한국 IBM Tivoli 사업부 박형근 과장 (CISA, CISSP)

Slides:



Advertisements
Similar presentations
2016 년도 1 학기 정보보호관리체계 (ISMS) 인증 이 강 신
Advertisements

1 Lect. 2 : Introduction II Are you ready to begin?
Certified Management Accountant [ 국제공인 관리회계사 ] ( 토 ) ~ ( 토 ) 년 제 6 기.
제 1 장 관리회계의 개요. 제 1 장의 주요내용 기업경영의 통찰적 분석 회계란 ? 재무회계와 관리회계의 차이는 ? 기업에서의 경영자의 기능은 ? 관리회계의 의의, 순환과정은 ? 관리회계 담당자가 맡은 역할은 ? 원가관리회계와 관련된 다른 경영학 분야에 대해...
HRD 체계 및 계획수립 Contents  HRD 체계 / 계획 수립 기본 Process  성인학습자의 특성  기업 교육의 형태  기업 교육의 일반적 정의  학습이론의 변천  HRD 의 정의  HRD 패러다임 Shift  Mission, Vision,
지식정보의 전략적 관리 한국대학교육협의회 중급관리자 핵심역량 개발과정 (2004 년 7 월 15 일 ) 건양대학교 조세형.
경영회계원리 부산외국어대학교 2009학년도 1학기 Think Globally Act Locally 안녕하십니까 ?
2004 재무•경영 사례대전 - Experience Sharing 사례요약 및 참가신청 안내 가이드 신청서 작성법
회계학 1. 재무회계와 관리회계의 차이를 설명하시오 ?
목 차 Ⅰ. 병원경영의 환경분석 Ⅱ. 병원경영의 전략유형 Ⅲ. 병원경영의 최신기법 Ⅳ. 대응전략 1.
IT 투자성과 분석 e-Business 15장.
인사전략과 인적자원개발 Wisdom21 Management Consulting
Value-driven commitment for CUSTOMER SUCCESS
보안전문가의 요건과 관련 자격증 소개 정보 보안 개론 14장.
비전및중.장기경영전략수립TFT 세미나.
HR Strategy의 전체상 3. 인적자원관리 전략과 기능 1) 인적자원관리 전략과 정책 Unchangeable
인사조직 부분 컨설팅성공사례 ㅡ조직혁신(Organization Innovation) 컨설팅 사례연구ㅡ
BSC 템플릿 및 작성 매뉴얼.
교육과정개발.
직무분석의 이론과 접근방법 전략기업컨설팅 전략기업컨설팅 세종사이버대학교 장수용 교수
Enterprise Architecture 중심의 IT Governance
특허청 혁신 포럼 기업형 정부운영을 위한 혁신 기반 강화 연구 사단 법인 미래정부연구원.
제 1 부 원가관리회계의 기초개념 제1장 원가관리회계란 무엇인가? 제2장 원가개념.
Strategic Planning in Turbulent environment : Evidence from the oil majors, SMJ 24(6), Robert Grant 연세대 기술경영협동과정 박사 2학기 천영준.
IT Governance의 이해와 추진전략
고객만족경영 추진방법.
INI STEEL 성과관리시스템 구축을 위한 SAP 제안설명회
4. ITIL 개요 * ICT : Information & Communication Technology
교육평가 및 효과측정 시스템 POSCO 인재개발원 홍 성 근.
우수기업사례 금호아시아나의 핵심역량 모델링을 통한 교육체계와 인재육성 사례
1. 정보보호 관리체계(ISMS) 이해.
KOSHA 인증제도 안내.
ISO 실무교육 교재.
(Management by Performance Objectives)
1. 6시그마의 개요.
BSC 기법에 의한 성과지표설정방법 강사 : 오영환(달란트HR컨설팅 대표/경영학박사)
ISO 9001:2000 프로세스 접근방법의 이해와 적용 베스트경영컨설팅(BMC).
S18/S49 The VISUAL Quality System
전략 중심의 조직운영 방향 (SFO : Strategic Focused Organization)
재무회계의 환경과 회계기준 1. 재무회계의 본질 및 환경 2. 재무정보의 수요와 공급
품질경영(ISO/FDIS 9001:2008) 개정규격 핵심내용 설명
BSC 구축 프로젝트.
전사 기업관리 사이클 최적화를 통한 경영혁신과 전략적 수행방안
프로젝트 관리 Project Management
3. 위험관리.
아메바경영의 이해와 실천 Wisdom21 Management Consulting
제8장 BSC와 지식경영.
제 13 장 경영혁신과 혁신적 경영기법 학과 교수.
Chap 2 Developing and Implementing Marketing Strategies and Plans
이 랜 드 BSC와 HR scorecard.
자본예산.
통합경영시스템 지도 제안서 ISO 9001, ISO SD경영연구소.
자원관리 (Resource management)
프로그램 개발과 평가 가톨릭 상지대 차호영
9장 아웃소싱 보안구조 신수정.
KPI 이론 및 실무교육.
성과관리ᆞ인사고과
업무 생산성 향상 방안 Wisdom21 Management Consulting
Outsourcing도입전략방식의 연구
Balanced Score Card의 이해 및 활용
공공기관의 성과관리 시스템 정다솔.
과정 정리 오 세 종.
제19장 호텔의 안전관리 제 3부 호텔 업무지원부문의 경영관리 1절 호텔 안전관리의 의의 2절 안전사고의 관리과정
KPI 이론 및 실무교육.
전략적 경영관리.
사업계획서 작성 이중언어세미나.
HackersLab, Consulting Team
목 표 관 리.
인사관리의 의의와 목적.
제5장 계획의 수립.
Presentation transcript:

2008. 4. 7 한국 IBM Tivoli 사업부 박형근 과장 (CISA, CISSP) 정보보호 거버넌스 2008. 4. 7 한국 IBM Tivoli 사업부 박형근 과장 (CISA, CISSP)

목차 정보보호 거버넌스 배경 정보보호 거버넌스의 정의 왜 정보보호 거버넌스를 도입해야 하는가? 정보보호 거버넌스 .vs. 정보보호 관리체계(ISMS) (정보)보안 거버넌스 .vs. IT 거버넌스 정보보호 거버넌스 구현 목표 정보보호 거버넌스 프레임워크 성과 관리 모델: Security BSC(Balanced ScoreCard) 성과 관리 모델: ROSI (Return On Security Investment) ITGI 정보보호 거버넌스 성숙도 모델 보안 성과 측정 지표 정보보호 거버넌스 구현

비즈니스와 보안의 연계 필요성 증대 1. 정보보호 거버넌스 배경 국가, 기업 간 보안 장벽(Security Round) 대두: PCI, 삼성자동차(ISO27001), 현대자동차(5 Star 등급제도) 증가하는 법, 규제 사항의 컴플라이언스 유지를 위한 보안 및 통제 요구 사항 증대 고객의 보안 인식 향상으로 비즈니스적인 보안 요구 사항 증대: 개인정보보호 영업 및 산업 기밀 보호를 위한 비즈니스적 보안 요구 사항 증대 보안 투자에 대한 가시적 효과 및 성과 관리 요구 비즈니스 정보 위험 관리 정보 보호 조직의 정보 보안 활동의 한계와 효과성 문제. 이제는 정보 보안이 아니라 비즈니스 보안이다!!! 비즈니스와 보안의 연계 필요성 증대

1. 정보보호 거버넌스 배경 보안 투자 성과 가시성 확보 - 최고 경영자: 현 정보 보안 투자에 대한 성과 가시화 요구 - 보안 담당자: IT 거버넌스 체계 하에서 정보보호 투자 유치를 위한 성과 가시화 방법 요구 규제 준수와 지속적 정보보호 수준 향상 - 최고 경영자: 각종 규제 준수 방안 수립 및 이를 위한 적정 투자 수준 결정 - 보안 담당자: 조직 문화와 정보보호 성숙도에 따른 효과적/효율적 정보보호 관리 체계 수립 국내 정보 보호 수준 향상 정보 보호 기술의 도입만으로 될 것인가? * 정보 보안은 단순한 기술적 문제가 아니라, 조직 문화, 정보 보호 프로세스, 정보 보호 기술의 총합이라는 인식 필요

정보보호 거버넌스는 이사회와 경영진의 책임 하에 수행되는 기업 거버너스의 일부로서 정보 보안에 대한 투자 성과를 2. 정보보호 거버넌스의 정의 정보보호 거버넌스는 이사회와 경영진의 책임 하에 수행되는 기업 거버너스의 일부로서 정보 보안에 대한 투자 성과를 기반으로 의사 결정에 대한 권한과 책임을 정의하고, 정보 보안 활동이 조직의 전략과 목표를 유지하고 향상시킬 수 있게 하는 조직 구조, 프로세스, 기술을 말한다. 2007.11 박형근(CISA, CISSP)

