|
|
À§Çè°ü¸® °ü½É, IT ¿µ¿ªÀ¸·Î ±Þ¼Ó È®»ê |
IT À§Çè°ü¸® |
|
2008³â 06¿ù 13ÀÏ 00:00:00 |
µ¥ÀÌÅͳÝ
|
|
|
|
À§Çè°ü¸® °ü½É, IT ¿µ¿ªÀ¸·Î ±Þ¼Ó È®»ê
»çÀü ¿¹ÃøÀ¸·Î À§Çè ÃÖ¼ÒÈ ¡¦ ITÀ§Çè°ü¸®, IT °Å¹ö³Í½º ½ÇÇö ±âÃÊ
ÃÖ±Ù IT ºÎ¹®ÀÇ À§Çè°ü¸®¿¡ ´ëÇÑ °ü½ÉÀÌ ±ÞÁõÇÏ¸é¼ ÁÖ¿ä ±â°ü, ±â¾÷µéÀÌ IT À§Çè°ü¸® ü°è±¸Ãà ¹× ½Ã½ºÅÛ µµÀÔÀ» ÃßÁøÇÏ°í ÀÖ´Ù. ¿¹±âÄ¡ ¸øÇÑ ¼Õ½Ç·Î ÀÎÇØ ±â¾÷ÀÇ ºñÁî´Ï½º°¡ Áߴܵǰí, ½É°¢ÇÑ Å¸°ÝÀ» ÀÔ´Â »óȲÀ» ¹æÁöÇϱâ À§Çؼ´Ù. ITÀ§Çè°ü¸®ÀÇ ±âº» °³³ä¿¡ ´ëÇØ ¾Ë¾Æº»´Ù. <ÆíÁýÀÚ>
¿¬Àç¼ø¼
1ȸ : ÀϹÝÀûÀÎ Á¤º¸º¸¾È À§Çè°ü¸®(À̹øÈ£)
2ȸ : KRI ÀÌ¿ëÇÑ °ÈµÈ À§Çè°ü¸® ¹æ¾È
3ȸ : °³ÀÎÁ¤º¸º¸È£¿¡ Æ¯ÈµÈ À§Çè°ü¸® ¹æ¾È
Àü»ó¹Ì //
¿¡À̾²¸®½ÃÅ¥¸®Æ¼ÄÁ¼³Æà ¿¬±¸¼ÒÀå
jsm@a3security.com
¡®À§Ç衯À̶õ, ¸ñÀû¿¡ µµ´ÞÇϴµ¥ ¹æÇØ°¡ µÇ°Å³ª Á÷Á¢ÀûÀ¸·Î ¼Õ½ÇÀ» ÃÊ·¡ÇÒ ¼ö ÀÖ´Â ÀáÀç »ç°ÇÀ» ÀǹÌÇÑ´Ù. ÀÌ¿¡ ºñÃ纸¸é À§Çè°ü¸®´Â À§Çè ¼öÁØ¿¡ µû¶ó ºñ¿ë ´ëºñ È¿°ú¸¦ °í·ÁÇØ È¿À²ÀûÀÌ°í È¿°úÀûÀ¸·Î ´ëÀÀÇÒ ¼ö ÀÖµµ·Ï ÇÏ´Â ÀÏ·ÃÀÇ ÇÁ·Î¼¼½º¸¦ ¸»Çϸç, À§ÇèÀÇ »çÀü½Äº°°ú À§Çè ¼öÁØ Æò°¡ µîÀÌ ÀÌ·ïÁ®¾ß ÇÑ´Ù.
