정보보안 관리자 보고 체계 모델

보고체계

정보보안과 관련한 사항들에 대한 보고의 체계에 대한 다양한 모델에 대해서 알아본다.

 

상위 경영진에게 직접 보고

1. 정보보호 중요성에 대한 가시성을 제공해야 하고 중간보고 계통을 통해 왜곡된 메시지가 전달되는 것을 방지하기 위해 상위 경영진에게 직접 보고한다.

 

2. 현업과의 관계 : 정보보호관리자는 상위 경영진뿐만 아니라 중간 관리자, 일반 직원과도 좋은 관계를 유지해야 한다. 왜냐하면, 일반 직원들의 일상적 활동을 통해 정보보호 관련 정보를 수집할 수 있기 때문이다. 적절한 관계가 유지되지 못하면, 정보보호 부서는 혁신을 느리게 진행하는 부서, 정책구현의 장애물, 오버헤드 비용 발생시키는 부서처럼 인식될 수 있다.

 

3. CEO에게 직접 보고함으로써 메시지 필터링을 감소시키고 정보보호의 중요성을 조직 전체에 인식시킨다. 단, CEO가 다른 일로 시간이 부족하거나 기술적 배경 지식이 없을 수 있으므로 이를 고려해야 한다.

 

IT 부서에 보고

1. 정보보호 관리자가 직접 CIO에게 보고한다.

 

2. 장점 : CIO가 기술적 배경지식을 보유하고 있기 때문에 이해가 빠르며, IT 부서와 많은 의사소통을 통해 적절한 관계를 유지할 수 있다.

 

3. 단점 : 이해관계 충돌 발생시 정보보호의 비중이 약화될 수 있다.

 

회사 보안부서에 보고

회사 보안부서는 보통 물리적 보안을 담당하고 있으므로, 정보보호에 대한 배경 지식이 부족할 수 있다. 회사 보안부서의 강압적 스타일이 다른 부서와의 관계 유지를 어렵게 할 수 있다는 것을 고려한다.

 

관리부서에 보고

1. 관리부서는 보통 물리적 보안, 직원 안전, 인사 등의 업무를 수행하고 있다.

 

2. 모든 형태의 정보(종이, 말, 전자적 형태 등)에 대한 보안에 초점을 두게 된다.

 

3. 관리 부서장이 기술적 배경지식이 부족할 수 있다.

 

위험관리 부서에 보고

 

은행, 증권사, 연구소 등을 CRO(Chief of Risk Officer)를 통해 위험 관리를 수행하고 있다. 단, CRO는 정보 시스템에 대한 지식이 부족하거나 일상적인 정보보호 운영에 관심이 적을 수 있다는 것을 고려한다.

 

내부감사 부서에 보고

1. 내부감사 부서의 특징

1) 조직의 통제 구조에 대한 효과성 평가를 수행한다.

2) 부서의 속성상 조직의 다른 부서와 적대적 관계일 수 있다.

 

2. 내부감사 부서는 보통 재무적, 운영적, 일반적 통제에 대한 지식을 보유하고 있다.

 

3. 내부감사 부서는 이사회와 긴밀한 관계를 유지하고 있으므로, 정보보호 관리자는 내부감사 부서를 통해 이사회까지 보고 라인을 구축할 수 있다.

 

법률 부서에 보고

1. CEO까지의 보고 라인 단축 : 정보보호관리자 -> 법률부서 -> CEO

2. 컴플라이언스에 대한 강조로 인해 컴플라이언스 관련 활동에만 전념할 가능성이 있다.

 

보고체계 구축시 고려사항

- 이해관계 충돌 최소화

- 가시성 증대, 적절한 예산 확보

- 효과적인 커뮤니케이션