3. 왜 정보보호 거버넌스를 도입해야 하는가? 시간과 비용 통제로 정보보안 활동의 효율성과 효과성 향상 내부 절차와 통제 향상, 비즈니스 프로세스 개선 정보 보안과 비즈니스 활동 사이의 균형 정보 보안 정책과 정책의 준수 보증 책임 소재의 부재 혹은 정보의 부정확성으로 인해 야기되는 법적 규제 사항의 위반 방지 제한된 보안 자원을 보다 효과적이고 최적화하게 배치 운영 정보보안 프로그램의 질적 향상과 높은 성공률 보장 정보 보안 투자에 대한 성과 가시화 요구

4. 정보보호 거버넌스 .vs. 정보보호 관리체계(ISMS) 항목 정보보호 거버넌스 정보보호 관리체계 목표 - 정보보호 활동에 있어 비즈니스 가치를 구현하도록 통제하는데 목적(경영진 대상) - 효율적인 정보보호를 하기 위한 관리 목적 (정보보호조직 대상) 보안전략 - 비즈니스와의 전략적 연계 중요시 - 비즈니스와의 전략적 연계를 위한 보안 전략맵 수립 중요 - 보안 전략으로부터 출발 (경영진의 참여) - 비용 관리(Financial Management) 개념 중요 - 비즈니스와의 전략적 연계의 중요성을 인지하나, 기본적으로 위험 평가로부터 출발 - 보안 정책으로부터 출발 (경영진의 승인) - 비용 관리(Financial Management) 개념 부재 보안 조직 - 중앙 집중형, 지방 분권형, 연방형 등 다양한 조직 형태에 대해 논의 - 중앙집중적 통제 조직 운영 기준으로 효율적 조직 형태에 대한 논의 미약 가치 창출 - 비즈니스 보호 뿐만 아니라, 직접적인 비즈니스 기여 중시 - 비즈니스 보호를 위한 통제 중심 성과 측정 - 정보보호 활동에 대한 성과 지표 수립과 측정 활동 중요. - 정보보호 활동에 대한 성과 측정에 대해 직접적으로 다루지 않음.

5. (정보)보안 거버넌스 .vs. IT 거버넌스 기업 거버넌스 IT 거버넌스 기업보안 거버넌스 정보보호 거버넌스 통일성 컨버젼스

“direct” “control” 6. 정보보호 거버넌스 구현 목표 IS Value Delivery IS Strategic 조직 목표를 지원하는 정보 보안 투자를 최적화하는 가치 전달 IS Value Delivery “direct” 수용 가능한 수준으로 정보 자산의 잠재적 영향을 줄이고, 위험을 관리하기 위해 적절한 평가를 수행하는 위험 관리 IS Strategic Alignment Stakeholder Value Drivers Risk & Resource Management 비즈니스 전략에 대한 정보 보안의 전략적 연계 정보보호 지식과 인프라를 효율적이고, 효과적으로 운영하기 위한 자원 관리 Performance Measurement “control” 조직 목표 달성을 보증하기 위한 정보보호 거버넌스 척도를 기준으로 모니터링, 보고 및 평가를 수행하는 성과 관리

6. 정보보안 거버넌스 구현 목표 ◎ 전략적 연계 ◎ 성과 관리 정보보안 활동이 비즈니스 목표와 연계 정보보안 전략 라이프사이클 관리 커뮤니케이션을 위해 비즈니스 용어로 재정의 CSF와 KPI 정의 KPI 측정 및 모니터링 성과 트랜드 분석 및 조정 활동 수행 위험 관리 활동 및 IT 표준 운영 체계와 연계 ◎ 위험 관리 ◎ 가치 전달 정보 자산의 가치 식별과 위험 평가 가치에 기반한 대응 전략 수립 위험 관리와 표준 기반의 IT 운영 관리와의 연계 비즈니스 목표 지원 표준화와 최적화로 운영 및 개발 비용 절감 비즈니스 이니셔티브 ◎ 자원 관리 정보 보안 자원의 효율적, 효과적 운영 표준화된 프로세스 정립 및 최적화를 통한 비용 절감

7. 정보보호 거버넌스 프레임워크: Direct–Control Cycle Model BSC + ROSI 통제 출처: Information Security Governance: A model based on the Direct–Control Cycle, 2006 Elsevier

