[º¸¾È´º½º=Á¶ÈñÁØ ¾¾¿¡ÀÌ¿¡½º ÀÌ»ç] IT¿Í Á¤º¸º¸È£¿¡ ´ëÇÑ ¸®½ºÅ©¸¦ ¼³¸íÇϱâ À§Çؼ´Â Å« ±×¸²ÀÌ ÇÊ¿äÇÏ´Ù. ¿©±â¼´Â Å« ±×¸²À» ÀÌ·ç´Â ±¸¼º¿ä¼ÒµéÀ» µµ¸ÞÀÎ(domain)À» »ç¿ëÇÏ¿© ¼³¸íÇÏ°íÀÚ Çϴµ¥, ÀÌ´Â ±¸¼º´ÜÀ§º° Áï, µµ¸ÞÀÎÀ¸·Î Àüü ±×¸²°ú °³³äÀ» ÀÌÇØÇϱâ À§Çؼ´Ù.
¿¬Àç¼ø¼-----------------------
1. Risk IT ÇÁ·¹ÀÓ¿öÅ©
2. Á¤º¸º¸È£¿¡¼ÀÇ Risk
3. Risk IT ÇÁ·¹ÀÓ¿öÅ©ÀÇ µµ¸ÞÀÎ 1
4. Risk IT ÇÁ·¹ÀÓ¿öÅ©ÀÇ µµ¸ÞÀÎ 2
5. Risk IT ÇÁ·¹ÀÓ¿öÅ©ÀÇ µµ¸ÞÀÎ 3
6. Risk IT ÇÁ·¹ÀÓ¿öÅ©¿Í Á¤º¸º¸È£ÀÇ ¿¬°è
-----------------------------------
Risk IT ÇÁ·¹ÀÓ¿öÅ©ÀÇ 3ÓÞ µµ¸ÞÀÎ
¸®½ºÅ© IT ÇÁ·¹ÀÓ¿öÅ©´Â 3°³ÀÇ »óÀ§ µµ¸ÞÀΰú ±× »óÀ§ µµ¸ÞÀÎÀ» ÀÌ·ç´Â °¢°¢ÀÇ ÇÏÀ§ ¿ä¼ÒµéÀÌ 3°³¾¿ Á¸ÀçÇÏ°Ô µÈ´Ù.
1¹ø° µµ¸ÞÀÎ : ¸®½ºÅ© °Å¹ö³Í½º(Risk Governance)
-RG1 ÀϹÝÀû ¸®½ºÅ© °üÁ¡ÀÇ ¼ö¸³°ú À¯Áö
-RG2 ERM°ú ÅëÇÕ
-RG3 ¸®½ºÅ©¸¦ ÀÎÁöÇÑ ºñÁî´Ï½º ÀÇ»ç°áÁ¤
2¹ø° µµ¸ÞÀÎ : ¸®½ºÅ© Æò°¡(Risk Evaluation)
-RE1 µ¥ÀÌÅÍ ¼öÁý
-RE2 ¸®½ºÅ© ºÐ¼®
-RE3 ¸®½ºÅ© ÇÁ·ÎÆÄÀÏ À¯Áö
3¹ø° µµ¸ÞÀÎ : ¸®½ºÅ© ´ëÀÀ(Risk Response)
-RR1 ¸®½ºÅ© ¸íÈ®È
-RR2 ¸®½ºÅ© °ü¸®
-RR3 »ç°í ´ëÀÀ
¸®½ºÅ© °Å¹ö³Í½º(Risk Governance) µµ¸ÞÀΰú Á¤º¸º¸È£
