국가정보전략연구소 (2138)
국가정보학 (428)
글로벌정보경영전략 (57)
윤리경영 (308)
기업문화 (373)
위대한직장찾기 (460)
탐정학 (22)
전략적 메모의 기술 (4)
저자의견 및 칼럼소개 (239)
책과 세미나 소개 (224)
드론산업(4차산업혁명) (19)
ColorSwitch 00 01 02
▣  글로벌정보경영전략 - 해당되는 글 57건
▣  기술적 보안의 정책[보안영역별 보안정책][산업보안학 ISS][국가정보전략연구소] - 글로벌정보경영전략 - 2012. 12. 7. 17:22

보안영역별 보안정책

 

1. 관리적 보안의 정책

2. 기술적 보안의 정책

3. 물리적 보안의 정책

 

 

 

2. 기술적 보안의 정책

 

IT보안으로 더 잘 알려진 기술적 보안도 보안정책에 보안시스템을 구축하고 운영해야 한다. 시스템보안에서 직접 관리하지 못하는 시스템은 절대 신뢰하지 않아야 하고, 네트워크 보안은 암호화를 하지 않은 패킷(packet)의 송수신은 엄격하게 금지하고 모든 네트워크를 최적화해야 한다.

 

보안정책은 한번 정해졌다고 그냥 두면 안 되고 기업의 환경, 정보자산의 변화등에 따라 정기적으로 보안취약점을 점검해 보완해야 한다. 보안은 항상 최악의 상황을 고려해야 하기 때문에 최선의 상황에 따라 수립된 보안정책은 아무런 의미가 없다.

 

기술적 보안을 담당하는 관리자가 다음과 같은 보안조치를 취할 수 있도록 보안정책을 수립해야 한다.

 

첫째, 중요 데이터는 삭제나 변조를 대비해 주기적으로 백업이 돼야 한다. 고의적인 사고로 데이터 손실이 발생할 수도 있지만, 관리자의 실수, 시스템의 하드웨어, 소프트웨어의 장애로 인해서도 발생할 수 있으므로 백업은 매우 중요하다.

 

이 외에도 천재지변이나 테러에 의한 훼손도 대비해야 하다. 2001 9·11테러 당시 세계무역센터에 사무소를 둔 대부분의 기업은 데이터손실을 입었지만, 세계 최대 투자은행인 모건스탠리는 외부에 백업장치를 가지고 있어 인력손실 외에 데이터손실은 발생하지 않았다. 모든 사람들의 우려와는 달리 모건스탠리는 9 12오전 9시에 정상적인 업무를 수행할 수 있었다. 이 사고 여파로 EMC 등 데이터백업장치나 솔루션을 개발한 업체가 특수를 누리기도 했다.

 

둘째, 불필요한 서비스를 중단하도록 해야 한다. 시스템설치 시 디폴트(default)로 열려 있는 서비스 포트(port)를 막아야 한다. 방화벽을 활용해 사용하지 않는 포트는 막고, 사용하는 포트도 웹 서비스(web service)를 제외하고는 잘 관리해야 한다. 물론 포트스캔(port scan) 프로그램을 활용하면 열려 있는 포트를 확인해 침입을 할 수 있지만 그래도 최소한의 보안조치는 취해 두는 것이 좋다.

 

셋째, 백신, 방화벽 등 기본적인 보안프로그램은 반드시 설치해 운용하고, 업그레이드(upgrade)와 패치(patch)를 하도록 해야 한다. 하루에도 수백 개의 변종 바이러스가 생성되고, 새로운 해킹프로그램이 인터넷에서 공유되고 있다. 새로운 유해매체로 인한 시스템의 취약점을 제거하기 위해서 업그레이드가 필요하다. 시스템의 운영체제도 개발사가 보안취약점이 발견될 때마다 패치를 제공하므로 이에 관한 정보를 취합해 즉각적으로 반영해야 한다.

 

-         중략 -

 

기술적 보안정책도 직원, 즉 인원보안에 관련된 부문이 많지만 하드웨어나 소프트웨어의 운영 측면에서 봐야 한다. 일부 책이나 전문가는 기술적 보안정책을 설명하면서 정보보호를 위한 대책이나 인원보안에 관련된 부문을 중시하지만 이는 바람직하지 않다.

 

기술적 보안을 구성하고 있는 컴퓨터 하드웨어나 소프트웨어의 정상적인 설치, 운영, 사후 유지보수, 백업과 같은 부문에 국한하는 것이 보안영역의 구분과 조합적인 보안정책을 수립하는 데 유리하다. 직원의 행동요령이나 원칙에 관련된 부문은 인원보안에서 다루도록 해야 한다.

 

 

- 용어 설명 -

 

패킷(packet) : 네트워크를 통해 전송하기 좋도록 자른 데이터의 단위를 말한다. 유무선 인터넷 사용자에게 패킷 단위로 요금을 부과해야 한다는 주장이 있을 정도로 인터넷 사용량 관리 단위가 된다.

