2008. 4. 7 한국 IBM Tivoli 사업부 박형근 과장 (CISA, CISSP) 정보보호 거버넌스 2008. 4. 7 한국 IBM Tivoli 사업부 박형근 과장 (CISA, CISSP)
목차 정보보호 거버넌스 배경 정보보호 거버넌스의 정의 왜 정보보호 거버넌스를 도입해야 하는가? 정보보호 거버넌스 .vs. 정보보호 관리체계(ISMS) (정보)보안 거버넌스 .vs. IT 거버넌스 정보보호 거버넌스 구현 목표 정보보호 거버넌스 프레임워크 성과 관리 모델: Security BSC(Balanced ScoreCard) 성과 관리 모델: ROSI (Return On Security Investment) ITGI 정보보호 거버넌스 성숙도 모델 보안 성과 측정 지표 정보보호 거버넌스 구현
비즈니스와 보안의 연계 필요성 증대 1. 정보보호 거버넌스 배경 국가, 기업 간 보안 장벽(Security Round) 대두: PCI, 삼성자동차(ISO27001), 현대자동차(5 Star 등급제도) 증가하는 법, 규제 사항의 컴플라이언스 유지를 위한 보안 및 통제 요구 사항 증대 고객의 보안 인식 향상으로 비즈니스적인 보안 요구 사항 증대: 개인정보보호 영업 및 산업 기밀 보호를 위한 비즈니스적 보안 요구 사항 증대 보안 투자에 대한 가시적 효과 및 성과 관리 요구 비즈니스 정보 위험 관리 정보 보호 조직의 정보 보안 활동의 한계와 효과성 문제. 이제는 정보 보안이 아니라 비즈니스 보안이다!!! 비즈니스와 보안의 연계 필요성 증대
1. 정보보호 거버넌스 배경 보안 투자 성과 가시성 확보 - 최고 경영자: 현 정보 보안 투자에 대한 성과 가시화 요구 - 보안 담당자: IT 거버넌스 체계 하에서 정보보호 투자 유치를 위한 성과 가시화 방법 요구 규제 준수와 지속적 정보보호 수준 향상 - 최고 경영자: 각종 규제 준수 방안 수립 및 이를 위한 적정 투자 수준 결정 - 보안 담당자: 조직 문화와 정보보호 성숙도에 따른 효과적/효율적 정보보호 관리 체계 수립 국내 정보 보호 수준 향상 정보 보호 기술의 도입만으로 될 것인가? * 정보 보안은 단순한 기술적 문제가 아니라, 조직 문화, 정보 보호 프로세스, 정보 보호 기술의 총합이라는 인식 필요
정보보호 거버넌스는 이사회와 경영진의 책임 하에 수행되는 기업 거버너스의 일부로서 정보 보안에 대한 투자 성과를 2. 정보보호 거버넌스의 정의 정보보호 거버넌스는 이사회와 경영진의 책임 하에 수행되는 기업 거버너스의 일부로서 정보 보안에 대한 투자 성과를 기반으로 의사 결정에 대한 권한과 책임을 정의하고, 정보 보안 활동이 조직의 전략과 목표를 유지하고 향상시킬 수 있게 하는 조직 구조, 프로세스, 기술을 말한다. 2007.11 박형근(CISA, CISSP)
3. 왜 정보보호 거버넌스를 도입해야 하는가? 시간과 비용 통제로 정보보안 활동의 효율성과 효과성 향상 내부 절차와 통제 향상, 비즈니스 프로세스 개선 정보 보안과 비즈니스 활동 사이의 균형 정보 보안 정책과 정책의 준수 보증 책임 소재의 부재 혹은 정보의 부정확성으로 인해 야기되는 법적 규제 사항의 위반 방지 제한된 보안 자원을 보다 효과적이고 최적화하게 배치 운영 정보보안 프로그램의 질적 향상과 높은 성공률 보장 정보 보안 투자에 대한 성과 가시화 요구
4. 정보보호 거버넌스 .vs. 정보보호 관리체계(ISMS) 항목 정보보호 거버넌스 정보보호 관리체계 목표 - 정보보호 활동에 있어 비즈니스 가치를 구현하도록 통제하는데 목적(경영진 대상) - 효율적인 정보보호를 하기 위한 관리 목적 (정보보호조직 대상) 보안전략 - 비즈니스와의 전략적 연계 중요시 - 비즈니스와의 전략적 연계를 위한 보안 전략맵 수립 중요 - 보안 전략으로부터 출발 (경영진의 참여) - 비용 관리(Financial Management) 개념 중요 - 비즈니스와의 전략적 연계의 중요성을 인지하나, 기본적으로 위험 평가로부터 출발 - 보안 정책으로부터 출발 (경영진의 승인) - 비용 관리(Financial Management) 개념 부재 보안 조직 - 중앙 집중형, 지방 분권형, 연방형 등 다양한 조직 형태에 대해 논의 - 중앙집중적 통제 조직 운영 기준으로 효율적 조직 형태에 대한 논의 미약 가치 창출 - 비즈니스 보호 뿐만 아니라, 직접적인 비즈니스 기여 중시 - 비즈니스 보호를 위한 통제 중심 성과 측정 - 정보보호 활동에 대한 성과 지표 수립과 측정 활동 중요. - 정보보호 활동에 대한 성과 측정에 대해 직접적으로 다루지 않음.
