정보보호 거버넌스 국제표준화와 국내 도입 사례 연구

  • 김정덕 (중앙대학교 정보시스템학과) ;
  • 이성일 (딜로이트 안진회계법인)
  • 발행 : 2012.10.31

초록

정보보호 활동에 대한 이사회 및 최고경영층의 역할과 책임을 강조하는 거버넌스에 대한 이슈가 최근 공공기관 및 민간기업 공히 화두로 등장하고 있다. 조직 내 정보보호가 효과적으로 수행되기 위해서는 무엇보다도 정보보호에 대한 주요 방향 제시와 통제 기능을 수행하는 최고경영층의 리더십과 지원체계가 핵심성공요인이라는 것을 인식하기 시작한 것이다. 이러한 정보보호의 새로운 패러다임을 반영하여 현재 정보보호 거버넌스에 관한 국제표준화 작업이 완성단계에 있어 2013년에는 국제표준으로 발표될 예정이고, 국내 KS 표준으로도 상정될 예정이다. 또한 최근 금융권을 비롯하여 정보보호 거버넌스 도입을 위한 프로젝트가 수행되었다. 본 연구에서 국제표준의 내용을 중심으로 거버넌스를 위한 원칙과 프로세스를 소개하고, 국내 정보보호 거버넌스 도입 사례 연구를 통해 거버넌스의 현 수준을 살펴보고 향후 추진되어야 할 과제를 제시하고자 한다.

키워드

참고문헌

  1. Basie von Solms, "Information Security - The Fourth Wave," Computers & Security Vol. 25, pp. 165-168, 2006. https://doi.org/10.1016/j.cose.2006.03.004
  2. David Newman, "Toolkit Information Governance Strategies for a Compliance-Driven World," Gartner, 2007.
  3. ISO/IEC 27014 - Governance of information security, FDIS, 2012.
  4. ISO/IEC 38500 Governance of Information Technology, 2008.
  5. ITGI, "Information Security Governance : Guidance for Boards of Directors and Executive Management," 2002.
  6. Software Engineering Institute, "Governing for Enterprise Security (GES) Implementation Guide", Carnegie Mellon University, 2007.
  7. A 금융그룹, 정보보호 체계 선진화 프로젝트, Working Draft, 2012.