정보보호관리체계 수립의 이점

정보보호관리체계 수립의 이점은 다음과 같이 말할 수 있다.

첫째, 정보보호관리체계를 수립․운영하게 되면 정보보호 수준을 목표수준으로 제고하고 지속적으로 유지할 수 있다. 정보보호 제품은 일반적으로 도입 시 효과가 가장 높고 시간이 갈수록 그 효과가 떨어지게 된다. 극단적인 예로 바이러스 백신 제품의 경우 도입 후 업데이트를 수행하지 않으면 일주일도 안 되어 새로운 바이러스에 걸리는 경우도 있다. 정보보호관리체계를 수립하게 되면 도입순간에만 효과가 있는 일회적인 정보보호가 아니라, 정보보호 수준을 지속적으로 관리함으로써 항상 일정 수준의 보호가 이루어질 수 있다.

또한 정보자산에 적합한 수준의 정보보호를 할 수 있다. 일례로 집에 금괴를 쌓아 두고 있다면 금속제 보안금고나 경비원이 필요하겠지만 통장을 가지고 있다면 통장과 도장만 적절히 관리하면 필요한 보호를 제공할 수 있다. 조직의 경우에도 은행이나 증권회사처럼 자산이 디지털화된 정보의 형태로 존재하는 경우와, 제조회사나 공장처럼 정보와 상품이나 현물 자산이 혼재하는 경우에는 필요한 보호의 내용과 수준이 달라질 수 있다.

둘째, 정보보호관리체계는 초기에 분석과 계획을 실시함으로써 지나친 보호대책을 구현하여 발생할 수 있는 비용을 감소시키는 한편 중요자산을 적절히 보호하지 못하여 발생하는 위험을 막을 수 있다. 정보보호관리체계를 통해 조직은 자산을 조사하고 이 자산에 존재하는 위협과 취약성, 영향을 평가하여 적절한 보호대책을 수립하고 관리한다. 이러한 분석과 계획 없이는 새로운 보호대책을 도입한다 하더라도 정작 중요한 자산에 대한 적절한 대책을 마련하지 못하여 피해가 발생할 수 있다. 즉, 정보보호관리체계의 수립․운영을 통해 보안사고 발생으로 인한 자산의 피해와 이 보안사고를 막기 위한 보호대책 간의 투자비용 균형을 맞출 수 있다.

셋째, 정보보호관리체계의 지속적인 운영 유지를 통해 정보보호 관련 기술 및 노하우를 조직 내부에 축적할 수 있다. 이렇게 축적된 지식은 장기적으로 사고에 적시 대응할 수 있는 능력을 갖추게 하여 사고발생 피해를 감소시킬 수 있다.

이렇게 체계화된 형태의 정보보호관리는 단순히 기존 자산의 보호뿐만 아니라 새로운 사업자체를 가능하게 해주는 긍정적인 기반요소가 될 수 있다. 과거에는 정보보호가 단순히 최소화해야 하는 비용요소로 간주되었다. 그러나 현재와 같이 인터넷을 통해 새로운 사업을 전개하고 관련 정보를 생성, 전송, 처리하는 상황에서는 정보보호를 고려하지 않을 수 없다. 인터넷상의 각종 위협이 매우 크기 때문에, 정보보호를 단순히 비용요소로 간주하고 최소화시킨다면 차후에 발생하는 데이터 변조 및 삭제, 부정 거래 등의 위험을 감당할 수 없게 된다. 정보를 보호를 고려하지 않고 진행하는 인터넷기반의 사업 프로세스는 그 사업이 성공적일 수록 더 많은 공격의 유혹을 불러 일으켜 차후 보류해 두었던 비용을 치르게 될 수 있다.

또한 정보보호관리체계의 수립은 다음 절에서 설명할 정보보호관리체계 인증의 토대가 된다.