정보보호 거버넌스

1. 정보보호 거버넌스 2008. 4. 7 한국 IBM Tivoli 사업부 박형근 과장 (CISA, CISSP)

2. 목차 • 정보보호 거버넌스 배경 • 정보보호 거버넌스의 정의 • 왜 정보보호 거버넌스를 도입해야 하는가? • 정보보호 거버넌스 .vs. 정보보호 관리체계(ISMS) • (정보)보안 거버넌스 .vs. IT 거버넌스 • 정보보호 거버넌스 구현 목표 • 정보보호 거버넌스 프레임워크 • 성과 관리 모델: Security BSC(Balanced ScoreCard) • 성과 관리 모델: ROSI (Return On Security Investment) • ITGI 정보보호 거버넌스 성숙도 모델 • 보안 성과 측정 지표 • 정보보호 거버넌스 구현

3. 1. 정보보호 거버넌스 배경 • 국가, 기업 간 보안 장벽(Security Round) 대두: PCI, 삼성자동차(ISO27001), 현대자동차(5 Star 등급제도) • 증가하는 법, 규제 사항의 컴플라이언스 유지를 위한 보안 및 통제 요구 사항 증대 • 고객의 보안 인식 향상으로 비즈니스적인 보안 요구 사항 증대: 개인정보보호 • 영업 및 산업 기밀 보호를 위한 비즈니스적 보안 요구 사항 증대 • 보안 투자에 대한 가시적 효과 및 성과 관리 요구 • 비즈니스 정보 위험 관리 • 정보 보호 조직의 정보 보안 활동의 한계와 효과성 문제. • 이제는 정보 보안이 아니라 비즈니스 보안이다!!! 비즈니스와 보안의 연계 필요성 증대

4. 보안 투자 성과 가시성 확보 규제 준수와 지속적 정보보호 수준 향상 국내 정보 보호 수준 향상 1. 정보보호 거버넌스 배경 - 최고 경영자: 각종 규제 준수 방안 수립 및 이를 위한 적정 투자 수준 결정- 보안 담당자: 조직 문화와 정보보호 성숙도에 따른 효과적/효율적 정보보호 관리 체계 수립 - 최고 경영자: 현 정보 보안 투자에 대한 성과 가시화 요구- 보안 담당자: IT 거버넌스 체계 하에서 정보보호 투자 유치를 위한 성과 가시화 방법 요구 정보 보호 기술의 도입만으로 될 것인가?* 정보 보안은 단순한 기술적 문제가 아니라, 조직 문화, 정보 보호 프로세스, 정보 보호 기술의 총합이라는 인식 필요

5. 2. 정보보호 거버넌스의 정의 정보보호 거버넌스는 이사회와 경영진의 책임 하에 수행되는 기업 거버너스의 일부로서 정보 보안에 대한 투자 성과를 기반으로 의사 결정에 대한 권한과 책임을 정의하고, 정보 보안 활동이 조직의 전략과 목표를 유지하고 향상시킬 수 있게 하는 조직 구조, 프로세스, 기술을 말한다. 2007.11 박형근(CISA, CISSP)

6. 3. 왜 정보보호 거버넌스를 도입해야 하는가? • 시간과 비용 통제로 정보보안 활동의 효율성과 효과성 향상 • 내부 절차와 통제 향상, 비즈니스 프로세스 개선 • 정보보안과 비즈니스 활동 사이의 균형 • 정보보안 정책과 정책의 준수 보증 • 책임 소재의 부재 혹은 정보의 부정확성으로 인해 야기되는 법적 규제 사항의 위반 방지 • 제한된 보안 자원을 보다 효과적이고 최적화하게 배치 운영 • 정보보안 프로그램의 질적 향상과 높은 성공률 보장 • 정보 보안 투자에 대한 성과 가시화 요구

7. 4. 정보보호 거버넌스 .vs. 정보보호 관리체계(ISMS)

