1.1.3 조직 구성 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다. ● 주요 확인 사항
● 관련 법규
● 세부 설명
● 결함사례
● taeho's notes
댓글 안녕하세요, 보안맨 입니다. 이번에 소개해 드릴 주제는 ‘정보보호위원회’ 인데요. 이미 여러 금융회사, 제조기업 등에서 정보보호위원회가 설치/운영되고 있습니다. 이때, 정보보호위원회는 역할 및 책임 등이 명확해야 하고, 어떤 안건을 가지고 심의/의결해야 하는지 규정되어야 하는데요. 이번 시간에는 크게 1) ‘정보보호위원회 설립/운영에 관한 규정 마련’, 2) ‘정보호위원회가 심의/의결 사례’를 살펴 보도록 하겠습니다. 다만, 필자의 경험상 금융회사 사례를 중심으로 작성되며, 모든 세부적인 내용에 대해서 작성될 수 없는 점 미리 양해 부탁 드립니다.
정보보호위원회의 주기적인 운영/관리가 가능하도록 위원회의 구성, 역할, 책임, 주기 등을 정의한 규정이 마련되어야 하는데요. 필자의 경우, 상위 정책/지침서에 위원회의 당위성을 짧게 거론하고, 세부적인 설치/운영에 관한 사항을 절차서 수준으로 내규화 했었습니다. 절차서 마련 시 아래와 같은 사항이 고려되시면 좋을 것 같습니다. Figure 1. 정보보호위원회 설치 및 운영에 관한 절차서 – 목차표
Figure 2. 취약점 분석/평가 결과 관련 정보보호위원회 회의록 위 내용은 전자금융기반시설 취약점 분석/평가에 대한 최종 결과 자료인데요. 위원들이 한눈에 쉽게 파악할 수 있도록 표로 정리 되었습니다. 전체 평가 자산 수량, 취약점 개수, 조치 계획 등을 확인하실 수 있는데요. 심의 시, 보통 준법 부서 담당자는 고위험 취약점 (risk=high)에 대한 빠른 조치를 원합니다. 취약점이 존재하는 것 자체가 조직 측면에서 위험이기 때문이죠. 하지만, IT 인프라팀이나, 개발팀에서는 내부 공수, 예산 등의 사유로 모든 중요한 취약점을 단기간에 조치할 수 없는 한계가 존재하죠. 따라서, 모든 위원이 납득할 수 있는 자료를 만들고 설득력 있게 발표될 수 있도록, 담당자의 치밀한 준비가 굉장히 중요합니다. 예를 들어, 단기간에 조치할 수 없는 high 취약점인 경우, 대체 보안 통제 방안을 제시할 수 있다면 금상첨화겠지요. 최종적으로 위원의 과반수가 결과에 대해 동의하면 (=의결), 의결 사항은 최고 경영자에게 보고됩니다. 이때, 경영진의 선호하는 보고 방식, 예상 질문 등을 미리 준비하시면 좋을 것 같습니다. (e.g. 작년 대비 올해 네트워크 자산 관련 취약점이 증가한 사유 등)
Figure 3. 망분리 적용 예외 보안성 검토 관련 회의록 필자의 이전 회사에서, 내부망에 위치한 개인정보처리시스템을 외부에 있는 A회사에서 접근해야해서 내부적으로 이슈화 된 케이스가 있었습니다. 이 때, 첫번째로 진행했던 사항은 ‘관련 근거’가 무엇인지 파악하는 것 이었습니다. 망분리 예외 관련 전자금융감독규정 시행세칙을 확인하고, 법적으로 저촉되는 부분이 없는지 확인해야 했습니다. 이후 관련 업무 현황을 분석하기 위해 각 부서 담당자들과의 인터뷰를 진행하고, 기술적으로 각 솔루션들의 설정값 등을 확인 했었습니다. 현황 Gap 분석을 통해, 단기간 조치 사항, 장기간 조치 사항, 위험 수용이 따르는 항목 등을 일목요연하게 표로 정리하고, 정보보호위원회로부터 심의/의결을 득 하였습니다. 읽어 주셔서 감사합니다. 기고글이 조금이나마 도움이 되셨나요? 궁금하신 사항 또는 기타 좋은 의견 등은 댓글을 남겨 주세요. 감사합니다. 오늘도 행복하세요. J |