UPDATED. 2021-09-23 11:01 (목)
정보보호최고책임자 업무·역할 제시
정보보호최고책임자 업무·역할 제시
  • 박광하 기자
  • 승인 2021.06.15 06:00
  • 댓글 0
이 기사를 공유합니다

과기정통부-인터넷진흥원
CISO 길라잡이 가이드북 발간
'정보보호최고책임자(CISO) 길라잡이 - 중급편' 가이드북 표지. [자료=KISA]
'정보보호최고책임자(CISO) 길라잡이 - 중급편' 가이드북 표지. [자료=KISA]

[정보통신신문=박광하기자]

정보보호최고책임자(CISO)의 업무·역할을 자세히 안내하는 책자가 나와 주목을 받는다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 최근 '정보보호최고책임자(CISO) 길라잡이 - 중급편' 가이드북을 발간했다.

가이드북은 △CISO의 기본 역량 △정보보호 관리체계의 수립 및 관리 운영 △정보보호 취약점 분석·평가 및 개선 △침해사고 대응 등의 내용으로 구성돼 있으며, 부록으로 올해 사이버 위협 전망 주요 내용을 담고 있다.

가이드북에 따르면, 정보통신망법과 전자금융거래법에서는 정보보호최고책임자(CISO, Chief Information Security Officer)를 임원급으로 지정하도록 정하고 있다. 해당 법률 조항에 따라 CISO로 임명된 임원은 조직의 경영 목표를 달성하는 데에 기여할 수 있는 정보보호 활동을 총괄하는 위치에 있다.

가이드북은 CISO의 역할과 책임을 잘 이해하기 위해서는 먼저 조직의 편제에서 자주 볼 수 있는 매니저(Manager)와 오피서(Officer)의 차이를 이해할 필요가 있다고 말한다.

사전적 의미에서 그 차이를 살펴보자면, 매니저는 일반적으로 '조직 내 인력들의 업무를 관리하는 사람'을 의미하는 반면, 오피서는 '체계를 갖춘 조직 내에서 권한을 부여받은 사람'을 말한다.

매니저의 임무가 주어진 자원을 효과적으로 운영하고 관리하는 데에 초점이 맞춰져 있다면, 오피서는 주어진 권한을 행사하고 결과에 대해 책임을 지는 직책에 해당한다.

즉 정보보호 관리자(Information Security Manager)가 조직 내 정보보호 업무의 방법과 과정을 고민하는 직책이라면 CISO는 조직 내 정보보호 업무의 방향과 결과를 고민해야 하는 직책이며 본인에게 부여된 업무 수행의 결과를 책임지는 동시에 조직 전체의 목표 달성에 대해서도 끊임없이 고민해야 하는 자리라는 게 가이드북이 제시하는 CISO의 정의다.

가이드북은 '정보보호 위험관리'에 대해서도 설명하고 있다. 정보보호 위험관리란 정보보호의 목표와 이에 수반하는 위험 사이에서 적절한 균형점을 찾아 위험관리의 비중을 조정하는 의사결정 행위이며, 이는 조직 내에서 CISO에게 부여된 중요한 임무 중 하나라는 것이다.

아울러 CISO는 기업의 상위 위험관리 프로세스에 관여해 정보보호 위험관리가 기업의 전체적인 의사결정 과정에 적절하게 반영될 수 있도록 최고경영자를 비롯한 여타 영역의 책임자들과 소통하는 역할과 책임을 부담한다고 말한다.

가이드북은 정보보호의 핵심은 보호해야 할 자산을 식별한 후, 그 자산 또는 위협 시나리오에 따른 위험평가를 수행해서 조직이 달성해야 하는 수준(DoA, Degree of Assurance)을 정하고, 목표 수준을 달성하기 위한 다양한 보호 대책들을 수립하는 일련의 활동이라고 정의했다.

이런 활동이 동반되지 않는 정보보호 업무는 조직이 가지고 있는 위험이 어떤 것들인지 알 수 없고, 언제 어떻게 사고가 발생할지 모르는 불안한 조직이 된다고 지적했다.

따라서 조직이 어떤 비즈니스나 업무를 하든지 기초를 튼튼하게 만들어, 모래 위에 성을 쌓는 일이 일어나지 않도록 적절한 활동을 하는 것이 중요하다고 결론지었다.

가이드북은 ISMS 인증에 대해서도 안내했다.

정보통신망서비스제공자, 집적정보통신시설사업자 중 매출액, 이용자 수 등 일정 기준에 해당하는 기업들은 정보보호 관리체계 인증을 의무적으로 받도록 법이 개정됐으며, 이후 추가 개정을 통해 의료기관과 대학교 등이 포함되면서 현재의 ISMS 인증 의무 대상으로 확대된 상태라고 설명했다.

가이드북은 "정보보호 위기는 여러 징후와 함께 발생한다"며 "위기관리 체계를 구축하고, 일상적 위기대응을 통해 소소한 사건, 사고와 징후에 대응한다면 위기가 발생할 가능성을 상당히 낮출 수 있다"는 결론을 제시했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행·편집인 : 문창수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2021-09-23
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2021 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
인터넷신문위원회 abc협회 인증 ND소프트