이었으며, 최고경영자는 정보보호와 기업경영은 별개의 것이라고 생각한다. 하지만 각종 보안사고가 끊임없이 발생하고 있으며, 이에 대응하기 위해서는 정보보호 조직만의 활동이 아니라 기업경영 측면에서의 정보보호 활동이 필요하다. 본 연구에서는 기존에 제시된 기업 거버넌스 및 IT거버넌스 등을 살펴보고 기업의 정보보호 활동에 기업의 비즈니스 목표와 경영진의 목표를 반영할 수 있는 정보보호 거버넌스 모델을 제시하고자 한다. 본 논문에서 제시하는 정보보호 거버넌스 모델은 계획 단계에서부터 최고경영자의 참여를 유도하여 정보보호 목표를 수립한다. 정보보호 목표에 따라 정보보호 계획 수립, 정보보호체계를 구축 및 운영하고, 컴플라이언스 감사, 취약점 분석 및 리스크 관리 등을 통해 그 결과를 최고경영자에게 보고함으로써 기업의 정보보호 활동을 강화할 수 있다.
기존의 기업 정보보호 활동은 정보보호 조직 중심이 이었으며, 최고경영자는 정보보호와 기업경영은 별개의 것이라고 생각한다. 하지만 각종 보안사고가 끊임없이 발생하고 있으며, 이에 대응하기 위해서는 정보보호 조직만의 활동이 아니라 기업경영 측면에서의 정보보호 활동이 필요하다. 본 연구에서는 기존에 제시된 기업 거버넌스 및 IT거버넌스 등을 살펴보고 기업의 정보보호 활동에 기업의 비즈니스 목표와 경영진의 목표를 반영할 수 있는 정보보호 거버넌스 모델을 제시하고자 한다. 본 논문에서 제시하는 정보보호 거버넌스 모델은 계획 단계에서부터 최고경영자의 참여를 유도하여 정보보호 목표를 수립한다. 정보보호 목표에 따라 정보보호 계획 수립, 정보보호체계를 구축 및 운영하고, 컴플라이언스 감사, 취약점 분석 및 리스크 관리 등을 통해 그 결과를 최고경영자에게 보고함으로써 기업의 정보보호 활동을 강화할 수 있다.
The existing enterprise information security activities were centered on the information security organization, and the top management considers information security and enterprise management to be separate. However, various kinds of security incidents are constantly occurring. In order to cope with...
The existing enterprise information security activities were centered on the information security organization, and the top management considers information security and enterprise management to be separate. However, various kinds of security incidents are constantly occurring. In order to cope with such incidents, it is necessary to protect information in terms of business management, not just information security organization. In this study, we examine the existing corporate governance and IT governance, and present an information security governance model that can reflect the business goals of the enterprise and the goals of the management. The information security governance model proposed in this paper induces the participation of top management from the planning stage and establishes information security goals. We can strengthen information security activities by establishing an information security plan, establishing and operating an information security system, and reporting the results to top management through compliance audit, vulnerability analysis and risk management.
The existing enterprise information security activities were centered on the information security organization, and the top management considers information security and enterprise management to be separate. However, various kinds of security incidents are constantly occurring. In order to cope with such incidents, it is necessary to protect information in terms of business management, not just information security organization. In this study, we examine the existing corporate governance and IT governance, and present an information security governance model that can reflect the business goals of the enterprise and the goals of the management. The information security governance model proposed in this paper induces the participation of top management from the planning stage and establishes information security goals. We can strengthen information security activities by establishing an information security plan, establishing and operating an information security system, and reporting the results to top management through compliance audit, vulnerability analysis and risk management.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
감사활동에서는 컴플라이언스를 잘 준수하고 있는지 점검함으로써 법적 위반사항이 없는지 검토하고 새로운 법률에 대해 모니터링함으로써 컴플라이언스를 준수할 수 있도록 관리한다. 마지막으로 침해사고 분석 및 리스크 분석에서는 각종 보안사고 사례 및 침해위협을 분석하고 그 결과를 정보보호최고책임자(CISO)에게 보고한다. 정보보호최고책임자(CISO)는 최고경영자(CEO)에게 보고하고 피드백 받음으로써 비즈니스 목표에 맞는 정보보호 목표를 수립할 수 있도록 한다.