À§Çè°ü¸® Á¤ÀÇ
À§Çè°ü¸® È°µ¿Àº °æ¿µ, ±ÝÀ¶, ½Å¿ë, µµ·Î/Ç׸¸ µî ´Ù¾çÇÑ ºÎ¹®¿¡¼ ÀÌ¹Ì È°¼ºÈµÅ ÀÖÀ¸¸ç, À§ÇèÀÇ Á¾·ù³ª ³»¿ëÀº ´Ù¸£´õ¶óµµ À§ÇèÀ» ½Äº°, Æò°¡, ´ëÀÀÀ» ÇÏ´Â ¹æ¹ý·ÐÀûÀÎ Ãø¸é¿¡¼´Â Å« Â÷ÀÌ°¡ ¾ø´Ù. ÀÌ¿Í ¸¶Âù°¡Áö·Î Á¤º¸º¸È£ ºÎ¹®À» Æ÷ÇÔÇÑ ITÀ§Çè°ü¸®µµ ½Äº°µÈ °¢ À§Çè¿¡ ´ëÇÑ ¿µÇâ°ú ¹ß»ý°¡´É¼ºÀ» Æò°¡, À§Çè ¼öÁØÀ» µµÃâÇÏ°í, µµÃâµÈ À§ÇèÀÇ ¼öÁØ°ú ºñ¿ë´ëºñ È¿°ú¸¦ °í·ÁÇÑ Â÷º°ÈµÈ °³¼± ´ëÃ¥À» ¼ö¸³¡¤ÀÌÇàÇÏ´Â ÀÏ·ÃÀÇ ÇÁ·Î¼¼½º¸¦ µû¸¥´Ù.
IT À§Çè°ü¸®´Â Á¢±Ù¹æ½Ä¿¡ µû¶ó ¡®IT ÀÚ»ê°ú °ü·ÃµÈ ±â¼úÀû À§Ç衯¿¡ ´ëÇÑ °ü¸®¿Í ¡®IT °ü·Ã ¾÷¹« ÇÁ·Î¼¼½º¿Í °ü·ÃµÈ °ü¸®Àû À§Ç衯À¸·Î ±¸ºÐµÉ ¼ö ÀÖÀ¸¸ç, ±â¼úÀû À§Çè°ú °ü¸®Àû À§Çè, ÀÌ µÎ °¡Áö ¹æ½ÄÀÌ ÇÔ²² ¼öÇàµÅ¾ß È¿°úÀûÀÎ À§Çè°ü¸®°¡ ÀÌ·ïÁú ¼ö ÀÖ´Ù.
- IT ÀÚ»ê(¼¹ö, µ¥ÀÌÅͺ£À̽º, ³×Æ®¿öÅ©, ¾ÖÇø®ÄÉÀÌ¼Ç µî)°ú °ü·ÃµÈ ±â¼úÀû À§ÇèÀº ÁÖ¿ä IT ¼ºñ½º Á¦°ø¿¡ ÀÌ¿ëµÇ´Â IT Àڻ꿡 ´ëÇØ Ãë¾àÁ¡ Æò°¡¸¦ ÅëÇØ ¼öÇàµÈ´Ù.
- IT °ü·Ã ¾÷¹« ÇÁ·Î¼¼½º (±âȹ, °³¹ß, À¯Áöº¸¼ö, ¿î¿µ µî)¿Í °ü·ÃµÈ °ü¸®Àû À§ÇèÀº IT ºÎ¼ÀÇ °¢ ¾÷¹« ÇÁ·Î¼¼½º¿¡ ´ëÇØ ÅëÁ¦ ¼öÁØÀÇ Æò°¡¸¦ ÅëÇØ ¼öÇàµÈ´Ù.
À§Çè°ü¸®ÀÇ °¡Àå Å« ¸ñÀûÀº ÇÑÁ¤µÈ ¿¹»êÀ» °¡Áö°í ±â¾÷ÀÇ À§ÇèÀ» È¿°úÀûÀ¸·Î ´ëÀÀÇϱâ À§ÇÔÀÌ´Ù. À§Çè°ü¸®´Â ÃÖ±Ù À̽´°¡ µÇ°í ÀÖ´Â ¡®À¯È¿¼º(Effectiveness)°ú È¿À²(Efficiency)À» ÅëÇÑ IT °¡Ä¡Ã¢Ã⡯À» ¸ñÀûÀ¸·Î ÇÏ´Â IT °Å¹ö³Í½º(IT Governance)¿Íµµ ¿¬°üµÉ ¼ö ÀÖ¾î IT ºÎ¹®¿¡¼µµ À§Çè°ü¸®ÀÇ Çʿ伺 ÀνÄÀÌ Á¡Â÷ È®´ëµÇ°í ÀÖ´Â »óȲÀÌ´Ù.
