1. 정보 보호 거버넌스 구현

1.정보 보호 전략 수립하기

정보 보호 거버넌스란 조직의 정보 보호 프로세스를 통칭하는 용어로, ‘위험 관리를 위한 노력의 일환으로, 보안 전략이 조직의 비즈니스 목표와 부합 및 연계되고 정책과 내부 통제를 기반으로 이를 준수하며 책임을 할당하기 위한 프레임워크와 프로세스를 수립하는 과정-미국표준기술연구소(NIST: Natiolal Institute of Standards and Technology), SP800-100(Information Security Handbook for Managers)’, ‘전략적 방향을 제시하고 목표 달성을 보증하며 전사 보안프로그램의 성패를 모니터링하는 기업 거버넌스의 일부-정보 기술관리협회(ITGI)/ 등으로 정의하고 있다.

 - 기본적으로 정보보호 거버넌스는 IT 거버넌스, 기업 거버넌스의 하위 개념이다. 
즉, IT 거버넌스, 기업 거버넌스의 하위에서 정보보호 분야를 특화하는 전사적 정보보호 관리 체계를 통칭하는 용어이다.

1-1. 정보 보호 환경분석 및 요구 정의

1) 정보 보호 거버넌스 : ISO 27014

정보보호에 대한 고위 경영층의 의사 결정 권한과 책임, 비즈니스와의 전략적 연계, 컴플라이언스 보장을 위하여 지켜야 할 원칙과 수행하여야 할 활동 및 과제를 정의한 문서이다. 정보보호 거버넌스의 핵심 활동인 평가(Evaluate), 지시(Direct), 
감시(Monitor)를 중심으로 이사회(Governing Body)와 임원(Executive Management)-ISO/IEC 27001-의 역할 및 책임을 정의하고 있다.

 - 평가(Evaluate)

프로세스의 반복적 이행에서 발견되는 요소와 프로세스의 변경으로 인하여 향후 조직의 정보 보호 목적 달성에 영향을 끼칠 수 있을 만한 요인을 사전에 평가하여 조직의 정보 보호 목표가 지속적으로 달성되도록 관리하여야 한다.

 - 지시(Direct)

조직의 정보보호 목적과 전략 달성에 필요한 사항과 추진 방향을 제시하는 것으로, 자원 할당, 보안 활동 우선순위, 위험 관리 계획 및 방안 등을 포함한다.

 - 감시(Monitor)

조직의 정보보호 목표를 달성하기 위하여 지속적으로 프로세스를 모니터링하고 주요지표에 의하여 정량적 목표가 달성되고 있는지 확인하고 점검하는 프로세스이다.

2) 정보 보호 거버넌스의 3가지 목표(ISG's ABC)

 - 책임성(Accountability): 정보 보호 활동의 성과에 대하여 누가 책임을 지는가? 
정보 보호에 대한 조직 내 의사 결정, 문제 발생 시 책임에 관한 목표 수립에 대한내용으로서 조직원의 역할과 지위, 책임을 명확히 정의하여 자율적이고 적극적인 통제환경을 구축하고자 한다.

 -  비즈니스 연계성(Business Alignment): 정보 보호 활동이 기업의 비즈니스 목표 달성에 기여하는가?
정보 보호의 정책, 활동이 비즈니스 목표 및 방향성과 일치하여 기업과 조직의 목표 달성에 기여할 수 있도록 하고자 한다.

 -  준거성(Compliance): 정보 보호 활동이 원칙과 기준(법, 제도, 기업 내부의 규정 등)에 따라 수행되는가?
정보 보호 활동이 법과 각종 규제에 따라 이행되고 있는지 여부를 점검하고, 그 내용을 준수할 수 있도록 조직을 정비하고자 한다.

2. 정보 보호 아키텍처 수립

2-1. 정보 보호 거버넌스의 주요 프로세스

1) 전략적 연계

조직의 목표를 달성하기 위한 정보 보호와 비즈니스 전략 간의 연계이다.

2) 가치 전달

조직의 목적을 지원함에 있어 가장 최적화된 정보 보호 가치 창출 프로세스를 구축한다.

3) 자원 관리

조직의 정보 보호를 위한 자산과 지식, 정보 보안 인프라를 효율적, 효과적으로 활용 및 관리한다.

4) 위험 관리

조직의 자산에 대한 잠재적 보안 위협을 수용 가능한 레벨로 유지하기 위하여 정보 보안 위험의 식별, 분석, 대응 계획 수립 및 완화하는 활동을 한다.

