정보보호관리체계의 정의

정보자산을 보호하기 위해 가장 중요한 요소는 방화벽이나 바이러스 백신 같은 개별적인 보안 제품을 도입하는 것이나 사고대응팀과 같은 특정부서를 수립하고 정보보호책임자를 지정하는 것도 아니다. 조직의 정보를 근본적으로 보호하기 위해서는 조직이 보호해야 하는 중요한 정보가 무엇이며, 왜 중요한지, 어떤 수준으로 보호해야 하는지, 어떤 방법으로 정보보호 목표를 달성할 수 있으며, 그 목표대로 수행하고 있는지를 확인할 수 있는 체계의 수립이 가장 중요하다.

정보보호관리체계는 조직의 전반적인 경영을 위한 관리구조의 한 부분이 되어야 한다. 즉, 조직의 사업 목적을 달성하고 사업을 수행하기 위한 여러 경영관리 체계 중의 하나로서 특히 정보 자산의 보호에 관련된 위험을 관리하기 위한 것이다. 정보보호에 관련된 위험이란 정보자산이 허가되지 않은 사람에게 노출되거나(기밀성 위험), 허가되지 않은 사람이 변경하거나(무결성 위험), 정당한 사용자가 사용할 수 없는(가용성 위험) 위험을 말한다. 또한 개인정보보호라든가 지적재산권과 같은 법률적으로 규정된 사항을 지키지 못해 발생하는 위험(준거성 위험)을 포함하기도 한다.

따라서 정보보호관리체계는 정보자산의 기밀성, 무결성, 가용성 및 준거성을 달성하기 위하여 이러한 위험의 정도를 평가하고 그 위험을 막기 위한 대책을 수립․운영하기 위한 것이다.

위험의 정도를 평가한 후 어느 정도까지 이 위험을 수용할 지 목표를 설정하여 관리하는 방식을 위험 기반 접근방법이라고 한다. 정보보호관리체계는 이 위험 기반 접근방법을 기반으로 하여 위험관리절차를 수립하고 문서화하며, 이에 따라 필요한 대책을 구현하여 지속적으로 운영, 관리하는 것이다.

이때 필요한 관리절차와 과정은 일반적인 사업 통제의 관리주기와 마찬가지로 계획-실행-확인-반영의 주기를 갖는다. 즉, 명확한 목표를 정하고 전략을 세우는 계획수립단계, 수립된 계획을 실행하는 단계, 수립 결과를 계획에 대비하여 검토하는 단계, 검토 결과를 차기 계획에 반영하는 단계로 구성이 되고 이 단계는 지속적으로 반복이 된다. 특히 정보보호를 목표로 할 경우에 이 과정은 정책을 수립하고 조직을 구성한 후, 위험분석 수행 및 정보보호 계획을 수립하는 위험관리 과정을 거쳐 정보보호 계획에 따른 대책구현 및 운영, 이후 검토와 모니터링을 포함하는 사후관리로 이루어지게 된다.

정보보호관리체계란 이러한 일련의 관리과정을 통해 조직의 자산을 효율적으로 보호할 수 있도록 기술적, 물리적, 관리적, 조직적인 다양한 보호 대책들을 구현하고 지속적으로 관리, 운영하는 종합적인 체계를 말한다.