IT À§Çè°ü¸® È°µ¿ÀÇ ¼öÇàÀ» ÅëÇÑ ±â´ë È¿°ú·Î´Â ¡ã󸮵Ǵ Á¤º¸ÀÇ º¸¾È¼º ¹× Á¤È®¼º È®º¸ ¡ãIT ¼ºñ½ºÀÇ ¾ÈÁ¤¼º ¹× °¡¿ë¼º È®º¸ ¡ãÈ¿À²ÀûÀÌ°í È¿°úÀûÀÎ IT ¼ºñ½º Á¦°ø ¹× Ç°Áú Çâ»ó ¡ã°¢Á¾ IT°ü·Ã ±ÔÁ¦¿¡ ´ëÇÑ ´ëÀÀ¼öÁØ Çâ»ó ¡ãÇÑÁ¤µÈ IT ¿¹»êÀÇ È¿À²Àû ÀÌÇàÀ» À§ÇÑ ÀÇ»ç°áÁ¤ Áö¿ø µîÀ» ²ÅÀ» ¼ö ÀÖ´Ù.
ÀÌ·¯ÇÑ IT À§Çè°ü¸®´Â ´Ù¾çÇÑ ±¹Á¦Ç¥ÁØ, Áöħ ¹× ±Ô¾à¿¡¼ Àǹ«ÈÇÏ°í Àִµ¥, ÀÌ·¯ÇÑ Ç¥ÁØ, Áöħ ¹× ¹ý±Ô¸¦ Á¤¸®Çϸé <Ç¥ 1>°ú °°´Ù.
°¢ Ç¥ÁØ¿¡ µû¶ó¼ À§Çè ¼öÁØÀ» Æò°¡ÇÏ´Â ¹æ¹ýÀº Ãë±ÞÇÏ´Â À§ÇèÀÇ Á¾·ù¿¡ µû¶ó Â÷ÀÌ°¡ ÀÖÀ» ¼ö ÀÖ´Ù. Ç¥ÁØ¿¡ µû¶ó À§Çè ¼öÁØ Æò°¡°¡ »óÀÌÇÑ ¿¹¸¦ µé¸é ´ÙÀ½°ú °°´Ù.
¡Ü ¹ÙÁ© À§¿øȸ(Basel Committee) Á¤ÀÇ
¹ÙÁ©(Basel)Àº ¿î¿µ¸®½ºÅ©¸¦ ´ë»óÀ¸·Î ÇÑ´Ù.
¿î¿µ¸®½ºÅ©´Â ºÎÀûÀýÇÑ ³»ºÎ ÇÁ·Î¼¼½º, »ç¶÷ ¹× ½Ã½ºÅÛ°ú ¿ÜºÎ »ç°Çµé·Î ÀÎÇØ ¼Õ½ÇÀÌ ¹ß»ýÇÒ ¼ö ÀÖ´Â °¡´É¼ºÀ» ÀǹÌÇϸç, <±×¸² 2>¿Í °°Àº °úÁ¤À» °ÅÃÄ À§Çè ¼öÁØÀÌ °áÁ¤µÈ´Ù. ÀÌ·¯ÇÑ Á¤ÀÇ´Â ³»ºÎÅëÁ¦ ±¹Á¦Ç¥ÁØÀÎ ¡®COSO ÀÎÅͳΠÄÜÆ®·Ñ ÇÁ·¹ÀÓ¿öÅ©(COSO Internal Control Framework)¡¯, ¹Ì±¹ ¿¬¹æÁ¤ºÎ Á¤º¸½Ã½ºÅÛ À§Çè°ü¸® Ç¥ÁØÀÎ ¡®NIST SP800-30¡¯ µî ´Ù¾çÇÑ ±¹Á¦Ç¥ÁØ ¹× Áöħ¿¡¼ ³Î¸® äÅõŠ»ç¿ëµÇ°í ÀÖ´Ù.