 

디폴트(default) : 전산용어로 기본적인이라는 뜻이다.

 

포트(port) : 컴퓨터와 모뎀 사이에 데이터를 주고받을 수 있는 통로를 말한다. 0부터 65535까지 있으며 특정 서비스나 프로그램이 사용하는 번호는 지정되어 있다.

 

패치(patch) : 컴퓨터 프로그램의 개발사가 프로그램의 취약점을 보완하기 위해 내놓은 수정용 소프트웨어를 말한다. 백신프로그램의 경우 새로운 바이러스가 출현할 때마다 패치를 공개해 사용자가 업데이트 하도록 요청한다.

 

 

(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p63)

 

[출처:산업보안학ISS-민진규저, 국가정보전략연구소]

저작자표시 비영리 변경금지

'글로벌정보경영전략' 카테고리의 다른 글

물리적 보안의 정책[보안영역별 보안정책][산업보안학 ISS][국가정보전략연구소]  (0) 2012.12.10
[민진규칼럼:컴퓨터월드]'글로벌 정보경영전략(GIMS) - 2'[국가정보전략연구소소장]  (0) 2012.12.07
관리적 보안의 정책[보안영역별 보안정책][산업보안학 ISS][국가정보전략연구소]  (0) 2012.12.04
보안정책 내용의 비밀유지가 가장 중요[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.12.01
기업의 손실을 보호하는 보안정책[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.29
top
:
▣  관리적 보안의 정책[보안영역별 보안정책][산업보안학 ISS][국가정보전략연구소] - 글로벌정보경영전략 - 2012. 12. 4. 17:39

보안영역별 보안정책

 

1. 관리적 보안의 정책

2. 기술적 보안의 정책

3. 물리적 보안의 정책

 

 

  1. 관리적 보안의 정책

 

관리적 보안에서 보안저액을 제외하면 인원보안, 보안조직, 자산의 평가가 남는다. 인원보안은 기업보안의 영역 중 가장 중요하다. 인원보안은 직원에 대한 면밀한 신원조사를 바탕으로 개성과 자질을 파악해 보안등급을 매겨야 한다. 비밀누설의 위험성이 높은 직원은 애초부터 기업의 비밀에 접근할 수 없도록 인사관리 하도록 한다. 직원을 분류하는 기준이 보안정책에 해당되는 것이다.

 

직원을 분류할 때 성(sex), 학력, 출신지, 인종, 민족 등 업무능력이나 보안유지능력과 관련성이 없는 요소를 기준으로 삼아서는 안 된다. 이런 요소는 대부분의 국가에서 차별금지 항목으로 지정되어 있어 법적 소송의 빌미를 제공할 수 있다.

 

기업의 인원보안 고민은 기업에게 중요한 인력은 경쟁사에게도 핵심인력이라는 점이다. 따라서 연구개발이나 마케팅, 사업기획 등에서 뛰어난 성과를 내는 직원은 보안을 침해할 가능성이 높은 직원이자 보호의 대상이 된다. 현직에 근무하고 있는 직원에 대한 관심과 배려는 도가 지나칠 정도로 충분하지만, 퇴직한 직원에 대한 주의가 낮은 것이 인원보안에서 현재 소홀히 다루는 문제점이다.

 

퇴직자의 자유를 극도로 제한하는 것은 문제지만, 아웃플레이스먼트(outplacement)나 기업과 연계한 사업기회 제공 등으로 우호적인 관계를 유지할 수 있는 방안을 고민해야 한다. 또한 겸업금지나 취업제한 서약서는 헌법이 보장한 직업선택의 자유를 침해할 소지가 있으므로 주의를 기울여 작성해야 한다. 보안을 위해 작성한 서약서가 오히려 보안을 위협할 수 있는 수단이 될 수도 있다. 엄격한 기업보안 지침에 대한 반발의 우려가 높으므로 보안의 취지나 주의사항을 주지시켜 기업 내부에서는 보안정책을 잘 따르도록 유도한다.

 

- 이하 생략 -

 

(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p63)

 

[출처:산업보안학ISS-민진규저, 국가정보전략연구소]

저작자표시 비영리 변경금지

'글로벌정보경영전략' 카테고리의 다른 글

[민진규칼럼:컴퓨터월드]'글로벌 정보경영전략(GIMS) - 2'[국가정보전략연구소소장]  (0) 2012.12.07
기술적 보안의 정책[보안영역별 보안정책][산업보안학 ISS][국가정보전략연구소]  (0) 2012.12.07
보안정책 내용의 비밀유지가 가장 중요[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.12.01
기업의 손실을 보호하는 보안정책[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.29
보안정책의 성공도 사람에서 출발[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.28
top
:
▣  보안정책 내용의 비밀유지가 가장 중요[보안정책의 개념][산업보안학 ISS][국가정보전략연구소] - 글로벌정보경영전략 - 2012. 12. 1. 21:24