5. (정보)보안 거버넌스 .vs. IT 거버넌스 기업 거버넌스 IT 거버넌스 기업보안 거버넌스 정보보호 거버넌스 통일성 컨버젼스
“direct” “control” 6. 정보보호 거버넌스 구현 목표 IS Value Delivery IS Strategic 조직 목표를 지원하는 정보 보안 투자를 최적화하는 가치 전달 IS Value Delivery “direct” 수용 가능한 수준으로 정보 자산의 잠재적 영향을 줄이고, 위험을 관리하기 위해 적절한 평가를 수행하는 위험 관리 IS Strategic Alignment Stakeholder Value Drivers Risk & Resource Management 비즈니스 전략에 대한 정보 보안의 전략적 연계 정보보호 지식과 인프라를 효율적이고, 효과적으로 운영하기 위한 자원 관리 Performance Measurement “control” 조직 목표 달성을 보증하기 위한 정보보호 거버넌스 척도를 기준으로 모니터링, 보고 및 평가를 수행하는 성과 관리
6. 정보보안 거버넌스 구현 목표 ◎ 전략적 연계 ◎ 성과 관리 정보보안 활동이 비즈니스 목표와 연계 정보보안 전략 라이프사이클 관리 커뮤니케이션을 위해 비즈니스 용어로 재정의 CSF와 KPI 정의 KPI 측정 및 모니터링 성과 트랜드 분석 및 조정 활동 수행 위험 관리 활동 및 IT 표준 운영 체계와 연계 ◎ 위험 관리 ◎ 가치 전달 정보 자산의 가치 식별과 위험 평가 가치에 기반한 대응 전략 수립 위험 관리와 표준 기반의 IT 운영 관리와의 연계 비즈니스 목표 지원 표준화와 최적화로 운영 및 개발 비용 절감 비즈니스 이니셔티브 ◎ 자원 관리 정보 보안 자원의 효율적, 효과적 운영 표준화된 프로세스 정립 및 최적화를 통한 비용 절감
7. 정보보호 거버넌스 프레임워크: Direct–Control Cycle Model BSC + ROSI 통제 출처: Information Security Governance: A model based on the Direct–Control Cycle, 2006 Elsevier
7. 정보보호 거버넌스 통제 프레임워크 (Benchmarking Model) COBIT PO AI DS M IS(ISO 27001 & KISA ISMS) 정보기술 관리체계 (예, ITIL/ITSM) 정보보호 관리체계 (ISO 27001 & KISA ISMS) 정보 위험 관리 IT 통제 정보보호 통제 정보보호 거버넌스 통제 시스템 출처: 2006 ISACA, Vernon Poole(CISM)
7. 정보보호 거버넌스 프레임워크: PHK 모델 비즈니스 요구사항 정보보호 거버넌스 관리 대상 역할과 책임 컴플라이언스 효과성 인적 자원 프로세스 기반 기술 데이터와 정보 인프라스트럭쳐 전략적 수준 전술적 수준 (COBIT) 운영적 수준 (PDCA) 효과성 효율성 비밀성 무결성 가용성 컴플라이언스 신뢰성
7. 정보보호 거버넌스 프레임워크: PHK 모델 이사회 최고경영자 경영(IT)전략 위원회 CSO 정보 보안 보안 담당자 보안 실무자 전략적 연계 위험 관리 자원 성과 가치 전달 계획 실행 확인 조정 비즈니스 요구사항 정보 보안 전략 정보 보안 정책과 표준 정보 보안 절차와 운영 성과와 보안 정보 전략적 결정 비밀성 효율성 무결성 가용성 컴플라이언스 신뢰성 효과성
8. 성과 관리 모델: Security BSC(Balanced ScoreCard)
8. 성과 관리 모델: Security BSC(Balanced ScoreCard) 고객 지향 투명한 보안 체계 구축 습관적 보안 인식 목표: - 고객 만족 - 비즈니스와의 연계 - 서비스 레벨의 성과 비즈니스 가치 비즈니스의 기여자, 추진자. 지원이 아니라 파트너. - 보안 선도의 비즈니스 가치 - 보안 투자의 책임 - 전략적 기여 운영 효율 증대 효율적, 효과적, 혁신적 보안 체계 구축 - 효율성과 효과성의 최적화 - 엔터프라이즈 아키텍처 진화 - 비즈니스 단위를 통해 협력 증진 - 응답성 인식 및 성장 지향 기업 목표에 보다 잘 도달하기 위한 보안 성장 증진과 학습 - 사용자 지식과 효과성 - 보안 담당자의 전문성 향상 - 최신 기술 연구 출처: Giga Information Group