¡Ü ISO º¸¾È°ü¸® Ç¥ÁØ Á¤ÀÇ
IT º¸¾È À§ÇèÀº ƯÁ¤ À§ÇùÀÌ ÀÚ»êÀÇ Ãë¾à¼ºÀ» ÀÌ¿ëÇØ Á¶Á÷¿¡ ¼Õ½ÇÀ̳ª ¼Õ»óÀ» ³¢Ä¥ ¼ö ÀÖ´Â ÀáÀ缺À» ÀǹÌÇÑ´Ù.
<±×¸² 3>ÀÇ °úÁ¤À» °ÅÃÄ À§ÇèÀÇ ¼öÁØÀÌ °áÁ¤µÈ´Ù.
ÀÌ ±Û¿¡¼´Â ÁÖ·Î ¹ÙÁ©¿¡¼ÀÇ Á¤ÀÇ¿¡ µû¶ó À§ÇèÀ» Á¤ÀÇÇÏ°í, ±â¼úÀû À§Çè°ú °ü¸®Àû À§ÇèÀ» ±¸ºÐÇØ À§Çè°ü¸®¸¦ Á¦½ÃÇϵµ·Ï ÇÏ°Ú´Ù.
±â¼úÀû À§Çè°ü¸®
±â¼úÀû À§ÇèÀ̶õ IT ¼ºñ½º Á¦°ø¿¡ ÀÌ¿ëµÇ´Â ¼¹ö, µ¥ÀÌÅͺ£À̽º, ³×Æ®¿öÅ© ¹× ÀÀ¿ëÇÁ·Î±×·¥¿¡ ´ëÇØ ¼öÇàµÅ¾ß Çϸç, ÀºÇà¿¡ ¾Ç¿µÇâÀ» ³¢Ä¥ ¼ö ÀÖ´Â ´Ù¾çÇÑ ÀáÀç Ãë¾àÁ¡¿¡ ÀÇÇØ ¹ß»ýÇÒ ¼ö ÀÖ´Â À§ÇèÀ» ¸»ÇÑ´Ù. ÀÌ·¯ÇÑ ±â¼úÀû À§ÇèÀ» ½Äº°Çϱâ À§Çؼ´Â Çϵå¿þ¾î, ¼ÒÇÁÆ®¿þ¾î °ø±Þ¾÷üÀÇ ±â¼ú ¹®¼, °¢Á¾ º¸¾È/¿î¿µ Áöħ°ú °¡À̵å¶óÀÎ µîÀ» ÂüÁ¶ÇØ Ãë¾àÁ¡ Æò°¡ üũ¸®½ºÆ®¸¦ ÀÛ¼ºÇØ¾ß ÇÑ´Ù.
±Ã±ØÀûÀ¸·Î À§ÇèÀÇ Á¦°Å ȤÀº ¿Ïȸ¦ À§ÇÑ È°µ¿À» ¼öÇàÇØ¾ß Çϴµ¥, ±¸¼º/¼³Á¤ÀÇ º¯°æÀ» ÅëÇØ ¡®ºü¸¥ ±³Á¤(Quick Fix)¡¯ÀÌ °¡´ÉÇÑ À§Çè¿¡ ´ëÇؼ´Â ºñ¿ë°ú ½Ã°£À» ÃÖ¼ÒÈÇÒ ¼ö ÀÖµµ·Ï Áï°¢ ±³Á¤À» ¼öÇàÇÏ°í, ºü¸¥ ±³Á¤À» ¼öÇàÇÒ ¼ö ¾ø´Â À§Çè¿¡ ´ëÇؼ´Â È¿°ú/È¿À²ÀûÀÎ °³¼± ´ëÃ¥ÀÇ ¼ö¸³À» À§ÇØ À§Çè Æò°¡¸¦ ½Ç½ÃÇÏ´Â °ÍÀÌ ¹Ù¶÷Á÷ÇÏ´Ù.