보안정책의 개념

1.    보안정책의 개념과 수립 시 주의사항

2.    보안정책의 성공도 사람에서 출발

3.    기업의 손실을 보호하는 보안정책

4.    보안정책 내용의 비밀유지가 가장 중요

 

 

4.    보안정책 내용의 비밀유지가 가장 중요

 

기업의 보안정책의 생명은 보안정책 내용의 비밀유지이다. 기업이 어떤 보안시스템을 가지고 있고, 어떻게 운용되고 있는지, 시스템의 약점은 무엇인지, 보안요원은 어떻게 근무하는지 등에 대한 내용은 철저하게 비밀로 보호돼야 한다. 기업의 보안정책을 내·외부인이 알 경우 취약점을 찾아내 기만할 수 있다.

 

물리적  보안의 예를 들어 보자. CCTV가 설치되지 않은 지역이 어디인지, 조명이 어두운 지역이 어디인지, 경비원의 순찰시간과 경로 등을 파악한다면 침입은 의외로 쉽다. 보안취약성이 누설될 경우 값비싼 보안시스템은 무용지물이 된다.

 

보안정책이 완벽하지 않다면 보안책임자는 항상 취약점을 보완할 수 있도록 대책을 세워둬야 한다. 기업의 보안정책은 보안책임자의 책임하에 관리되어야 하며, 보안부서의 실무진이나 기타 다른 부서의 책임자에게도 비밀로 유지돼야 한다. 경비원의 순찰시간과 경로는 비정기적으로 변경돼야 하며, 심지어 경비원에게조차 변경되는 이유와 변경 내용을 알려줘서는 안 된다. 다만, 순찰강화계획에 따라 어떤 점을 주의해야 하는지만 통지해주면 된다.

 

그러나 화재예방이나 응급조치 등에 관한 정책은 기업보안에서 핵심적이기는 하지만 비밀스러운 내용이 아니므로 최대한 홍보해 직원에게 알려줘야 한다. 비상대피로의 위치와 운영실태는 교육을 통해서 고지한다. 일부 기업에서는 비상대피로의 관리가 제대로 되지 않아 보안의 사각지대로 되기도 한다.

 

또한 주기적으로 진행되는 화재 대피훈련과 같은 훈련상황도 보안점검이 취약하기 때문에 보안사고의 기회로 작용하기도 한다. 영리한 범법자는 아주 조그마한 허점도 놓치지 않고 치밀하게 활용한다. 대피훈련 시간도 비정기적으로 정하고 변경내용을 고지하는 데 주의를 기울여야 한다.

 

- 이하 생략 -

 

 

(산업보안학ISS – 진규(국가정보전략연구소소장) p62)

 

[출처:산업보안학ISS-민진규저, 국가정보전략연구소

저작자표시 비영리 변경금지

'글로벌정보경영전략' 카테고리의 다른 글

기술적 보안의 정책[보안영역별 보안정책][산업보안학 ISS][국가정보전략연구소]  (0) 2012.12.07
관리적 보안의 정책[보안영역별 보안정책][산업보안학 ISS][국가정보전략연구소]  (0) 2012.12.04
기업의 손실을 보호하는 보안정책[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.29
보안정책의 성공도 사람에서 출발[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.28
보안정책이 개념과 수립 시 주의사항[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.27
top
:
▣  기업의 손실을 보호하는 보안정책[보안정책의 개념][산업보안학 ISS][국가정보전략연구소] - 글로벌정보경영전략 - 2012. 11. 29. 17:16

보안정책의 개념

1.    보안정책의 개념과 수립 시 주의사항

2.    보안정책의 성공도 사람에서 출발

3.    기업의 손실을 보호하는 보안정책

4.    보안정책 내용의 비밀유지가 가장 중요

 

 

3.    기업의 손실을 보호하는 보안정책

 

미국의 부정조사자 협회(ACFE : Association of Certified Fraud Examiners)에 의하면 기업매출의 평균 5~6%가 부정행위로 사라진다고 발표했다. 부정행위는 직원의 자금횡령, 주요 물품의 절도, 기물의 파괴 등이 해당된다. 이런 부정행위는 기업의 보안정책에 따라 예방과 통제가 가능하다. 기업이 직원의 부정행위를 감소시키기 위한 보안정책을 수립할 필요성은 높다. 하지만 기업이 보안을 위해 어느 정도의 통제를 가하는 것이 적절한지에 대한 고민이 생긴다.

 

보안정책을 수립함에 있어 경영진과 직원에게 책임을 묻는 내용이 포함되어야 한다. 오너를 포함한 경영진은 솔선해서 보안정책을 지켜야 하며, 기업의 정상적인 경영활동이 보장될 수 있도록 생산설비, 영업정보, 직원 등 자산을 보호해야 하는 책무를 가진다. 내부의 직원뿐만 아니라 외부의 위협까지 모두 감안한 보안정책을 수립해야 한다. 또한 직원은 기업이 정한 보안정책을 성실히 준수해야 한다. 보안정책에 따르는 것이 직원 자신의 이익과도 부합하기 때문이다.

