정보보안 거버넌스
정보보안 거버넌스의 개요
정보보안 거버넌스의 정의
기업 거버넌스의 일환으로서 의사결정 권한과 책임의 할당, 비지니스와 전략적 연계, 관련 법과 규정의 준수를 위한 프로세스 및 실행 체계
정보보안 거버넌스의 등장배경
- 정보보호에 대한 실효성의 의문
- 기업 거버넌스의 중요성 확대
- 정보보호관리체계(ISMS)의 개선 필요성
정보보안 거버넌스의 프레임워크 및 구성
정보보안 거버넌스의 프레임워크
동일한 보안정책 하에서 정보보안 거버넌스는 정보보호 관리과정의 활동을 5가지의 주요 활동분야 측면에서 평가, 지시, 모니터링 함
정보보안 거버넌스의 구성
| 분류 | 구성 | 설명 |
|---|---|---|
| 원칙 | 책임성 준수 | 리더의 준수 책임/역할, 권한의 정의 |
| 비지니스 연계 | 전략적 연계를 통한 위험관리 및 업무활동 | |
| 준거성 | 정책 근거 및 관련 법규 및 규정 | |
| 구성 | 평가 | 정보보안 목표와 전략 방향 제공 |
| 지시 | 정보보안 목표와 전략 방향 제공 | |
| 모니터링 | 전략적 목표달성 평가 | |
| 활동 | 성과/자원/위험/가치관리 | 거버넌스 달성을 위한 주요 활동 영역 정의 |
ISO27014
- 조직의 정보보호 거버넌스 원칙 & 활동지침 국제표준
- 거버넌스(정책수립, 감독)와 ISMS(정책집행, 구현) 분리 체계화
