정보보호 강화를 위한 구체적 대응방안

법률과 감독기관 등의 요구사항, 이용자 권익 보호 활동, 기업의 사회적 책임에 대한 질책 등의 사회적 분위기에 따라 많은 기업에서 점차로 정보보호 대책을 수립하고 적용해 왔으나 앞의 사례에서처럼 보안 사고가 끊이지 않고 있으며 향후에도 이러한 추세는 계속될 것으로 전망된다.

이는 보안 사고를 단지 IT의 문제로만 생각해 관련 조직, 프로세스, 정보시스템을 보완하면 될 것이라고 생각하거나 동종 또는 유사업계에서 보안사고가 발생하면 다급하게 관련된 사고 경위 및 대책을 분석해 필요한 부분만을 조치하고 일정 시일이 흐르면 무감각해 지는 것에 기인한다.

따라서 기업의 정보보호 노력은 특정 분야, 일부 조직 및 직원의 차원에서 추진돼야 하는 것이 아니라 전사적인 활동으로 인식해 정보보호 정책, 정보보호 조직, 인적 보안(내부직원 및 외부자 등), 출입 통제 등의 물리적 보안, 기술적 보안(시스템, 네트워크, 어플리케이션 등), 사고 예방 및 대응 등 보안의 전체 영역을 대상으로 기업의 규모와 특성에 적합한 정보보호관리체계를 구축하고 효율적인 정보보호 투자를 위한 마스터플랜을 수립해 이행하는 등의 체계적이고 지속적인 노력과 활동이 이뤄져야 한다.


1. 기업의 목표와 비전에 맞는 정보보호정책의 수립과 검토

정보보호정책은 조직의 정보보호에 대한 기본적 방향과 근거를 제시해 주는 문서로 기업의 목표와 비전, 전략을 반영해 작성하고 주기적으로 정책의 타당성을 검토 및 수정 보완함으로써 지속적으로 개선돼야 한다.


2. 정보보호 조직의 구성 및 운영

기업의 정보보호 활동을 체계적으로 수행하기 위해서는 기업의 특성(규모, 조직, 문화 등)에 적합한 정보보호조직을 구성하고 운영해야 한다. 또한 경영진은 정보보호조직에게 강력한 권한과 충분한 자원을 부여해 능동적으로 직무를 수행할 수 있도록 지원하는 것이 중요하다.


3. 정보보호 마스터 플랜 수립

기업의 중겴掠袖岵?정보보호 마스터 플랜을 수립해 비즈니스 전략과 부합된 정보보호 전략을 체계적이고 일관성 있게 수행할 수 있어야 한다. 그렇지 않을 경우 트렌드에 따라 도입한 정보보호 솔루션이나 장비의 도입만으로 모든 보안이 이뤄졌다고 착각하기 쉬우며 개별적 편의나 산발적인 보안 투자를 하게 되는 경우 필요 없는 예산을 낭비하거나 오히려 내부의 정보가 유출될 위험을 초래할 수 있다.


4. 정보보호 시스템 구축 및 체계적 관리

정보보호 시스템은 용도에 적합하고 정보시스템 환경에 맞게 효과적으로 구축돼야 하며 구축 후에는 모니터링 체계를 수립해 지속적인 관리가 이뤄져야 한다.


5. 기업 정보보호 문화 조성


기업 정보보호에 있어서 가장 중요한 요소는 바로 기업의 정보보호 문화를 조성하는 것이다. 전사적 차원에서 정보보호에 대한 경영진의 확고한 의지를 바탕으로 임직원에게 지속적인 정보보호 교육과 홍보를 통해서 정보보호에 대한 분위기를 조성하고 점진적으로 정보보호를 기업문화로서 정착시켜 나가야 한다.




[기사전문보기]