 

기업의 보안정책이 근로자의 권리나 자유의사의 행사를 방해하거나 통제하는 도구로 작용하지 않도록 해야 한다. 보안정책은 기업의 잠재적인 내·외부 위협을 최소화하고 위험이 발생했을 경우 충격을 최소화하거나 제거할 수 있어야 한다. 보안 정책은 모든 구성원과 협력사, 고객 등 외부 관련자에게도 동등하게 적용되므로 이해관계자 모두의 적극적인 협력을 이끌어낼 수 있어야 한다. 모두에게 보안정책을 잘 따르겠다는 동기부여가 있어야 성공적인 정책이 될 수 있다. 보안정책을 수립하는 것도 중요하지만, 이에 못지않게 실천하고 지켜지는 것이 더 중요한 일이다.

 

 

(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p61)

 

[출처:산업보안학ISS-민진규저, 국가정보전략연구소

저작자표시 비영리 변경금지

'글로벌정보경영전략' 카테고리의 다른 글

관리적 보안의 정책[보안영역별 보안정책][산업보안학 ISS][국가정보전략연구소]  (0) 2012.12.04
보안정책 내용의 비밀유지가 가장 중요[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.12.01
보안정책의 성공도 사람에서 출발[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.28
보안정책이 개념과 수립 시 주의사항[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.27
보안과 보안부서의 미래[보안전문가에게 필요한 기능과 미래][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.26
top
:
▣  보안정책의 성공도 사람에서 출발[보안정책의 개념][산업보안학 ISS][국가정보전략연구소] - 글로벌정보경영전략 - 2012. 11. 28. 18:01

보안정책의 개념

1.    보안정책의 개념과 수립 시 주의사항

2.    보안정책의 성공도 사람에서 출발

3.    기업의 손실을 보호하는 보안정책

4.    보안정책 내용의 비밀유지가 가장 중요

 

2.    보안정책의 성공도 사람에서 출발

 

어떤 보안수단의 성공을 위해서도 사람이 가장 중요하다. 아무리 정책이 좋아도 이를 지킬 직원의 태도가 좋지 않다면 아무런 소용이 없는 것이다. 보안정책이 성공적으로 집행되기 위해서는 보안정책에 우호적이 되도록 직원의 마음을 바꾸거나 사로잡을 수 있는 수단이 필요하다.

 

직원들에게 보안정책의 준수에 대한 동기를 부여해야 한다는 말이다. 보안정책을 잘 준수하거나 보안취약점을 발견해 개선방향을 제시한 직원을 포상하고, 보안 위반자에 대해서는 그에 상응하는 징벌을 부과해야 한다. 상벌은 공정하고 합리적이어야 효과를 발휘하며 누구도 예외가 있어서는 안 된다.

 

보안정책의 변화에 따라 직원의 보안인식 교육을 별도로 해야 한다. 정기교육 뿐만 아니라 수시교육을 해야 한다. 보안권고문, 보안취약점, 보안정보 등을 전파하는 통로로 보안교육이 활용돼야 한다. 기업의 보안정책은 직원의 사기와 밀접하게 연관성을 가진다. 직원의 안전이 보장되지 않는 작업장이나 사무실, 부실한 안전교육, 안전사고 대응체계 부족 등은 직원의 근로의욕을 저하시킨다. 기업보안에 투입되는 비용은 반드시 안전사고로 발생하는 직접 비용과 직원 사기저하 등과 같은 간접 비용을 하회하므로 아끼지 않아야 한다.

 

보안의 하위 개념인 안전에 관한 욕구를 이해하기 위해서는 매슬로우(Maslow)의 욕구 5단계 이론을 살펴봐야 한다.

 

-         이하 생략

  

(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p60)

 

[출처:산업보안학ISS-민진규저, 국가정보전략연구소 

저작자표시 비영리 변경금지

'글로벌정보경영전략' 카테고리의 다른 글

보안정책 내용의 비밀유지가 가장 중요[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.12.01
기업의 손실을 보호하는 보안정책[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.29
보안정책이 개념과 수립 시 주의사항[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.27
보안과 보안부서의 미래[보안전문가에게 필요한 기능과 미래][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.26
보안전문가에게 열려 있는 기회[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.25
top
:
▣  보안정책이 개념과 수립 시 주의사항[보안정책의 개념][산업보안학 ISS][국가정보전략연구소] - 글로벌정보경영전략 - 2012. 11. 27. 17:52

보안정책의 개념

1.    보안정책의 개념과 수립 시 주의사항

2.    보안정책의 성공도 사람에서 출발

3.    기업의 손실을 보호하는 보안정책

4.    보안정책 내용의 비밀유지가 가장 중요

 

1.    보안정책의 개념과 수립 시 주의사항

 

보안정책(Security Policy)은 기업의 보안, 즉 관리적 보안, 물리적 보안, 기술적 보안 등 전 영역에 적용할 수 있는 정책과 지침을 말한다. 보안정책은 보안관리자가 어떻게 보안을 관리할 것인지에 대해 기업의 모든 이해관계자에게 말하고자 하는 내용을 포함해야 한다.