¸®½ºÅ© IT ÇÁ·¹ÀÓ¿öÅ©ÀÇ Ã¹ ¹ø° µµ¸ÞÀÎÀº ¸®½ºÅ© °Å¹ö³Í½º´Ù. °Å¹ö³Í½ºÀÇ °³³äÀº ¡®Á¶Á÷ÀÇ ¸ñÀû ´Þ¼ºÀ» ÁöÇâÇϵµ·Ï Á¶Á÷ ³» È°µ¿µéÀ» ÅëÁö, ÁöÈÖ, °ü¸® ¹× °¨½ÃÇϱâ À§ÇÏ¿© ÀÌ»çȸ°¡ ±¸ÇöÇÑ ÇÁ·Î¼¼½º ¹× ±¸Á¶ÀÇ Á¶ÇÕ¡¯ÀÌ´Ù. Á¶Á÷ÀÇ ¸®½ºÅ©¸¦ Àü»çÀû Â÷¿ø¿¡¼ Á¶Á÷ÀÇ ÃÖ°íÃ¥ÀÓÀÚµéÀÎ ÀÌ»çȸ(Board of Director: BOD)°¡ ÁÖ°üÇÏ°Ú´Ù´Â °æ¿µÁøÀÇ ÀÇÁö¸¦ ´ã°í ÀÖ´Â °ÍÀÌ ¸®½ºÅ© °Å¹ö³Í½ºÀÌ´Ù. Àü»çÀû Â÷¿ø¿¡¼, ±×¸®°í Á¶Á÷ÀÇ Àü·«Àû Â÷¿ø¿¡¼ ¸®½ºÅ©¸¦ ´Ù·ç°Ú´Ù´Â °æ¿µÁøÀÇ Ã¶ÇÐÀ̱⵵ ÇÏ´Ù.
¸®½ºÅ© °Å¹ö³Í½º µµ¸ÞÀο¡´Â ÇÏÀ§ºÐ·ù¸¦ 3°¡Áö·Î Çß°í ±×¿¡ ´ëÇÑ ¼³¸í°ú Á¤º¸º¸È£ °üÁ¡Àº ´ÙÀ½°ú °°´Ù.
¡ã¸®½ºÅ© °Å¹ö³Í½ºÀÇ ºÐ·ù
ºÐ·ù |
¼³¸í |
Á¤º¸º¸È£ °üÁ¡ |
RG1: ÀϹÝÀû ¸®½ºÅ© °üÁ¡ÀÇ ¼ö¸³°ú À¯Áö |
¸®½ºÅ© °ü¸® È°µ¿Àº IT¿Í Á¤º¸º¸È£¿Í °ü·ÃµÈ ¼Õ½Ç°ú Á¶Á÷ÀÇ ÁÖ°üÀûÀÎ Çã¿ë¿¡ ´ëÇÑ ±â¾÷ÀÇ ¸ñÇ¥·®À» Á¶Á¤ÇÑ´Ù. |
Á¶Á÷ÀÇ Á¤º¸º¸È£´Â Á¤º¸º¸È£°¡ ÀûÀýÇÏÁö ¾Ê¾ÒÀ» ¶§ÀÇ ¼Õ½Ç°ú ¿µÇâÀ» Æò°¡ÇÏ¿©¾ß Çϸç, À̸¦ À§ÇÑ Á¶Á÷ÀÇ ¸®½ºÅ©¿¡ ´ëÇÑ À§Ç輺Çâ¿¡ µû¶ó ´Þ¶óÁø´Ù. |
RG2: ERM°ú ÅëÇÕ |
IT¿Í Á¤º¸º¸È£ ¸®½ºÅ© Àü·«°ú Àû¿ëÀ» ±â¾÷¼öÁØ¿¡¼ °áÁ¤µÈ °æ¿µÀü·«¸®½ºÅ© °áÁ¤°ú ÅëÇÕÇÑ´Ù. |