8. 5. (정보)보안 거버넌스 .vs. IT 거버넌스 기업 거버넌스 IT 거버넌스 기업보안 거버넌스 정보보호 거버넌스 컨버젼스 통일성

9. 6. 정보보호 거버넌스 구현 목표 조직 목표를 지원하는 정보 보안 투자를 최적화하는 가치 전달 IS Value Delivery “direct” 수용 가능한 수준으로 정보 자산의 잠재적 영향을 줄이고, 위험을 관리하기 위해 적절한 평가를 수행하는 위험 관리 IS Strategic Alignment Stakeholder Value Drivers Risk & Resource Management 비즈니스 전략에 대한 정보 보안의 전략적 연계 정보보호 지식과 인프라를 효율적이고, 효과적으로 운영하기 위한 자원 관리 Performance Measurement “control” 조직 목표 달성을 보증하기 위한 정보보호 거버넌스 척도를 기준으로 모니터링, 보고 및 평가를 수행하는 성과 관리

10. 6. 정보보안 거버넌스 구현 목표 ◎ 전략적 연계 ◎ 성과 관리 • 정보보안 활동이 비즈니스 목표와 연계 • 정보보안 전략 라이프사이클 관리 • 커뮤니케이션을 위해 비즈니스 용어로 재정의 • CSF와 KPI 정의 • KPI 측정 및 모니터링 • 성과 트랜드 분석 및 조정 활동 수행 • 위험 관리 활동 및 IT 표준 운영 체계와 연계 ◎ 가치 전달 ◎ 위험 관리 • 비즈니스 목표 지원 • 표준화와 최적화로 운영 및 개발 비용 절감 • 비즈니스 이니셔티브 • 정보 자산의 가치 식별과 위험 평가 • 가치에 기반한 대응 전략 수립 • 위험 관리와 표준 기반의 IT 운영 관리와의 연계 ◎ 자원 관리 • 정보 보안 자원의 효율적, 효과적 운영 • 표준화된 프로세스 정립 및 최적화를 통한 비용 절감

11. BSC + ROSI 출처: Information Security Governance: A model based on the Direct–Control Cycle, 2006 Elsevier 통제 7. 정보보호 거버넌스 프레임워크: Direct–Control Cycle Model

12. 정보보호 거버넌스 통제 시스템 IT 통제 정보보호 통제 COBIT PO AI DS M IS(ISO 27001 & KISA ISMS) 정보보호 관리체계 (ISO 27001 & KISA ISMS) 정보기술 관리체계 (예, ITIL/ITSM) 정보 위험 관리 7. 정보보호 거버넌스 통제 프레임워크 (Benchmarking Model) 출처: 2006 ISACA, Vernon Poole(CISM)

13. 비즈니스 요구사항 효과성 비밀성 컴플라이언스 효율성 무결성 가용성 신뢰성 인프라스트럭쳐 정보보호거버넌스관리 대상 데이터와 정보 전략적 수준 기반 기술 프로세스 인적 자원 역할과 책임 전술적 수준 (COBIT) 운영적 수준 (PDCA) 7. 정보보호 거버넌스 프레임워크: PHK 모델

14. 비즈니스 요구사항 이사회 최고경영자 경영(IT)전략 위원회 컴플라이언스 효율성 가용성 효과성 무결성 신뢰성 비밀성 전략적 결정 성과와 보안 정보 정보 보안 전략 CSO 정보 보안 위원회 가치 전달 전략적 연계 자원 관리 성과 관리 위험 관리 정보 보안 정책과 표준 보안 담당자 보안 실무자 계획 실행 확인 조정 정보 보안 절차와 운영 7. 정보보호 거버넌스 프레임워크: PHK 모델

15. 8. 성과 관리 모델: Security BSC(Balanced ScoreCard)

16. 8. 성과 관리 모델: Security BSC(Balanced ScoreCard) 출처: Giga Information Group

17. 8. 성과 관리 모델: Security BSC(Balanced ScoreCard)