 

기업보안이 만약에 일어날 가능이 있는 모든 기업의 보안위협으로부터 보호하는 것을 말하므로, 모든 직원이 준수할 수 잇는 보안정책의 수립이 매우 중요하다. 그럼에도 불구하고 많은 기업이 보안정책에 대해 특별한 기준이나 방향을 설정하지 못할 뿐만 아니라 보안정책을 특정 보안에 한정된 지엽적인 부문으로 이해하고 있어 안타까움을 금할 수 없다.

 

보안정책을 수립하기 위해서는 보안서비스의 수준, 편리성의 정도, 투자비의 한계 등을 고려해야 한다. 직원이 활용하는 서비스를 늘리게 되면 보안의 취약성은 높아지게 된다. 따라서 업무의 종류와 필요성을 감안해 어느 수준까지 허용할 것인지 판단해야 한다. 다음 직원이 업무를 수행함에 있어서 어느 정도 편리를 봐 줄 것인지도 고민해야 한다.

 

보안을 위한 제약사항이 하나도 없으면 직원이 업무를 하는 데 있어 제일 편하지만 정보의 유출 가능성이 높아지고 자산이 위험에 처해진다. 그리고 완벽한 보안을 위해 가급적 많은 예산을 투입하면 좋지만 효율성이 떨어지므로 투자대비 효율성을 검토해 한계를 정하는 것이 좋다.

 

따라서 보안정책은 모든 직원이 지킬 수 있도록 만드는 것이 중요하다. 보안에 대한 최소한의 투자로 최대한의 효과를 얻을 수 있는 최적의 방안을 찾는 과정이 보안정책에 반영돼야 한다. 또한 보안정책은 현재의 위협뿐만 아니라 미래의 위협변화도 대처할 수 있어야 한다. 보안정책은 국가의 헌법과 마찬가지로 가장 기초적이면서 모든 업무에 적용될 수 있도록 수립되어야 한다.

 

(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p59)

 

[출처:산업보안학ISS-민진규저, 국가정보전략연구소 

저작자표시 비영리 변경금지

'글로벌정보경영전략' 카테고리의 다른 글

기업의 손실을 보호하는 보안정책[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.29
보안정책의 성공도 사람에서 출발[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.28
보안과 보안부서의 미래[보안전문가에게 필요한 기능과 미래][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.26
보안전문가에게 열려 있는 기회[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.25
보안전문가의 다양한 과거이력[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.24
top
:
▣  보안과 보안부서의 미래[보안전문가에게 필요한 기능과 미래][산업보안학 ISS][국가정보전략연구소] - 글로벌정보경영전략 - 2012. 11. 26. 18:14

보안전문가에게 필요한 기능과 미래

 

보안전문가에게 필요한 기능

1. 보안전문가가 가져야 할 지식

2. 보안전문가가 가져야 할 7가지 자세

3. CSO에게 요구되는 기능

4. CSO의 업무와 성공요소

 

보안전문가의 과거이력과 기회

5. 보안전문가의 다양한 과거이력

6. 보안전문가에게 열려 있는 기회

7. 보안과 보안부서의 미래

 

 

 

7. 보안과 보안부서의 미래

 

기업이 핵심 업무를 제외한 대부분의 업무를 아웃소싱(outsourcing)하는 것이 시대적 흐름이다. 보안업무도 예외가 아니다. 이미 많은 기업에서 출입자 관리, 시설관리, 정보시스템 관리 등의 보안업무를 외부에 맡기고 있다. 앞으로 이러한 추세는 더 강해지고, 외부용역을 맡기는 보안업무의 범위도 핵심적인 부문까지 확장되리라고 본다. 일부 글로벌 기업은 오히려 핵심 업무뿐만 아니라 대부분의 보안업무를 직접 통제하려는 움직임을 보이고 있다. 하지만 국내 기업은 아직도 아웃소싱이 대세로 대기업과 중소기업이 모두 동참하고 있는 실정이다.

 

보안업무를 외부에 맡긴다고 보안취약성이 높아지고, 직접 관할한다고 보안이 강건해지는 것은 아니다. 오히려 개별적인 상황과 계약내용에 따라 다르다. 2011년에 발생한 농협 해킹사태의 수습과정에서 알 수 있듯이 내부 직원이 최소한의 통제권한을 가지고 있어야 한다. 그렇지 못하면 사고원인의 파악이나 보안대책의 수립은 힘들어지게 된다. 보안책임자는 비용절감을 목표로 아웃소싱되는 보안업무 중 핵심부문은 절대로 놓쳐서는 안 된다. 내부직원이 특정 핵심 보안업무를 담당하는 것이 외부에 아웃소싱하는 것보다 효율적이라는 논리로 경영진을 설득해야 한다.