8. 성과 관리 모델: Security BSC(Balanced ScoreCard)
9. 성과 관리 모델: ROSI (Return On Security Investment) Risk Exposure: ALE = SLE X ARO = 25,000원, 연간 4회 발생 = 100,000원 - ALE: Annual Loss Exposure - SLE: Single Loss Exposure - ARO: Annual Rate Occurrence Risk Mitigated: 75%/100 = 0.75 Solution Cost: 25,000원
10. ITGI 정보보호 거버넌스 성숙도 모델
10. ITGI 정보보호 거버넌스 성숙도 모델 수준 0: 인식 부재 - 정보보호 거버넌스의 필요성에 대한 인식 부재 수준 1: 시작 정보보호 거버넌스의 필요성 인식 조직, 프로세스, 기술 구조는 체계화되어 있지 않고, 표준 부재 지원 조직과 정보보호가 연계되어 있지 않음. 툴과 서비스가 연계되어 있지 않음. 사고에 대한 대응력이 미약함. 수준 2: 반복 정보보호 거버넌스의 필요성 인식 확산 정보보호 거버넌스 활동과 핵심지표 일부 수립 시작 표준화 없이 부가 조직에서 시험 적용 방법론 없이 품질 향상 노력 시작하나 사고 반복 지속. 변경 통제 부재 수준 3: 정의 보다 높은 수준의 정보보호 거버넌스 인식 프로세스들이 표준화되고, 구현되고, 문서화됨. 변경 통제 안정된 성과 지표 운영
10. ITGI 정보보호 거버넌스 성숙도 모델 수준 4: 관리 수준 5: 최적화 기업 내 개별 수준에서 정보보호 거버넌스 인식의 확산 서비스 목록 구현과 서비스 수준 협약(SLA) 설정 재무 관리(Financial Management) 부재 지속적 향상을 위한 프로세스 시작 수준 5: 최적화 정보보호 거버넌스 인식 보편화 재무 관리 (ROSI 적용) 모범 사례 적용 및 관리 정보보호 거버넌스 지속 향상 지속적인 프로세스 최적화
11. 보안 성과 측정 지표 Risk Management (KRI) % of system without security controls % of system analyzed % of physical environment analyzed % of Business impact analyzed Policy Compliance (KCI) % of non-compliance with norms and laws % of non-compliance with the security policy % of internal controls not implemented % of control system audits % of system/services monitored by IPS/IDS. Asset % of assets classified % of owners defined % of assets labeled Knowledge % of users trained % of managers/technicians trained total time invested in security awareness/ education/ training % of weak passwords
