ISMS-P 인증 준비, 정보보호 조직도 구성

정보보호 관리체계 인증로고

 
CEO가 승인한 CISO 인사발령을 했다면 그다음은 정보보호 조직도를 만드는 것입니다. 
 
1.1. 관리체계 기반 마련
1.1.1. 경영진의 참여
1.1.2. 최고책임자의 지정
1.1.3. 조직구성
1.1.4. 범위설정
1.1.5. 정책수립
1.1.6. 자원할당
 

조직구성

(KISA) CISO길라잡이(기본편).pdf

3.78MB

 

본 저작물은 "공공누리" 제4유형:출처표시+상업적 이용금지+변경금지 조건에 따라 이용 할 수 있습니다.

 
CISO 길라잡이(기본편) 에 보면 3. 정보보호 업무와 정보보호 거버넌스에 대한 내용이 있습니다. 이부분을 참고하면 좋을것 같습니다.  핵심은 최고경영층 및 비정보보호조직과의 소통인것 같습니다. 
 
아래의 그림은 필자가 근무하는 회사의 정보보호 조직도입니다. 중소기업이다보니 인력자원이 제한적입니다. 기존에 하던 일반업무를 하면서 정보보호 조직도에 맞게 담당하는 업무를 이중으로 해야하는 어려움이 있습니다. 예를 들어, 저와 같은경우 프로그램 개발 및 서버운영관리의 기존 업무에 더해 정보보호 관리자의 역할을 담당하고 있습니다. 

필자가 근무하는 회사의 정보보호 조직도 ( 담당자는 개인정보보호를 위해 삭제 )

 

역할과 책임의 명확화

2023년 ISMS 최초 인증심사때는 정보보호 조직도에 포함된 사람들의 역할과 책임의 명확화에 대한 지적을 받았습니다.
정보보호 조직을 구성할 때 가장 중요한 요소는 명확한 역할과 책임의 정의입니다. 정보보호는 단지 기술적인 문제에 국한되지 않고, 조직 내 모든 구성원이 참여해야하는 협력적 과제입니다. 각 개인이 자신의 역할을 이해하고, 정보보호에 대한 책임을 다할 때 전체 조직의 보안 수준이 향상됩니다. 이 글에서는 정보보호 조직을 효과적으로 구성하기 위한 주요 요소와 그 중요성에 대해 자세히 살펴보겠습니다.
 

1. 역할과 책임의 정의

정보보호 조직의 구성에서 가장 먼저 고려해야 할 것은 각 구성원의 역할과 책임을 명확히 하는 것입니다. 이는 다음과 같은 이유로 중요합니다.

1.1. 효율적인 업무 수행
각 구성원이 자신의 역할을 명확히 이해하면 중복된 작업이나 혼란을 줄일 수 있습니다. 예를 들어, 보안 담당자가 정보 시스템의 모니터링을 담당하고, 네트워크 관리자와 협력하여 취약점을 분석하는 구조를 갖추면 보다 효율적으로 업무를 수행할 수 있습니다.

1.2. 책임 소재의 명확화
정보보호 사고가 발생했을 때, 책임 소재를 명확히 함으로써 신속한 대응이 가능합니다. 각 팀과 개인이 자신의 책임을 이해하고 있다면, 문제가 발생했을 때 즉각적으로 해당 담당자에게 연락하여 해결책을 모색할 수 있습니다.

2. 최고 경영진의 지원

정보보호 조직이 성공적으로 운영되기 위해서는 상위 경영진의 지원이 필수적입니다. 경영진이 정보보호의 중요성을 인식하고, 이를 조직의 전략적 목표로 삼아야 합니다.

2.1. 예산 지원
정보보호는 종종 비용이 발생하는 활동입니다. 경영진이 적절한 예산을 지원한다면, 필요한 도구와 시스템을 도입할 수 있을 뿐만 아니라, 전문 인력을 확보하는 데도 도움이 됩니다.

2.2. 정책의 승인 및 실행
경영진의 지지가 있을 때 정보보호 정책이 효과적으로 실행될 수 있습니다. 경영진이 정책을 승인하고 이를 실천하는 모습은 조직 전체에 정보보호의 중요성을 전달하는 강력한 메시지가 됩니다.

3. 위험 관리 체계 구축

효과적인 정보보호 조직은 체계적인 위험 관리 프로세스를 갖추어야 합니다. 위험 관리란 조직이 직면할 수 있는 다양한 위협에 대한 분석과 대응 방안을 마련하는 것을 의미합니다.

3.1. 위험 식별
조직의 자산을 분석하고, 그에 대한 위협 및 취약점을 식별하는 단계가 필요합니다. 이를 통해 어떤 정보 자산이 가장 중요한지, 어떤 위협이 가장 큰 영향을 미칠 수 있는지를 파악할 수 있습니다.

3.2. 위험 평가
식별된 위험 요소에 대해 발생 가능성과 영향을 평가하여 우선순위를 매깁니다. 이를 통해 자원을 효율적으로 배분하고, 가장 큰 위험에 먼저 대응할 수 있습니다.

4. 교육 및 인식 제고

정보보호는 기술적 조치만으로 이루어지는 것이 아닙니다. 조직의 모든 구성원이 정보보호의 중요성을 인식하고 이를 실천해야 합니다. 지속적인 교육과 인식 제고가 필요합니다.

4.1. 정기적인 교육 프로그램
모든 직원이 참여하는 정보보호 교육을 정기적으로 실시해야 합니다. 교육 내용은 최신 보안 위협, 정책 준수, 사고 대응 절차 등을 포함해야 합니다.

4.2. 인식 캠페인
포스터, 뉴스레터, 워크숍 등을 통해 정보보호의 중요성을 강조하는 인식 캠페인을 운영해야 합니다. 이를 통해 직원들이 정보보호에 대한 관심을 높이고, 일상 업무에서 이를 실천할 수 있도록 유도합니다.

5. 지속적인 모니터링과 개선

정보보호 환경은 빠르게 변화하고 있습니다. 따라서 정보보호 조직은 지속적인 모니터링과 개선 활동을 통해 항상 최신 상태를 유지해야 합니다.

5.1. 정기 감사
내부 감사를 통해 정보보호 정책과 절차가 잘 이행되고 있는지를 점검해야 합니다. 이를 통해 발견된 문제점은 신속하게 해결하고, 개선 방안을 마련해야 합니다.

5.2. 피드백 수집
조직 내에서 발생하는 다양한 의견과 피드백을 수집하여 정보보호 정책과 절차를 개선하는 데 활용해야 합니다. 직원들이 실제로 겪는 문제를 반영하여 정책을 보완하는 것이 중요합니다.

결론

정보보호 조직을 구성하는 데 있어 가장 중요한 요소는 명확한 역할과 책임의 정의입니다. 이를 바탕으로 상위 경영진의 지원, 체계적인 위험 관리, 지속적인 교육 및 인식 제고, 그리고 모니터링과 개선 과정이 결합되어야 합니다. 정보보호는 단순한 기술적 과제가 아니라 조직 전체의 협력과 참여가 필요한 분야입니다. 이러한 요소들을 종합적으로 고려하여 정보보호 조직을 구성하면, 보다 강력하고 효과적인 정보보호 체계를 구축할 수 있을 것입니다.