 

정성적인 데이터가 아니라 정량적인 데이터로 설득을 하기 위해서는 수치화시켜야 한다. 보안부서가 제공하는 서비스와 위험 예방효과를 정량화해야 한다. 쉽지는 않지만 필요하다면 회계전문가의 도움을 받거나, 보안전문가 스스로 회계관련 공부를 하는 것도 한 가지 방법이다. 보안부서 직원의 이직률과 외부 아웃소싱 업체 직원의 이직률을 비교해 업무 효율성을 측정할 수도 있고, 기업 내부 보안사고의 피해금액, 적발하지는 못했지만 잠재적으로 일어나고 있는 보안사고로 인한 손실 등을 수치화함으로써 보안업무에 투입하는 금액을 합리화할 수도 있다.

 

보안예산 중 인건비도 중요하지만, 보안시설 비용은 자산으로 잡힌다는 사실도 설득할 필요가 있다. 비용측면에서 본다면 보안시설에 투입된 비용은 일정 기간 동안 매년 동일한 비율로 감가 상각해 절대적인 비용이 낮다는 점을 설득해야 한다. 보안업무로 인해 예방되거나 최소화되는 손실을 수치로 정리한다면 보안에 투입되는 예산에 대해서도 정당성을 확보하기 어렵지 않다. 기존의 주먹구구식의 논리나 통제와 감시위주의 보안을 중시하면 미래가 어둡다. 보안관련 직원이 똑똑하고 논리적이면 업무가 확장될 것이고, 업무를 기피하고 폐쇄적으로 활동한다면 점점 업무가 줄어들 것이다.

 

간단한 사례를 들어 보자. 최근 위크리크스(WikiLeaks)가 미국 정부의 비밀 문건을 공개하면서 관심을 일으킨 조직의 내부고발자(whistle Blower) 관리가 관심을 받고 있다. 내부고발행위의 조사나 처리는 기업이 보안업무임에도 불구하고, 보안부서는 골칫거리 일을 맡을 필요가 없다고 머뭇거리는 사이 기업의 인사나 법무, 인사부서 사이에서 치열한 영역다툼이 일어날 것으로 보인다.

 

 

- 이하 생략 -

 

 

(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p55)

 

[출처:산업보안학ISS-민진규저, 국가정보전략연구소 

저작자표시 비영리 변경금지

'글로벌정보경영전략' 카테고리의 다른 글

보안정책의 성공도 사람에서 출발[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.28
보안정책이 개념과 수립 시 주의사항[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.27
보안전문가에게 열려 있는 기회[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.25
보안전문가의 다양한 과거이력[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.24
CSO의 업무와 성공요소[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.23
top
:
▣  보안전문가에게 열려 있는 기회[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소] - 글로벌정보경영전략 - 2012. 11. 25. 18:44

보안전문가에게 필요한 기능과 미래

 

보안전문가에게 필요한 기능

1. 보안전문가가 가져야 할 지식

2. 보안전문가가 가져야 할 7가지 자세

3. CSO에게 요구되는 기능

4. CSO의 업무와 성공요소

 

보안전문가의 과거이력과 기회

5. 보안전문가의 다양한 과거이력

6. 보안전문가에게 열려 있는 기회

7. 보안과 보안부서의 미래

 

 

 

6. 보안전문가에게 열려 있는 기회

 

보안업무에 대한 연구가 활발하고 오래된 미국의 ASIS International 2005년 설립 50주년을 맞이해 보안전문가의 전문성이 필요한 산업영역을 정리해 제시했다. 이에 따르면 현재 미국에서 보안전문가에 대한 수요가 있는 영역은 < 4>와 같다.

 

< 4> 보안전문가의 수요 업종(책 참조)

 

현재 수요가 많은 업종과 기타 수요가 있는 업종으로 양분하였다. 먼저 현재 수요가 많은 업종은 은행 및 금융, 상업부동산, 문화재, 교육기관, 게임산업, 건강, 정보시스템, 조사, 병원, 제조업, 소매손실예방, 보안설계, 보안장비와 서비스 판매, 교통, 전기/원자력 등이다. 은행과 같은 금융업종은 전통적으로 청원경찰과 같은 경비원의 수요가 높았지만, 금융전산화로 인해 IT보안 전문가의 수요도 늘어나고 있다. 교육기관도 초등학교에 경비원 개념의 학교보안관을 배치한 것을 시작으로 점차 보안전문가의 필요성이 증대될 것이다. 소매점과 병원 등도 새롭게 보안전문가의 수요가 생기고 있는 분야이다.

 

기타 수요가 있는 업종은 농업보안, 건설보안, 지속성계획, 위기관리, 임원보호, 정부/지방정부 보안, 주거지 보안, 보안컨설팅, 보안교육과 훈련, 특별 이벤트보안, 통신업보안, 테러방어, 도매 및 창고보안이다. 기업의 보안사고 위험이 높아지고, 보안이 기업의 생존에 직접적인 영향을 미치게 됨으로써 모든 산업분야에서 보안에 대한 수요가 커질 것이다.