7. 정보보호 거버넌스 통제 프레임워크 (Benchmarking Model) COBIT PO AI DS M IS(ISO 27001 & KISA ISMS) 정보기술 관리체계 (예, ITIL/ITSM) 정보보호 관리체계 (ISO 27001 & KISA ISMS) 정보 위험 관리 IT 통제 정보보호 통제 정보보호 거버넌스 통제 시스템 출처: 2006 ISACA, Vernon Poole(CISM)

7. 정보보호 거버넌스 프레임워크: PHK 모델 비즈니스 요구사항 정보보호 거버넌스 관리 대상 역할과 책임 컴플라이언스 효과성 인적 자원 프로세스 기반 기술 데이터와 정보 인프라스트럭쳐 전략적 수준 전술적 수준 (COBIT) 운영적 수준 (PDCA) 효과성 효율성 비밀성 무결성 가용성 컴플라이언스 신뢰성

7. 정보보호 거버넌스 프레임워크: PHK 모델 이사회 최고경영자 경영(IT)전략 위원회 CSO 정보 보안 보안 담당자 보안 실무자 전략적 연계 위험 관리 자원 성과 가치 전달 계획 실행 확인 조정 비즈니스 요구사항 정보 보안 전략 정보 보안 정책과 표준 정보 보안 절차와 운영 성과와 보안 정보 전략적 결정 비밀성 효율성 무결성 가용성 컴플라이언스 신뢰성 효과성

8. 성과 관리 모델: Security BSC(Balanced ScoreCard)

8. 성과 관리 모델: Security BSC(Balanced ScoreCard) 고객 지향 투명한 보안 체계 구축 습관적 보안 인식 목표: - 고객 만족 - 비즈니스와의 연계 - 서비스 레벨의 성과 비즈니스 가치 비즈니스의 기여자, 추진자. 지원이 아니라 파트너. - 보안 선도의 비즈니스 가치 - 보안 투자의 책임 - 전략적 기여 운영 효율 증대 효율적, 효과적, 혁신적 보안 체계 구축 - 효율성과 효과성의 최적화 - 엔터프라이즈 아키텍처 진화 - 비즈니스 단위를 통해 협력 증진 - 응답성 인식 및 성장 지향 기업 목표에 보다 잘 도달하기 위한 보안 성장 증진과 학습 - 사용자 지식과 효과성 - 보안 담당자의 전문성 향상 - 최신 기술 연구 출처: Giga Information Group

8. 성과 관리 모델: Security BSC(Balanced ScoreCard)

9. 성과 관리 모델: ROSI (Return On Security Investment) Risk Exposure: ALE = SLE X ARO = 25,000원, 연간 4회 발생 = 100,000원 - ALE: Annual Loss Exposure - SLE: Single Loss Exposure - ARO: Annual Rate Occurrence Risk Mitigated: 75%/100 = 0.75 Solution Cost: 25,000원

10. ITGI 정보보호 거버넌스 성숙도 모델

10. ITGI 정보보호 거버넌스 성숙도 모델 수준 0: 인식 부재 - 정보보호 거버넌스의 필요성에 대한 인식 부재 수준 1: 시작 정보보호 거버넌스의 필요성 인식 조직, 프로세스, 기술 구조는 체계화되어 있지 않고, 표준 부재 지원 조직과 정보보호가 연계되어 있지 않음. 툴과 서비스가 연계되어 있지 않음. 사고에 대한 대응력이 미약함. 수준 2: 반복 정보보호 거버넌스의 필요성 인식 확산 정보보호 거버넌스 활동과 핵심지표 일부 수립 시작 표준화 없이 부가 조직에서 시험 적용 방법론 없이 품질 향상 노력 시작하나 사고 반복 지속. 변경 통제 부재 수준 3: 정의 보다 높은 수준의 정보보호 거버넌스 인식 프로세스들이 표준화되고, 구현되고, 문서화됨. 변경 통제 안정된 성과 지표 운영

10. ITGI 정보보호 거버넌스 성숙도 모델 수준 4: 관리 수준 5: 최적화 기업 내 개별 수준에서 정보보호 거버넌스 인식의 확산 서비스 목록 구현과 서비스 수준 협약(SLA) 설정 재무 관리(Financial Management) 부재 지속적 향상을 위한 프로세스 시작 수준 5: 최적화 정보보호 거버넌스 인식 보편화 재무 관리 (ROSI 적용) 모범 사례 적용 및 관리 정보보호 거버넌스 지속 향상 지속적인 프로세스 최적화