5) 성과 측정

조직의 목표가 달성되었음을 보장하기 위한 정보 보호 프로세스에 대한 기준 수립 및 측정, 모니터링, 보고를 한다.

6) 프로세스 통합

조직의 정보 보호를 위하여 전체 프로세스를 통합 관리한다.

2-2. 가트너의 정보 보호 아키텍처

1) 정보 보호 아키텍처 수립

정보보호 아키텍처란 조직의 정보보호 관련 정책, 조직, 자산의 기밀성, 무결성, 가용성을 확보하기 위하여 수립한 조직의 전사적 보안 프레임워크 체계를 말한다. 정보보호 아키텍처 수립을 통하여 조직은 관리적, 물리적, 기술적 측면의 종합 정보 보호체계를 수립할 수 있으며 일관성 있는 보안 수준을 확보할 수 있게 된다.

2) 가트너가 제시한 전사적 정보 보호 아키텍처의 구조 3단계

① 개념적 단계: 비교적 추상적인 목표와 모델의 형태로 존재(비전 등)
② 논리적 단계: 개념적 목표를 실현시키기 위한 이상, 방법론, 기술적용 단계(규정 등)
③ 구현 단계: 개념적이고 논리적인 설계를 수행하기 위한 자원을 개발하거나 구입하는 단계

2-3. 정보 보호 프레임워크의 구성

정보보호 프레임워크의 구성은 정보보호정책, IT 자산보안, 변화관리, 침해사고대응, 정보보호 조직, 정보보호 감사 및 개선 등으로 구성되어 있다.

3. 정보 보호 지원 할당하기

3-1. 정보 보호 상세 설계

1) OECD 정보 보호 가이드라인

1	Awareness (인식)
2	Responsibility (책임)
3	Response (반응)
4	Ethics (윤리)
5	Democracy (민주성)
6	Risk Assessment (위험 평가)
7	Safeguards (안전성)
8	Security Management (보안)
9	Reassessment (재평가)

OECD에서는 9.11 테러 이후 사이버 테러, 정보 보안에 대한 관심이 고조되었고, 전 세계적으로 네트워크에 대한 의존성이 증가하면서 정보보호 계획 수립에 대한 필요성을 체감하고 있다. 이에 OECD 정보보호 가이드라인을 발표하여 정보보호 계획 수립의 기준을 제시하고 있다. (9개 항목)

2) ISMS 인증체계 구성

인증분야	인증기준
1. 관리과정	1. 정보보호정책 수립 및 범위설정
	2. 경영진 책임 및 조직  구성
	3. 위험 관리
	4. 정보보호대책 구현
	5. 사후관리
2. 정보보호대책	1. 정보보호정책
	2. 정보보호조직
	3. 외부자 보안
	4. 정보자산 분류
	5. 정보보호 교육
	6. 인적 보안
	7. 물리적 보안
	8. 시스템개발 보안
	9. 암호 통제
	10. 접근 통제
	11. 운영보안
	12. 침해사고 관리
	13. IT재해복구

 - 정보통신 분야는 타 산업 분야보다 훨씬 빠르게 발전하고 있으며 모바일, 클라우드, IoT(Internet of Things), 빅데이터 등 새로운 기술의 발달은 우리 모두에게 많은 편의를 제공하고 있다. 그러나 정보 통신의 이러한 장점 외에 개인 정보와 정부, 기업의 중요한 기밀 사항과 중요 정보의 탈취, 유출에 대한 위험도도 동시에 커지고 있다. 사이버 공격의 범위와 대상은 점점 확대되고 있으며 그 기법 점점 지능화, 고도화되고 있는 실정이다.

 - 이에 특수한 솔루션이나 일시적인 대응만으로는 중요한 기밀 정보를 보호할 수 없으며 장기적인 관점에서 조직의 체계를 정비하고 예산을 수립하며, 정확한 R&R을 기반으로 보안에 관련된 업무를 분장하는 것이 필요하게 되었다. 즉, 일회성 관리에서 탈피한 전사적 차원의 보안을 위한 수준 높은 정보보호 관리체계(ISMS)의 구축이 요구되는 시점이다.