 

위와 같이 보안전문가를 필요로 하는 업종도 다양하다. 실질적으로 모든 기업과 업종이 보안과 연관성이 있으며, 보안을 떠나서 사업을 영위할 수 있는 기업도 없다.

 

(산업보안학ISS – 진규(국가정보전략연구소소장) p54)

 

[출처:산업보안학ISS-민진규저, 국가정보전략연구소

저작자표시 비영리 변경금지

'글로벌정보경영전략' 카테고리의 다른 글

보안정책이 개념과 수립 시 주의사항[보안정책의 개념][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.27
보안과 보안부서의 미래[보안전문가에게 필요한 기능과 미래][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.26
보안전문가의 다양한 과거이력[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.24
CSO의 업무와 성공요소[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.23
CSO에게 요구되는 기능[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.22
top
:
▣  보안전문가의 다양한 과거이력[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소] - 글로벌정보경영전략 - 2012. 11. 24. 22:15

보안전문가에게 필요한 기능과 미래

 

보안전문가에게 필요한 기능

1. 보안전문가가 가져야 할 지식

2. 보안전문가가 가져야 할 7가지 자세

3. CSO에게 요구되는 기능

4. CSO의 업무와 성공요소

 

보안전문가의 과거이력과 기회

5. 보안전문가의 다양한 과거이력

6. 보안전문가에게 열려 있는 기회

7. 보안과 보안부서의 미래

 

 

 

5. 보안전문가의 다양한 과거이력

 

<그림 11> 보안책임자의 과거이력(책 참조)

 

미국의 보안전문가의 과거이력을 <그림11>에서 살펴보면 매우 다양하다. 현재 보안책임자의 과거이력을 보면 경찰, 군대, 기업관리부서, 보안컨설턴트, 탐정, 시설관리, 전문가/기어보안, IT, 재무/위험관리, FBI(Federal Bureau of Investigation, 연방수사국), 다른 정부기관, 인사관리, CIA(Central Intelligence Agency, 중앙정보부)/정보기관, U.S.비밀업무, 교육, 물류관리, 법 등이다.

 

경찰은 업무 특성상 범죄조사에 전문성을 가지고 있으므로 기업의 보안사고 예방과 조사에 과거의 경험을 활용할 수 있어, 무려 보안책임자의 47.2%가 경찰 출신이다. 그리고 다음으로 군 출신이 32.7%인데, 일반 군인보다는 군 정보 관련 업무를 한 예비역이 해당된다. 과거 보안전문가란 출입문의 경비라는 인식이 높았고, 이를 증명이나 하듯이 전체의 약 80%평화유지를 주업으로 하는 경찰이나 군대에서 보안경력을 쌓았다. 보안컨설턴트, 탐정, IT, 위험관리, FBI와 같은 이력을 가진 사람이 보안책임자가 된 경우는 거의 비슷한 수준이었다. 소소하게 기업의 법무나 CIA와 같은 비밀정보기관에서 근무한 사람도 아주 소수가 있는 수준이다.

 

미국의 자료를 검토해 보면 한국과는 판이하게 다르다는 점을 알 수 있다. 한국의 보안책임자의 과거이력에 관한 통계조사가 나와 있지는 않지만 대체적으로 기업의 다른 관리부서 출신, IT, 군대 관련 출신이 압도적으로 많다. 과거 기업보안이 관리부서의 하위업무로 자리매김한 것과 IT보안이 중요시되면서 IT출신이 CIO라는 이름으로 보안책임자가 된 경우가 많았다. 군 출신은 기무사, 정보사와 같은 정보부대 출신과 일반 부대에서 정보업무를 경험한 출신이 대부분을 차지한다. 간혹 해외에서 평화유지활동에 참여했거나 재외공관에 근무한 경험이 있는 사람도 있다.

 

미국과는 달리 경찰출신이 기업의 보안책임자로 있는 경우는 많지 않다. 경찰신분의 안정성 때문에 중도 퇴직하는 경우가 많지 않은 이유도 있을 것이고, 한국기업의 보안업무가 경찰 업무와 연관성이 낮은 점도 작용한 것으로 보인다. 보안관련 법률의 중요성이 커지고 있지만 법률 전문가가 보안책임자로 된 경우도 거의 없다. 국가 전략산업이나 방위산업의 경우에는 국가정보원 출신도 일부 있지만 군 출신이 대다수를 점유하고 있다.

 

한 가지 특이점은 미국에서 법적으로 인정된 탐정이 보안책임자의 이력 중 5위로 12.1%를 차지한다는 것이다. 국내에서는 아직 탐정이 합법화되지 않았지만 앞으로 자격증에 대한 수요가 늘어날 것으로 보인다.