Á¤º¸º¸È£¿¡ ´ëÇÑ ¸®½ºÅ© Àü·«Àº Àü»çÀû À§Çè°ü¸®(ERM : Enterprise Risk Management)¿Í ¿¬°èµÇ°í ÅëÇյǾî¾ß ÇÑ´Ù. |
RG3: ¸®½ºÅ©¸¦ ÀÎÁöÇÑ ºñÁî´Ï½º ÀÇ»ç°áÁ¤ |
±â¾÷ÀÇ ÀÇ»ç°áÁ¤µéÀº Á¶Á÷ ¸ñÀûÀÇ ¼º°øÀ» À§ÇØ ±âȸµé°ú ±×¿¡ µû¸¥ °á°úµéÀ» °í·ÁÇϸç IT¿Í Á¤º¸º¸È£¿¡ ÀÇÁ¸ÇÑ´Ù´Â °ÍÀ» È®ÀÎÇÑ´Ù. |
Á¶Á÷ÀÇ ¸ñÀû ´Þ¼º°ú Àü·«ÀÇ °áÁ¤À» ±âº»ÀûÀ¸·Î Á¤º¸º¸È£¿¡ ´ëÇÑ ¸®½ºÅ©¸¦ ÀÎÁöÇÑ °ÍÀ» ¸íÁ¦·Î ÇÑ´Ù. |
¸®½ºÅ© °Å¹ö³Í½ºÀÇ ÇÙ½ÉÈ°µ¿µé
¸®½ºÅ© °Å¹ö³Í½º µµ¸ÞÀÎÀº Á¶Á÷ÀÇ °æ¿µÁøµéÀÌ °ü½ÉÀÌ °¡Á®¾ß ÇÒ °³³äÀÌ°í, ¸®½ºÅ© °ü¸®¸¦ À§ÇÑ ÀÇÁöÀÇ Ç¥¸íÀ̶ó°í ÇÒ ¼ö ÀÖ´Ù. À̸¦ À§Çؼ´Â µµ¸ÞÀÎÀ» ±¸Ã¼ÈÇϱâ À§ÇÑ ÇÁ·Î¼¼½º°¡ Á¸ÀçÇØ¾ß ÇÑ´Ù. ¸®½ºÅ© IT ÇÁ·¹ÀÓ¿öÅ©¿¡¼´Â À̸¦ Á¦½ÃÇÏ°í ÀÖ´Ù. ¸®½ºÅ© °Å¹ö³Í½º¿¡´Â °¢ ¿ä¼Òº°·Î RG1¿¡¼ 6°³, RG2¿¡¼ 5°³, RG3¿¡¼ 5°³ÀÇ ÇÁ·Î¼¼½º·Î »ó¼¼ÈÇß´Ù.
¡ã¸®½ºÅ© °Å¹ö³Í½ºÀÇ ºÐ·ù
À̹ø ¿¬À縦 ÅëÇØ ÃÖ±Ù¿¡ ÁÖ¸ñ ¹Þ°í ÀÖ´Â ¸®½ºÅ©¿Í °ü·ÃµÈ ³»¿ë°ú IT¿Í Á¤º¸º¸È£ÀÇ ¸®½ºÅ©¸¦ ½ÉÃþ ºÐ¼®ÇÑ ¡®¸®½ºÅ© IT ÇÁ·¹ÀÓ¿öÅ©¡¯¸¦ µÎ·ç »ìÆ캸±â·Î ÇÑ´Ù. À̸¦ ÅëÇؼ Á¤º¸º¸È£¸¦ µµ±¸³ª ±â¼ú·Î¸¸ º¸´Â Â÷¿ø¿¡¼ ±â¾÷À̳ª °ø°ø±â°üÀÇ Áß¿äÇÑ Àü·«À¸·Î ²ø¾î¿Ã¸®´Â ±âȸ°¡ µÇ±â¸¦ ¹Ù¶õ´Ù. º¸´Ù ÀÚ¼¼ÇÑ ³»¿ëÀº www.isaca.org¿Í www.isaca.or.kr¿¡¼ ã¾Æº¼ ¼ö ÀÖ´Ù.