 - 정보 보호 관리체계(ISMS)란, 조직의 주요 정보 자산을 보호하기 위하여 정보 보호 관리절차와 과정을 체계적으로 수립하여 지속적으로 관리, 운영하기 위한 종합적인 체계이다. 즉, 이제까지의 부분적 보안, 일회성 관리, 산발적 대응에서 균형적 보안, 지속적 관리, 체계적 대응으로 관리 체계를 수립하여 대응하는 것을 의미한다.

3) 정보 보호 관리체계(ISMS)를 통한 기대 효과

①일회적 정보 보호 대책에서 벗어나 체계적, 종합적 정보 보호 대책을 구현함으로 써 전사 차원의 정보 보호 관리수준을 향상시킬 수 있다.

②정보 보호 관리 체계 수립을 통하여 각종 정보 보안 관련침해 사고가 발생하였을 때보다 신속하게 대응할 수 있으며 발생하는 피해와 손실, 데이터 유출 등을 최소화할 수 있다.

③경영진이 직접 정보 보호에 대한 의사 결정에 참여함으로써 정보 보호 업무에 대한 책임성과 신뢰성을 향상시킬 수 있다.

4) 정보 보호 업무량 분석 프로세스

정보보호 업무분류	정보보호 업무별 세부 태스크 분류	업무별 정량적 부하산출	산출된 정량적 부하에 대한 검토&확정
- 현황자료 검토  - 정보보호 업무 분류	- 진단방식 등 태스크 도출  - 업무별 세부 활동 도출	- 요청건수, 처리건수 도출  - 소요시간, 난이도 도출	- 도출된 부하에 대한 정리&작성  - 도출된 부하에 대한 검토&확정

정보 보호와 관련된 업무별 업무량을 산정하고 부하를 산출하며 이를 검토하여 확정한다. 정보보호 업무량 분석은 조직의 정보 보호 중장기 계획에 따라 소요될 예산과 인력을 정확히 파악하기 위하여 조직의 정보 보호 현황을 파악하고 업무량을 산정하는 과정이다.

① 정보 보호 업무를 분류한다.
② 정보 보호 업무별 세부 태스크를 분류한다.
③ 업무별 정량적 부하를 산출(요청 건수, 처리 건수, 소요 시간, 소요 인력 등) 한다.
④ 산출된 정량적 부하에 대한 검토를 진행하고 최종 확정한다

5) 정보 보호 예산 및 인력 계획 수립 프로세스

업무량 분석결과 검토	정보보호 업무별 비용 산정	정보보호 업무별 인력산정	비용 및 인력 산정 검토 및 확정
- 업무량 분석 결과 검토  - 정보보호 업무 분류	- H/W, S/W 비용 산정  - 인증 심사 비용 등 산정	- 업무별 필요인력 산정  - R&R별 인력 배치	- 산정된 예산 적정성 검토 및 확정  - 산정된 인력적정성 검토 및 확

정보 보호 예산 및 인력 계획을 수립한다. 
분석된 정보 보호 업무별 자원 계획을 수립한다.
정보 보호 예산 및 인력 계획은 앞서 산출된 업무량 분석을 바탕으로 수행한다. 
먼저 분석된 업무량을 기준으로 필요한 인력의 M/M을 산정하고 이를 바탕으로 적정 인원수를 산정한다. 그 다음은 인원수별 비용과 정보 보호에 필요한 도구,즉 H/W와 S/W, 인증 심사 비용 등에 대한 산정이 필요하다.

4. 정보 보호 성과 관리하기

4-1. 정보 보호 성과지표 도출

1) ISO 27001 통제항목

통제항목	항목수	내용
정보보안 정책	2	정보보호에 대한 경영방침과 지원사항 제공
정보보안 조직	7	정보보호 조직 및 조직 내 정보보호 역할 및 책임 정의
인원 보안	6	사람에 의한 실수, 절도, 정보유출에 대한 보안
자산 관리	10	조직의 자산에 대한 보호정책
접근 통제	13	조직의 주요정보에 대한 접근 통제
암호화	2	기밀성, 무결성 등을 확보하기 위한 암호의 ㅎ활용
물리적 환경적 보안	15	비인가 물리적 접근, 물리적 손상에 대한 방지
운영 보안	15	정보 시스템에 대한 안전한 운영
통신 보안	7	네트워크 및 정보 처리 시스템의 안전한 통신보안
시스템 취득, 개발, 유지보수	13	시스템의 취득, 개발 및 운영 유지보수 진행시의 정보보안
협력업체(공급자) 관리	5	협력업체에 대한 정보보안 및 합의 수준
보안사고 관리	7	정보보안 사고에 대한 대응 절차의 수립 및 이행
사업연속성 관리	4	사업연속성을 위협하는 요소로부터 핵심사업 영역을 보호하는 활동
준거성	8	범죄, 민/형사상 법률, 규제에 대한 위반 방