18. 9. 성과 관리 모델: ROSI (Return On Security Investment) • Risk Exposure: ALE = SLE X ARO = 25,000원, 연간 4회 발생 = 100,000원- ALE: Annual Loss Exposure- SLE: Single Loss Exposure- ARO: Annual Rate Occurrence • Risk Mitigated: 75%/100 = 0.75 • Solution Cost: 25,000원

19. 10. ITGI 정보보호 거버넌스 성숙도 모델

20. 10. ITGI 정보보호 거버넌스 성숙도 모델

21. 10. ITGI 정보보호 거버넌스 성숙도 모델

22. 11. 보안 성과 측정 지표

23. 11. 보안 성과 측정 지표

24. 12. 정보보호 거버넌스 구현 1단계: 정보보호 거버넌스 시작(Initiation)- 최고 경영자의 도입 의지 표명 및 구현 결정 - 정보보호 위원회 결성.- 역할 및 책임 정의(R&R)- 정보보호 위원회 및 관련자의 정보보호 거버넌스 연구① 전략적 계획 기법(PEST 혹은 SWAT 등)을 사용하여 계획 및 구현에 대한 정보보호 위원회 구성원 간의 이해 및 필요성 공유② 정보보호 거버넌스 및 정보보호 관리체계 모델 연구, 벤치마킹 수행③ CobiT, ISO27001, KISA ISMS 등 표준연구 ④ 정보보호 거버넌스 프레임워크 개발 및 선정- 중장기 비즈니스 목표에 대한 정보보호 거버넌스 하의 전략적 계획 및 목표 선정

25. 12. 정보보호 거버넌스 구현 2단계: 정보보호 거버넌스 분석(Diagnosis)- 정보보호 거버넌스 구현을 위한 TASK Force Team 구성(필요 조직 & 프로세스) - 평가: 위험, 정보보안 프로세스 성숙도- 차이(Gap) 분석: 표준 프로세스 혹은 구현하려고 하는 프로세스와 현재의 프로세스 사이의 차이 분석 수행- 요구사항 식별① 비즈니스로부터 요구되는 각 프로세스별 보안 요구사항 식별② 각 프로세스 별 핵심 성공 요소(CSF) 식별.③ 핵심 성공 요소에 따른 핵심성과지표(KPI), 핵심위험지표(KRI), 핵심준수지표(KCI) 개발 및 선정- 정보보호 거버넌스 구현 권고 사항 연구

26. 12. 정보보호 거버넌스 구현 3단계: 정보보호 거버넌스 구현(Establishment)- 우선 순위 설정: 비즈니스 우선 순위에 따른 성숙도 목표와 구현 대상 프로세스 선정- 정보보호 거버넌스 관련 필요 솔루션 혹은 개발 검토 및 선정. - 정보보호 거버넌스 프로젝트 계획 수립

27. 12. 정보보호 거버넌스 구현 4단계: 정보보호 거버넌스 수행(Act)- 정보보호 거버넌스 프로세스와 솔루션 개발- 정보보호 거버넌스 프로세스와 솔루션 테스트(Pilot)- 정보보호 거버넌스 프로세스와 솔루션 고도화(Refinement)- 정보보호 거버넌스 프로세스와 솔루션 배치(Deployment)- 정보보호 거버넌스 프로세스와 솔루션 운영 및 관리

28. 12. 정보보호 거버넌스 구현 5단계: 정보보호 거버넌스 학습(Learning)- 운영 중인 정보보호 거버넌스 프로세스와 솔루션 분석 및 확인① 분석 단계에서 수립한 핵심성과지표(KPI), 핵심위험지표(KRI), 핵심준수지표(KCI)에 의한 성과 측정 수행 및 성숙도 평가 ② ROSI 혹은 Security BSC에 의한 성과 관리 수행 및 정보보호 전략 수정

29. 비즈니스 전략 목표 BSC (보안 전략 목표와 측정지표) 위험 평가 보안에 대한 전략적 결정과 이행 계획 수립 보안 정책 재검토 (유지, 신설, 변경, 삭제) 정보 보안 활동 (절차, 지침, 구현 등) 보안 측정 지표에 의한 성과 측정 12. 정보보호 거버넌스 구현