[Âü°íÀÚ·á ¹× Ãâó]
www.isaca.org
www.isaca.or.kr
www.isc2.org
www.cisspkorea.or.kr
Information Security Governance, ITGI, 2008
CISM Review Manual, ISACA, 2009
The IT Governance Implementation Guide-Using COBIT¢ç and Val IT 2nd Edition, ISACA, 2007
Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008
CISM ÇÑ±Û Review Manual, ISACA, 2011
ISACA Áö½Ä¿ë¾îÁý, ISACA Áö½Ä FAQ, Çѱ¹Á¤º¸½Ã½ºÅÛ°¨»çÅëÁ¦Çùȸ, 2009
IT °Å¹ö³Í½º ÇÁ·¹ÀÓ¿öÅ© ÄÚºø COBIT4.1À» Áß½ÉÀ¸·Î, ÀÎÆ÷´õºÏ½º, 2010
Á¤º¸º¸È£ Àü¹®°¡ÀÇ CISSP ³ëÆ®, ÀÎÆ÷´õºÏ½º, 2011
¸®½ºÅ© IT ÇÁ·¹ÀÓ¿öÅ©, Çѱ¹Á¤º¸½Ã½ºÅÛ°¨»çÅëÁ¦Çùȸ, 2012
ÇÊÀÚ´Â ---------------------------------------------------------------------------
Á¶ Èñ ÁØ josephc@chol.com
CIA, CRMA, CGEIT, CISA, COBIT, CISM, CRISC, CCFP, CISSP, CSSLP, ISO 27001(P.A), ITIL intermediate, IT-PMP, PMP, ISO 20000(P.A)
G-ISMS ½É»ç¿ø, BS10012(P.A), BS25999(P.A), CPPG
PMS(P.A), (ISC)2 CISSP °øÀΰ»ç, Á¤º¸½Ã½ºÅÛ°¨¸®¿ø,
ÇàÁ¤¾ÈÀüºÎ °³ÀÎÁ¤º¸º¸È£ Àü¹®°»ç
ÇàÁ¤¾ÈÀüºÎ/Çѱ¹Á¤º¸ÈÁøÈï¿ø »çÀ̹ö¹üÁË¿¹¹æ±³È Àü¹®°»ç
IT°Å¹ö³Í½º/ÄÁ¼³ÆÃ/°¨¸®¹ýÀÎ ¢ß¾¾¿¡ÀÌ¿¡½º ÄÁ¼³Æà ÀÌ»ç, °¿ø´ëÇб³ °âÀÓ±³¼ö, ¼¼Á¾»çÀ̹ö´ëÇб³ ¿Ü·¡±³¼ö, ÇѾç´ëÇб³ ´ëÇпø ¿Ü·¡°»ç, (ISC)2 CISSP Korea Çѱ¹ÁöºÎ, (»ç)Çѱ¹Á¤º¸½Ã½ºÅÛ°¨»çÅëÁ¦Çùȸ, Çѱ¹Æ÷·»½ÄÁ¶»çÀü¹®°¡Çùȸ¿¡¼ È°µ¿ÇÏ°í ÀÖ´Ù. IT°¨»ç, ³»ºÎ°¨»ç, IT°Å¹ö³Í½º¿Í Á¤º¸º¸È£ °Å¹ö³Í½º°¡ ÁÖ °ü½ÉºÐ¾ßÀÌ´Ù, ÀÌ¿Í °ü·ÃÇؼ ÄÁ¼³ÆÃ, ±â°í, °ÀÇ, °¿¬È°µ¿À» È°¹ßÇÏ°Ô ÆîÄ¡°í ÀÖ´Ù. 2010³â µÎ ¹ø° ´ÜÇົÀÎ ¡®IT°Å¹ö³Í½º ÇÁ·¹ÀÓ¿öÅ© ÄÚºø, COBIT¡¯ Ãâ°£ ÈÄ, 2011³â¿¡ ¡®Á¤º¸º¸È£ Àü¹®°¡ÀÇ CISSP ³ëÆ®¡¯¸¦ ¹ß°£Çß°í, 2012³â ¡®¸®½ºÅ© IT ÇÁ·¹ÀÓ¿öÅ©¡¯¸¦ ¹ø¿ª Ãâ°£ÇßÀ¸¸ç, ÇöÀç °í·Á´ëÇб³ ÀϹݴëÇпø ¹Ú»ç°úÁ¤¿¡¼ °øºÎ ÁßÀÌ´Ù.
-------------------------------------------------------------------------------------
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>