본 논문은 기업 최고경영자(CEO)가 비즈니스 목표에 맞는 정보보호 활동을 위한 정보보호 거버넌스 모델에 대한 연구로써 각종 거버넌스 모델과 정보보호 관리체계 분석을 통해 최고경영자(CEO)를 위한 정보 보호 거버넌스 모델을 제시하였다. 본 논문에서 제시한 기업 정보보호 거버넌스는 비즈니스 목표에 맞는 정보보호 목표를 세우고 정보보호 활동에 대한 모니터링 및 피드백을 최고경영자에게 전달함으로써 정보보호에 대한 최고경영자(CEO)의 관심을 이끌어 낼수 있다.
본 연구에서는 최고경영자(CEO)가 비즈니스 목표에 따라 정보보호 목표를 수립하고 정보보호 활동에 적극 참여 할 수 있는 정보보호 거버넌스 모델을 제시하고자 한다. 제2장 관련연구에서는 거버넌스, 기업 거버넌스, IT 거버넌스, 정보보안 거버넌스, 정보보호관리체계 등을 살펴보고, 제3장에서는 최고경영자를 위한 기업 정보보안 거버넌스 모델을 제시한다.
지금까지 살펴 본 거버넌스, 기업 거버넌스, IT 거버넌스, 정보보호 거버넌스 및 정보보호관리체계 연구를 바탕으로 최고경영자(CEO)를 위한 기업 정보보호 거버넌스 모델을 제시하고자 한다.
우선 취약점 분석 평가는 기업 자산에 대해 취약점 여부를 점검하는 활동으로 정보보호관리체계 점검을 하는 관리적 보안부문 취약점 점검과 서버, 네트워크, DB, 웹, 앱 등 기술적 보안부문 취약점 점검 등이 있다. 취약점 분석 평가를 통해 정보보호 운영에 취약한 부문을 도출하고 정보보호최고책임자(CISO)에게 보고함으로써 정보보호 목표에 반영한다. 감사활동에서는 컴플라이언스를 잘 준수하고 있는지 점검함으로써 법적 위반사항이 없는지 검토하고 새로운 법률에 대해 모니터링함으로써 컴플라이언스를 준수할 수 있도록 관리한다.
가설 설정
첫째, 기업 거버넌스의 틀 안에서 정보보호 거버넌스가 작동되어야 한다. 둘째, 정보보호 거버넌스의 목표를 명시해야 한다. 정보보호 거버넌스는 IT와 비IT를 구분하지 않으므로 IT거버넌스와의 중복 이슈 등이 있으며 이를 해결하기 위해서는 정보보호 거버넌스의 목표를 명확히 해야 한다[1].
성능/효과
본 논문에서 제시하는 기업 정보보호 거버넌스 모델은 기존의 정보보호 조직 기반으로 이루어지던 정보보호 활동을 최고경영자(CEO)가 바라보는 측면에서 비즈니스 목표에 맞게 정보보호활동을 추진함으로써 기업의 정보보호를 효과적으로 강화할 수 있다. 본 논문에서 제시하는 기업 정보보호 거버넌스 모델은 (그림4)와 같다.
본 논문은 기업 최고경영자(CEO)가 비즈니스 목표에 맞는 정보보호 활동을 위한 정보보호 거버넌스 모델에 대한 연구로써 각종 거버넌스 모델과 정보보호 관리체계 분석을 통해 최고경영자(CEO)를 위한 정보 보호 거버넌스 모델을 제시하였다. 본 논문에서 제시한 기업 정보보호 거버넌스는 비즈니스 목표에 맞는 정보보호 목표를 세우고 정보보호 활동에 대한 모니터링 및 피드백을 최고경영자에게 전달함으로써 정보보호에 대한 최고경영자(CEO)의 관심을 이끌어 낼수 있다. 본 논문에서 제안하는 모델에 대해 실질적인 효과를 얻기 위해서는 해당 모델을 시스템화하는 연구가 필요하다.
본 논문에서 제안한 방식은 기존의 정보보호 조직 기반의 활동에 비해 많은 장점을 얻을 수 있다. 기존의 정보보호 활동은 정보보호 조직만의 활동이었으며 최고경영자(CEO)는 정보보호는 비즈니스와 별개의 항목으로 인식하고 있었다면 본 논문에서 제시하는 기업 정보보호 거버넌스 모델은 최고경영자(CEO)는 기업의 정보보호 현황을 직관적으로 인식을 하게 됨으로써 최고경영자(CEO)가 기업경영의 하나로써 정보보호 활동에 적극 참여할 수 있도록 한다.
