1) 관리체계는 정보보호의 가장 기본이자 시작
관리체계?
> (개인)정보보호에 대한 기업의 사회적 책임과 역할이 어느 때보다 중요한 시점이며,
(개인) 정보보호 컴플라이언스, (개인) 정보보호 거버넌스 등 정보보호 관리 문제가 기업 경쟁력의 핵심 요소로
인식되고 있으며 또한 정보보호 사고로 인한 법적 분쟁 발생 시 정보보호 활동에 대해서도 어떻게 대응할지에 대한
가장 좋은 솔루션은 관리체계를 구축, 운영하는 것
> 조직별로 부분적, 일회성 활동을 통해 단편적 대응을 하였다면 관리체계 구축을 통한 중요한 자산보호를 위해
조직 전체에 걸쳐 서로 협력관계를 유지하여 지속적 체계적 대응이 가능
> 조직이 집중적으로 대응해야 할 위험 관리 체계를 유지하고 적절한 보호대책을 실시함으로써
(개인)정보보호 사고의 발생 가능성을 줄이고, 사고가 발생했을 경우에도 손실 경감으로
기업 가치 향상 및 비즈니스 연속성을 보장
2) 관리체계 구축 및 인증 필요성
관리체계 구축 및 인증 필요성
(1) 조직의 정보보호 수준에 대한 대내외적 신뢰도를 높이기 위해서 전문적이고 객관적인 제 3자에 의한 평가가 필요
(2) 관리체계 구축 및 운영 과정을 통해 관리체계를 다시 한 번 검토 및 보완하는 과정에서 관리체계를 강화
(이는 장기적으로 정보보호 수준을 목표한 대로 유지하여 사업을 지원하는 데 도움이 됨)
(3) 관리체계를 나름대로 수립하고 유지했다고 해도 제대로 구축하고 운영되는지를 판단하기 어렵다는 것이다.
(4) 정보보호체계를 수립하고 정착시킬 수 있도록 관련 담당조직에 상당한 힘을 실어줄 수 있게 된다.
(5) 관리체계를 도입하여 구축하는 것만큼이나 이를 실질적인 업무에 활용하는 것이 중요하다.
(6) 조직이 집중적으로 대처해야 할 위험 관리 (Risk Management)체계를 유지하고 적절한 보호대책을 실시함으로써
정보보호 사고의 발생가능성을 줄이고 사고가 발생했을 경우에도 손실경감으로
기업 가치 향상과 비즈니스 연속성을 보장할 수 있다.
3) 관리체계 구축 장점 및 단점
관리체계 구축 장점?
(1) 관리체계의 구축 활동을 지속적으로 수행하고 사후관리를 통해 직원들의 참여인식이 향상되고
정보보호에 대응하는 방법이 달라지면서 직원의 정보보호 의식개혁을 실현
(2) 정보의 기밀성, 무결성, 가용성을 지속적으로 유지하는 시스템이 수립되며 종합적이고 효과적인
정보보호대책을 수립함으로써 정보보호 수준이 향상되어 조직적인 정보보호 관리 능력의 수준 향상으로도 이어짐.
(3) 위험에 대해 조직에서 전체적으로 관리함으로써 위험이 감소될 수 있음.
(4) 관리체계를 구축하는 것이 100% 안전을 보증하는 것은 아니므로 일어날 수 있는 사건과 사고의 피해를 최소화하여
사업을 지속할 수 있는 체계를 구축할 수 있음.
(5) 기업 체질의 강화와 경쟁력 강화, 조직의 지속 발전 및 비즈니스 확대로 이어질 수 있음.
(6) (제 3자로부터)인증 등을 통해 조직의 정보보호 수준이 높다는 "증거"가 되어 고객이나
협력업체에 대한 강력한 홍보수단이 된다.
관리체계 구축 단점? (운영 상 어려움)
(1) 관리체계의 구축 및 운영은 기술적인 문제라기보단 프로세스와 사람이 연계된 문제
(정보보호와 관련된 조직/책임/역할/권한이 불분명하고 협조체계가 미흡하기 때문)
(2) 기업 내에 관리체계의 핵심요소인 위험 관리의 기법들이 제대로 활용되고 내재화되지 않음
(관리체계의 운영은 장기간 꾸준한 유지보수 활동을 요구하기 때문)
(3) 관리체계에 대한 주기적인 감사와 측정 부족
(4) 강력한 "추진요인"이 필요하나, 이러한 추진요인을 확보하기 어려움.
(5) 경영층의 지속적인 의지, 강력한 추진 요인이 없기 때문에 중도 포기가 쉽고 유지가 어려움.
'정보보호 및 관리체계' 카테고리의 다른 글
| 정보보호 관리체계 개념 (2) | 2022.09.20 |
|---|---|
| 정보보호 이해 (0) | 2022.09.14 |