À§Çè Æò°¡°¡ ÇÊ¿äÇÑ °æ¿ì¿¡´Â À§Çè ¼öÁØÀ» µµÃâÇϱâ À§ÇØ À§ÇèÀÇ ¿µÇâ°ú ¹ß»ý°¡´É¼ºÀ» Æò°¡ÇÑ´Ù. ÀÌ·¯ÇÑ Æò°¡´Â Á¶Á÷ÀÇ ºñÀü ¹× ¸ñÀû, »ç¾÷ºÎ¹®, ±Ô¸ð µî¿¡ µû¶ó¼ ´Ù¼Ò ´Þ¶óÁú ¼ö ÀÖÁö¸¸, Åë»óÀûÀ¸·Î <Ç¥ 2>¿Í °°Àº Ç¥¸¦ ÀÌ¿ëÇØ µî±ÞÀ» ºÎ¿©ÇÏ´Â ¹æ½ÄÀ¸·Î ÀÌ·ïÁö°Ô µÈ´Ù.
ÀÌ·¯ÇÑ Æò°¡Ç¥¸¦ ÅëÇØ °¢ ±â¼úÀû À§Çè¿¡ ´ëÇØ Æò°¡µÈ ¿µÇâ ¹× ¹ß»ý°¡´É¼º Æò°¡ µî±ÞÀ¸·ÎºÎÅÍ ÃÖÁ¾ÀûÀÎ À§ÇèÀÇ ¼öÁØÀ» µµÃâÇÏ°Ô µÈ´Ù. ÃÖÁ¾ÀûÀÎ À§Çè ¼öÁØ µµÃâ¿¡´Â <±×¸² 5>¿Í °°Àº ¸®½ºÅ© ·¹º§ ¸ÅÆ®¸¯½º(RISK LEVEL MATRIX)¸¦ ÀÌ¿ëÇÒ ¼ö ÀÖ´Ù.
À§Çè ¼öÁØ¿¡ µû¶ó Â÷º°ÈµÈ À§Çè ´ëÀÀ¹æ¾ÈÀ» ¼ö¸³ÇØ¾ß Çϸç, À§ÇèÀÇ ¼öÁØ¿¡ µû¸¥ ÀûÇÕÇÑ °³¼±¾ÈÀ» ¼±ÅÃÇÔÀ¸·Î½á È¿À²ÀûÀÌ°í È¿°úÀûÀÎ °³¼± ´ëÃ¥À» ¼ö¸³¡¤ÀÌÇàÇÒ ¼ö ÀÖ´Ù. Áï, ¸ÅÆ®¸¯½º »ó¿¡¼ 3, 4, 5¿¡ ÇØ´çÇÏ´Â À§ÇèÀº ¹Ýµå½Ã »çÀü¿¡ ¿¹»êÀ» È®º¸Çؼ¶óµµ ¿¹¹æÀ§ÁÖÀÇ ´ëÀÀÀÌ ÇÊ¿äÇϸç, 1¿¡ ÇØ´çÇÏ´Â À§ÇèÀº À§ÇèÀ» º¸Çèȸ»ç¿¡ Àü°¡Çϰųª, Á¶Á÷ÀûÀ¸·Î ¼ö¿ëÇÏ´Â °ÍÀÌ °ËÅäµÉ ¼ö ÀÖ´Ù.
°ü¸®Àû À§Çè°ü¸®
°ü¸®Àû À§ÇèÀ̶õ IT ¾÷¹« ÇÁ·Î¼¼½º¿¡¼ÀÇ ÅëÁ¦»ó Ãë¾àÁ¡À» ÀǹÌÇÑ´Ù. ÀÌ·¯ÇÑ Ãë¾àÁ¡ÀÇ ½Äº°Àº ÇöÀçÀÇ ¾÷¹« ÇÁ·Î¼¼½º¿Í COBIT µî¿¡¼ Á¦½ÃµÈ ¼±Áø»ç·Ê(ÅëÁ¦ ¸ñÀû ¹× ÅëÁ¦ »ç·Ê)¿ÍÀÇ Â÷ÀÌ(Gap) ºÐ¼®À» ÅëÇØ ÀÌ·ïÁø´Ù. COBIT¿¡¼´Â 34°³ ÇÁ·Î¼¼½º¿¡ ´ëÇØ 318°³ÀÇ ÅëÁ¦ ¸ñÀû(Control Objectives)À» Á¤ÀÇÇÏ°í ÀÖÀ¸¸ç, °¢ ÅëÁ¦ ¸ñÀûÀº ¿©·¯ ÅëÁ¦ »ç·Ê(Control Practice)¸¦ ¿¹½Ã·Î¼ Æ÷ÇÔÇÏ°í ÀÖ´Ù. IT ¾÷¹« ÇÁ·Î¼¼½º¿¡ ´ëÇÑ ÅëÁ¦ Ãë¾àÁ¡ÀÇ ½Äº°Àº ÀÌ·¯ÇÑ ÅëÁ¦ ¸ñÀû°ú ÅëÁ¦ »ç·Ê¸¦ ¾÷¹« ÇÁ·Î¼¼½º ÇöȲ°ú ºñ±³ÇÔÀ¸·Î½á ÀÌ·ïÁø´Ù.