후속연구
본 논문에서 제시한 기업 정보보호 거버넌스는 비즈니스 목표에 맞는 정보보호 목표를 세우고 정보보호 활동에 대한 모니터링 및 피드백을 최고경영자에게 전달함으로써 정보보호에 대한 최고경영자(CEO)의 관심을 이끌어 낼수 있다. 본 논문에서 제안하는 모델에 대해 실질적인 효과를 얻기 위해서는 해당 모델을 시스템화하는 연구가 필요하다. Dash board(대시보드:현황판) 형태의 정보보호 포털사이트를 통해 정보보호목표, 정보보호 운영현황, 모니터링 결과, 정보보호 수준 등을 실시간으로 최고경영자(CEO)에게 보여줌으로써 정보보호 활동을 강화하고 정보보호를 기업경영에 반영할 수 있을 것이다.
이를 통해 최고경영자(CEO)는 비즈니스 목표에 맞는 정보보호 목표를 수립하고 운영함으로써 기업 입장에서는 실질적이고 현실적인 정보보호 활동을 수행 할 수 있다. 본 모델을 통해 최고경영자(CEO)는 기업에 맞는 정보 보호 전략 및 운영계획을 세울 수 있으며, 비즈니스 목표에 맞는 정보보호 예산수립, 정보보호 인력을 운영 할 수가 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
정보보호관리체계 모델 중 KISA의 ISMS 제도는 무엇인가?
ISO27001은 2013년 ISO27001:2013으로 개정되었으며, 114개 통제항목으로 구성되어 있다[7]. KISA ISMS에는 2002년 한국정보보호진흥원에서 국내 사정에 맞게 개발한 정보보호관리체계 인증 제도이다.[6] KISA ISMS 관리과정 요구사항는 크게 5개의 영역으로 구성되어 있다.
거버넌스 개념의 개념요건으로는 어떤 것들이 있는가?
거버넌스란 사전적인 의미로 통치, 관리, 통치 방식을 의미한다. 거버넌스 개념의 핵심요소인 개념요건으로는 책임성, 관리와의 구분, 조직통제 등이 있으며, 실행요건으로는 의사결정권한, 지시, 성과모니터링이 있다[1]. 기업 거버넌스란 거버넌스의 개념을 기업에 적용한 것으로 개념요건으로는 이해관계자가 있으며, 목표요건으로 전략목표 연계, 책임성이 있으며, 실행요건으로 목표달성방법, 성과모니터링, 위험관리, 자원관리가 있다[1].
거버넌스란 사전적인 의미로 무엇을 의미하는가?
거버넌스란 사전적인 의미로 통치, 관리, 통치 방식을 의미한다. 거버넌스 개념의 핵심요소인 개념요건으로는 책임성, 관리와의 구분, 조직통제 등이 있으며, 실행요건으로는 의사결정권한, 지시, 성과모니터링이 있다[1].
참고문헌 (10)
이성일, "정보보호 거버넌스 프레임워크에 관한 연구", 동국대학교 대학원 경영정보학과, 2011.
ISO/IEC 38500, "Corporate Governance of Information Technology", 2008.
ISACA, "COBIT 5 Framework", 2012.
조희준, "COBIT 5와 거버넌스 프레임워크", 한국정보시스템감사통제협회, 2012.
김귀남, 김민준, "정보보안 거버넌스 프레임워크에 관한 연구", 융합보안논문지, 제10권, 제4호, pp. 14-19, 2010.
한국정보보호진흥원, 정보보호관리체계, 2002.
ISO, ISO27001:2013, 2013.
정대령, "전자정부 정보보호관리체계(G-ISMS)를 활용한 공공기관 정보보호 거버넌스 수립방안에 관한 연구", 배재대학교 대학원 컴퓨터공학과, 2012.
한국인터넷진흥원, 정보보호관리체계 인증, 2016.
이창훈, 하옥현, "기밀유출방지를 위한 융합보안 관리 체계", 융합보안논문지, 제10권, 제4호, pp. 61-67, 2010.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.