11. 보안 성과 측정 지표 Total of reported incidents Management Total of reported incidents Total of incident responses Average time taken by incident responses % of learning from incidents % of skilled people to deal with incidents Continuity % of tests of emergency plans % of critical assets enclosed in recovery plans % of disasters solved % of skilled people to implement the diaster recovery plan Security Infrastructure Amount of meetings/workshops promoted by the Security Committee % of participation of stakeholders in meetings/workshops. % of planning actions implemented % of management processes documented % of outsourcing services % of IT budget allocated for IS % projects involving the IS department
1단계: 정보보호 거버넌스 시작(Initiation) - 최고 경영자의 도입 의지 표명 및 구현 결정 12. 정보보호 거버넌스 구현 1단계: 정보보호 거버넌스 시작(Initiation) - 최고 경영자의 도입 의지 표명 및 구현 결정 - 정보보호 위원회 결성. - 역할 및 책임 정의(R&R) - 정보보호 위원회 및 관련자의 정보보호 거버넌스 연구 ① 전략적 계획 기법(PEST 혹은 SWAT 등)을 사용하여 계획 및 구현에 대한 정보보호 위원회 구성원 간의 이해 및 필요성 공유 ② 정보보호 거버넌스 및 정보보호 관리체계 모델 연구, 벤치마킹 수행 ③ CobiT, ISO27001, KISA ISMS 등 표준 연구 ④ 정보보호 거버넌스 프레임워크 개발 및 선정 - 중장기 비즈니스 목표에 대한 정보보호 거버넌스 하의 전략적 계획 및 목표 선정
12. 정보보호 거버넌스 구현 2단계: 정보보호 거버넌스 분석(Diagnosis) - 정보보호 거버넌스 구현을 위한 TASK Force Team 구성(필요 조직 & 프로세스) - 평가: 위험, 정보보안 프로세스 성숙도 - 차이(Gap) 분석: 표준 프로세스 혹은 구현하려고 하는 프로세스와 현재의 프로세스 사이의 차이 분석 수행 - 요구사항 식별 ① 비즈니스로부터 요구되는 각 프로세스별 보안 요구사항 식별 ② 각 프로세스 별 핵심 성공 요소(CSF) 식별. ③ 핵심 성공 요소에 따른 핵심성과지표(KPI), 핵심위험지표(KRI), 핵심준수지표(KCI) 개발 및 선정 - 정보보호 거버넌스 구현 권고 사항 연구
12. 정보보호 거버넌스 구현 3단계: 정보보호 거버넌스 구현(Establishment) - 우선 순위 설정: 비즈니스 우선 순위에 따른 성숙도 목표와 구현 대상 프로세스 선정 - 정보보호 거버넌스 관련 필요 솔루션 혹은 개발 검토 및 선정. - 정보보호 거버넌스 프로젝트 계획 수립
12. 정보보호 거버넌스 구현 4단계: 정보보호 거버넌스 수행(Act) - 정보보호 거버넌스 프로세스와 솔루션 개발 - 정보보호 거버넌스 프로세스와 솔루션 테스트(Pilot) - 정보보호 거버넌스 프로세스와 솔루션 고도화(Refinement) - 정보보호 거버넌스 프로세스와 솔루션 배치(Deployment) - 정보보호 거버넌스 프로세스와 솔루션 운영 및 관리
12. 정보보호 거버넌스 구현 5단계: 정보보호 거버넌스 학습(Learning) - 운영 중인 정보보호 거버넌스 프로세스와 솔루션 분석 및 확인 ① 분석 단계에서 수립한 핵심성과지표(KPI), 핵심위험지표(KRI), 핵심준수지표(KCI)에 의한 성과 측정 수행 및 성숙도 평가 ② ROSI 혹은 Security BSC에 의한 성과 관리 수행 및 정보보호 전략 수정
12. 정보보호 거버넌스 구현 비즈니스 전략 목표 BSC 위험 평가 (보안 전략 목표와 측정지표) 보안에 대한 전략적 결정과 이행 계획 수립 보안 정책 재검토 (유지, 신설, 변경, 삭제) 정보 보안 활동 (절차, 지침, 구현 등) 보안 측정 지표에 의한 성과 측정