 

 

(산업보안학ISS – 진규 저(국가정보전략연구소소장) p52)

 

[출처:산업보안학ISS-민진규저, 국가정보전략연구소]

저작자표시 비영리 변경금지

'글로벌정보경영전략' 카테고리의 다른 글

보안과 보안부서의 미래[보안전문가에게 필요한 기능과 미래][산업보안학 ISS][국가정보전략연구소]  (0) 2012.11.26
보안전문가에게 열려 있는 기회[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.25
CSO의 업무와 성공요소[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.23
CSO에게 요구되는 기능[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.22
보안전문가가 가져야 할 7가지 자세[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.17
top
:
▣  CSO의 업무와 성공요소[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소] - 글로벌정보경영전략 - 2012. 11. 23. 16:08

보안전문가에게 필요한 기능과 미래

 

보안전문가에게 필요한 기능

1. 보안전문가가 가져야 할 지식

2. 보안전문가가 가져야 할 7가지 자세

3. CSO에게 요구되는 기능

4. CSO의 업무와 성공요소

 

보안전문가의 과거이력과 기회

5. 보안전문가의 다양한 과거이력

6. 보안전문가에게 열려 있는 기회

7. 보안과 보안부서의 미래

 

 

 

4. CSO의 업무와 성공요소

 

CSO는 기업의 보안 최고책임자로서 다음과 같은 업무를 수행해야 한다. CSO에게 필요한 기능을 참조해 보면 CSO가 해야 할 업무를 정의하기 편하다. 먼저 기업의 보안정책과 절차(process)를 수립해야 한다. 보안부서 책임자의 조언을 받아 종합적인 기업보안정책을 집행하고 이에 관한 피드백(feedback)을 한다.

 

 또한 기업보안에 관련된 외부 인사, 유관 기관과 유기적인 연대를 유지해 필요시 협조를 받을 수 있도록 해야 한다. 경영진을 포함한 모든 직원의 안전을 책임지고 관리해야 한다. 마지막으로 CEO의 경영정책 수립에 관하여 보안 관련 조언을 한다.

 

CSO가 해야 할 업무를 참조해 ASIS가 제시한 CSO의 성공요소(key success factor) 7가지를 살펴보자

  실질적이고 창의적인 보안 해결책을 통한 지속 가능한 경쟁우위를 세울 수 있는 능력

  내·외부의 압력하에서 원칙을 유지하는 능력과 고결성(integrity)을 실현

  고도의 분석기술, 관리경험, 뛰어난 관계설정능력

  경영진으로서 전략기획과 정책개발에 풍부한 경험

  조직의 방향에 중요한 내·외부의 트렌드와 변화하는 조건을 평가하고 빠르게 적응하도록 조직을 예측하고, 영향을 미치며 도울 수 있는 능력

  혁신적이고 기업지향적인 반응을 위한 추천된 행동요령과 커뮤니케이션에서의 효율설

  성공적인 직원역량개발을 향한 실천적 지향과 뛰어난 열정

 

다른 어떤 임원보다 CSO는 전사보안확립을 위해 다양한 능력과 경험을 가지고 있어야 한다. 기업의 보안이 경영에 직접적인 영향을 미침에 따라 실질적이고 창의적인 보안 해결책을 수립해 지속 가능(sustainable)한 경쟁우위를 지킬 수 있어야 한다. 보안이 불편하다는 불평과 보안지침을 완화해달라는 내·외부의 압력하에서도 원칙을 굳건히 지켜야 하고, 본인 스스로도 보안정책 준수를 솔선수범해야 한다.

 

보안위험요소를 분석하고 관리하기 위해서는 고도의 분석기술과 관리경험이 필요하고, 다른 부서와 원만한 관계를 유지하기 위해서 뛰어난 관계설정능력이 요구된다. 기업이나 보안조직이 설정한 목표와 방향에 중요한 트렌드와 조건을 평가하고 예측할 수 있어야 한다. 이런 노력을 통해 기업과 보안부서는 외부변화에 능동적으로 대처하고 적응할 수 있게 된다.

 

- 이하 생략 -

 

 

(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p50)

 

[출처:산업보안학ISS-민진규저, 국가정보전략연구소]

 

저작자표시 비영리 변경금지

'글로벌정보경영전략' 카테고리의 다른 글

보안전문가에게 열려 있는 기회[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.25
보안전문가의 다양한 과거이력[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.24
CSO에게 요구되는 기능[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.22
보안전문가가 가져야 할 7가지 자세[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.17
보안전문가가 가져야 할 지식[보안전문가에게 필요한 기능과 미래][산업보안학 ISS - 민진규 저][국가정보전략연구소]  (0) 2012.11.15
top
:
articles
recent replies
recent trackbacks
notice
Admin : New post
BLOG main image
[아웃소싱 및 글로벌정보경영전략(GIMS) 컨설팅 포함.]
 

  rss skin by  m22m
tistory 티스토리 가입하기!

티스토리툴바