정보 자산의 기밀성, 무결성, 가용성을 실현하기 위하여 프로세스를 체계적으로 수립, 문서화하는 과정에 대한 적합성을 인증 받는 국제표준이다.
ISO/IEC 27001은 정보 보호에 대한 다양한 위협에 가장 효과적이고 효율적으로 대처하기 위한 조직의 모델과 Best Practice를 제공하고 있다.이를 위하여 ISO/IEC 27001은 시스템 실행 지침(Code of Practice for Information Security Management)과 ISO/IEC 27001:2005(Specification for Information Security Management System) 인증 표준으로 구성되어 있다.

2) 정보 보호 성과 지표의 전제 조건

정보보호 성과지표	전제조건
대표성	- 정보보호 범위와 목적의 반영, 정보보호 주제의 내용을 대표
신뢰성	- 정량적이고 공인된 지수로 받아들여질 수 있는 결과 신뢰성 확보
객관성	- 각 평가결과의 투명성과 객관성, 언제 어디서든 동일한 결과 확보
적시성	- 보안위협의 변화, 공격기법의 다변화에 대한 유연화 대응
차별성	- 일반적인 체크리스트, 점검항목과의 차별화

① 대표성

각 지표는 정보 보호의 범위와 목적을 분명하게 반영할 수 있어야 하며 정보 보호와 관련된 여러 주제의 내용을 대표할 수 있어야 한다. 즉, 정보 보호를 위한 업무 영역을 정확히 분류하고 전체적인 내용을 평가할 수 있는 지표를 수립하는 것이 중요하다.

② 신뢰성

각 지표들은 정량적이고 공인된 지수로 받아들일 수 있도록 평가 결과에 대한 신뢰성을 확보할 수 있어야 한다.

③ 객관성

각 지표별 평가 결과는 조직의 정보 보안 수준을 투명하고 객관적으로반영할 수 있어야 하며 언제, 어디서, 누구에 의해서라도 합리적이고 동일한 결과를 얻을 수 있도록 구성되어야 한다.

④ 적시성

보안 위협의 변화, 보안 사고의 유형 진화, 보안 공격 기법의 다변화에 대하여 유연하고 정확하게 대응할 수 있어야 한다.

⑤ 차별성

각각의 지표들은 모두 차별화되어야 하며 유사한 체크리스트, 점검 항목들과는 다르게 구성하여야 한다.

4-2. 정보 보호 성과 측정 및 분석

1) 정보 보호 관리 프로세스 모델

 - 정보 보호관리 성숙도 모델(Information Security Management Maturity Model: ISM3)은 정보 보호의 일반 프로세스에 초점을 맞춘 성숙도 평가 모델로서 이론과 실무 간의 격차를 좁히고 보안 관리와 성숙도 모델을 연결하고자 2004년 ISECOM (Institute for Security and Open Methodology)에 의하여 등장하였다.
 - ISM3는 정보 보호를 하나의 품질 이슈로 간주하고 프로세스에 대한 문서화를 필수로 요구한다.
ISM3는 총 46개의 프로세스를 일반적(Generic), 전략적(Strategic), 전술적(Tactical), 운영적(Operational)의 4가지 영역으로 분류하고 있다.
① 전략적(지시 및 제공): 정보 보호나 물리적 보안 등에 대한 리더십과 서로간의 조화를 제공하고 정보 보호 관리 시스템에 대한 검토 및 개선을 수행한다.
② 전술적(구현 및 최적화): 운영 관리를 위한 환경을 정의하고, 보안 목표를 정의하며, 이를 달성하기 위한 적절한 프로세스 선택을 수행한다.
③ 운영적(실행 및 보고): 자산 식별 및 보호, 생명 주기 관리를 통하여 정보 시스템을 보호 및 개선시키며, 효율적이고 효과적으로 자원을 할당한다.

또한 ISM3은 문서화, 활동, 범위, 비가용성, 효과성, 자원 사용 비율, 합목적성,효율성의 8가지 척도를 사용하여 정보보호 프로세스를 관리함으로써 관리자는 결과를 간단하게 살펴볼 수 있다.