11. 보안 성과 측정 지표 Risk Management (KRI) % of system without security controls % of system analyzed % of physical environment analyzed % of Business impact analyzed Policy Compliance (KCI) % of non-compliance with norms and laws % of non-compliance with the security policy % of internal controls not implemented % of control system audits % of system/services monitored by IPS/IDS. Asset % of assets classified % of owners defined % of assets labeled Knowledge % of users trained % of managers/technicians trained total time invested in security awareness/ education/ training % of weak passwords

11. 보안 성과 측정 지표 Total of reported incidents Management Total of reported incidents Total of incident responses Average time taken by incident responses % of learning from incidents % of skilled people to deal with incidents Continuity % of tests of emergency plans % of critical assets enclosed in recovery plans % of disasters solved % of skilled people to implement the diaster recovery plan Security Infrastructure Amount of meetings/workshops promoted by the Security Committee % of participation of stakeholders in meetings/workshops. % of planning actions implemented % of management processes documented % of outsourcing services % of IT budget allocated for IS % projects involving the IS department

1단계: 정보보호 거버넌스 시작(Initiation) - 최고 경영자의 도입 의지 표명 및 구현 결정 12. 정보보호 거버넌스 구현 1단계: 정보보호 거버넌스 시작(Initiation) - 최고 경영자의 도입 의지 표명 및 구현 결정 - 정보보호 위원회 결성. - 역할 및 책임 정의(R&R) - 정보보호 위원회 및 관련자의 정보보호 거버넌스 연구 ① 전략적 계획 기법(PEST 혹은 SWAT 등)을 사용하여 계획 및 구현에 대한 정보보호 위원회 구성원 간의 이해 및 필요성 공유 ② 정보보호 거버넌스 및 정보보호 관리체계 모델 연구, 벤치마킹 수행 ③ CobiT, ISO27001, KISA ISMS 등 표준 연구 ④ 정보보호 거버넌스 프레임워크 개발 및 선정 - 중장기 비즈니스 목표에 대한 정보보호 거버넌스 하의 전략적 계획 및 목표 선정

12. 정보보호 거버넌스 구현 2단계: 정보보호 거버넌스 분석(Diagnosis) - 정보보호 거버넌스 구현을 위한 TASK Force Team 구성(필요 조직 & 프로세스) - 평가: 위험, 정보보안 프로세스 성숙도 - 차이(Gap) 분석: 표준 프로세스 혹은 구현하려고 하는 프로세스와 현재의 프로세스 사이의 차이 분석 수행 - 요구사항 식별 ① 비즈니스로부터 요구되는 각 프로세스별 보안 요구사항 식별 ② 각 프로세스 별 핵심 성공 요소(CSF) 식별. ③ 핵심 성공 요소에 따른 핵심성과지표(KPI), 핵심위험지표(KRI), 핵심준수지표(KCI) 개발 및 선정 - 정보보호 거버넌스 구현 권고 사항 연구

12. 정보보호 거버넌스 구현 3단계: 정보보호 거버넌스 구현(Establishment) - 우선 순위 설정: 비즈니스 우선 순위에 따른 성숙도 목표와 구현 대상 프로세스 선정 - 정보보호 거버넌스 관련 필요 솔루션 혹은 개발 검토 및 선정. - 정보보호 거버넌스 프로젝트 계획 수립

12. 정보보호 거버넌스 구현 4단계: 정보보호 거버넌스 수행(Act) - 정보보호 거버넌스 프로세스와 솔루션 개발 - 정보보호 거버넌스 프로세스와 솔루션 테스트(Pilot) - 정보보호 거버넌스 프로세스와 솔루션 고도화(Refinement) - 정보보호 거버넌스 프로세스와 솔루션 배치(Deployment) - 정보보호 거버넌스 프로세스와 솔루션 운영 및 관리

12. 정보보호 거버넌스 구현 5단계: 정보보호 거버넌스 학습(Learning) - 운영 중인 정보보호 거버넌스 프로세스와 솔루션 분석 및 확인 ① 분석 단계에서 수립한 핵심성과지표(KPI), 핵심위험지표(KRI), 핵심준수지표(KCI)에 의한 성과 측정 수행 및 성숙도 평가 ② ROSI 혹은 Security BSC에 의한 성과 관리 수행 및 정보보호 전략 수정

12. 정보보호 거버넌스 구현 비즈니스 전략 목표 BSC 위험 평가 (보안 전략 목표와 측정지표) 보안에 대한 전략적 결정과 이행 계획 수립 보안 정책 재검토 (유지, 신설, 변경, 삭제) 정보 보안 활동 (절차, 지침, 구현 등) 보안 측정 지표에 의한 성과 측정