°ü¸®Àû À§ÇèÀÇ Æò°¡ °úÁ¤Àº ±â¼úÀû À§ÇèÀÇ Æò°¡ °úÁ¤°ú µ¿ÀÏÇÏ´Ù. ±â¼úÀû À§ÇèÀÇ °æ¿ì¿Í µ¿ÀÏÇÑ ¹æ½ÄÀ¸·Î ¸¸¾à ½Äº°µÈ °ü¸®Àû À§Çè Áß ºü¸¥ ±³Á¤ÀÌ °¡´ÉÇÑ Ç׸ñÀÌ ÀÖ´Ù¸é, ÀÌ·¯ÇÑ À§ÇèÀº À§Çè Æò°¡ ´ë½Å ºü¸¥ ±³Á¤ÀÌ ¼öÇàµÈ´Ù. °ü¸®Àû À§Çè¿¡ ´ëÇÑ °³¼± ´ëÃ¥ÀÇ ¼ö¸³ ¹× ÀÌÇà ¿ª½Ã ±â¼úÀû À§Çè°ü¸®¿¡¼ÀÇ °úÁ¤°ú µ¿ÀÏÇÏ´Ù.
°ü¸®Àû À§Çè°ú ÀÌ¿¡ ´ëÇÑ °³¼± °èȹÀº <±×¸² 6>°ú °°Àº °úÁ¤À¸·Î ÁøÇàµÇ°Ô µÈ´Ù. <±×¸² 6>Àº °ü¸®Àû À§Çè¿¡ ´ëÇÑ °³¼± °èȹ ¼ö¸³ÀÇ ¿¹´Ù.
Áö±Ý±îÁö ITÀ§Çè°ü¸®ÀÇ ±âº» °³³ä¿¡ ´ëÇØ ¼³¸íÇß´Ù. ITÀ§Çè°ü¸®¸¦ ÅëÇØ ±â¾÷Àº º¸´Ù ÇÑÁ¤µÈ IT ¿¹»êÀ» º¸´Ù È¿°úÀûÀ¸·Î »ç¾÷ÀÇ ¿¬¼Ó¼ºÀ» º¸ÀåÇϴµ¥ »ç¿ëÇÒ ¼ö ÀÖÀ» °ÍÀÌ´Ù. ´ÙÀ½È£¿¡¼´Â ÀÌ·¯ÇÑ ITÀ§Çè°ü¸®¸¦ º¸´Ù ½ÇÁúÀûÀ¸·Î º¸¿©ÁÙ ¼ö ÀÖ´Â ¡®ÇÙ½ÉÀ§ÇèÁöÇ¥(KRI)¸¦ ÀÌ¿ëÇÑ À§Çè°ü¸® ¹æ¾È¡¯¿¡ ´ëÇؼ »ìÆ캸µµ·Ï ÇÏ°Ú´Ù. |
|
|
|
|
|
|
¨Ï µ¥ÀÌÅͳÝ(http://t564.ndsoftnews.com) ¹«´ÜÀüÀç ¹× Àç¹èÆ÷±ÝÁö | ÀúÀ۱ǹ®ÀÇ |
|
|
|
|
|
| |
°¡Àå ¸¹ÀÌ º» ±â»ç |
|
|
|