정보보안과 위험관리 정의와 주요 개념

정보보안

정보보안 관리에 대한 개념 이해

1. 사람을 속여서 민감한 정보를 유출하게 하는 기술로서 설득과 감언이설을 통해 자신의 신분을 속이거나 사람들을 교묘히 조종하는 것을 사회공학이라 한다.

2. 취약점과 위협을 감소시키면 위험이 감소한다.

3. Countermeasure 또는 Safeguard는 위험을 완화한다.

 

정보보안 관리의 개념

정보보안 관리(Information Secutiry Management)라는 용어의 주인공은 정보이다. 정보(information)라는 것은 기업이나 공공기관의 중요한 자산 중 하나로써 이러한 정보는 보호되어야 할 대상이다. 중요한 정보는 기업이나 조직 내에서 의도한 목적대로 사용되어야 한다. 그러므로 정보는 기업이나 조직의 전략과 목적을 달성하는데 필수불가결한 요소이다. 하지만, 이러한 정보가 의도하지 않은 비인가자에게 노출되거나 갈취당하게 되면 위험을 초래할 수 있다.

그러므로 정보는 관리되어야 한다. 정보보안 관리의 시작을 이러한 중요한 자산인 정보를 인식하고 보호하기 위한 일련의 관리체계를 수립하고 수행하고 점검과 개선을 꾀하는 것이다.

 

정보보안 관리의 주요한 내용

1. 기업이나 조직의 정보 자산은 관리적 기술적, 물리적 통제 활동을 통해 보호하여야 한다.

2. 적절하게 정보 자산을 보호하지 못하면 기업과 조직에 생산성, 명성, 금전적 손실이 발생할 수 있는 확률이 커진다.

3. 정보보안 관리를 통해 적절한 조직의 정책(policy), 절차(procedure), 표준(standard), 지침(guideline)을 개발하여 기업과 조직의 비즈니스 목적과 이를 지원하는 정보보안 통제 간의 적절한 균형을 이룰 수 있다.

4. 정보보안 관리를 효과적으로 수행하기 위해서 고려해야 할 사항은 다음과 같다.

- 수용할 수 있는 위험(acceptable Level of Risk)

- 보안 통제 구현에 필요한 비용

- 비즈니스 관점에서의 효익

5. 100% 완전한 보안 통제 구현은 불가능하다. 시시각각으로 새로운 위협과 취약점이 나타나고 있기 때문이다. 과도한 보안 통제 구현 비용이 소요됨으로 인해 기업과 조직의 비즈니스 가치와 충돌이 일어나고 있다. 즉 비용 대비 구현 효과에 대한 가지 검증이 요구된다.

정보보안 전문가는 기업과 조직의 위험을 수용할 수 있는 위험으로 감소시키기 위해 필요한 관리적, 기술적, 물리적 보호 대책에 대한 지식이 요구된다. 정보보안 전문가는 위험관리에 대한 조언자(Risk Advisor)이지 의사결정자는 아니다.

6. 기업과 조직의 경영진은 최종적으로 수용할 수 있는 위험에 기반한 보안 통제에 투입될 비용을 결정하여야 한다. 투입되는 비용 대비 얻을 수 있는 비즈니스적 가치를 따져야 한다. 정부 규제에 대한 준거 사항을 준수하여야 한다. 잔여 위험(Residual Risk)의 존재와 그에 대한 지속적인 관리가 필요하다.

효과적인 보안 관리를 기업과 조직의 비즈니스 목적을 충족시키면서 수용할 수 있는 수준으로 위험을 낮추는 것이다. 수용할 수 있는 위험으로 위험을 낮추고 나면 잔여 위험이 존재한다. 이러한 잔여 위험을 인지하고 이를 위한 관리는 뒤따라야 한다.

 

정보보안 관리의 주요 내용을 요약하면 다음 내용과 같다.

1. 정보보안 관리는 기업과 조직의 비즈니스 목적을 충족시키면서 수용할 수 있는 수준으로 위험을 낮추는 것이다.

2. 위험은 제거 대상이 아닌 관리 대상이다.

3. 위험은 식별되거나 감소할 수는 있지만 제거될 수는 없다.

4. 정보보안 관리를 위해서는 최고 경영진의 지원과 관심이 꼭 필요하다.

 

정보보안 정책에 대한 전반적인 개념 이해

1. 지침은 조직 내 의무적인 사항이 아닌 권고 사항이다.

2. 절차는 특정 업무를 수행하는 데 필요한 자세한 단계를 기술한 것이다.

3. 정책은 경영 목적/목표와 연계되어야 하고, 주요 목적은 정보보호를 위한 경영자의 방향과 지원을 제공한다.

4. COBIT은 Plan and Organize, Acquire and Implement, Deliver and Support, Monitor and Evaluate 4가지 영역으로 나뉜다.

5. BS 7799 Part 2로부터 ISO/IEC 27001이 개발되었다.