거버넌스 거버넌스, 컴플라이언스나 정책 법규, 매뉴얼을 볼때 자주 보는 이 거버넌스가 자세히 뭘 의미하는걸까 문득 궁금했다. 막상 보다보면 이 곳 저곳을 찾아봄... 그리고 금보원의 '금융보안 거버넌스 가이드'를 찾을 수 있었다. 따라서 아래 기술할 내용의 출처는 금융보안원의 '금융보안 거버넌스 가이드' 이며, 정리 겸 참고하고자 포스팅을 남긴다.
1. 거버넌스 정의
거버넌스(Governance)란 통상적으로 정부가 주도하는 통치(Government)가 아닌 다양한 이해관계자들의 파트너십에 의한 협치(協治)를 말하며, 사용되는 분야에 따라 조금씩 다른 의미를 내포한다.
1) 경영학
- 주주, 종업원, 거래 기업, 지역사회 등 회사 관련 이해관계자들의 이해를 조정하여 의사결정, 결정된 사항의 집행 및 감시 감독
2) 행정학
- 정보의 의사결정 과정에 모든 민간 이해 당사자들이 참여하는 새로운 국가 통치 및 관리방식
2. 금융보안 거버넌스
배경
- 최근 금융 IT 환경의 변화 및 국내외 금융 보안사고가 지속적으로 발생함에 따라 금융보안 위험에 대한 효과적인 관리가 필요
- 국내 금융권의 보안 수준은 전자금융거래법, 전자금융감독규정 등에 대한 최소한의 법규 준수 활동에 머물러 있으며, 그 이상의 수준을 향상시키기 위한 노력은 다소 부족한 것이 현실
- 이러한 이유로, 이미 해외에서는 보안 문제를 더 이상 정보보호(보안)부서 또는 기술적 관점이 아닌 기업 거버넌스 관점에서 전사적 차원의 보안 강화를 추진
정의
- 금융보안 거버넌스는 금융권의 업무 특성을 반영한 정보보호 거버넌스를 의미하며, 정보보호 거버넌스 개념은 국제표준(ISO 27014)에서 규정하고 있다.
[참고] 정보보호거버넌스(ISO 27014) : 정보보호에 대한 최고경영층의 의사결정 권한과 책임, 비즈니스와의 전략적 연계, 컴플라이언스 보장을 위해 지켜야 할 원칙과 수행해야 할 활동 및 과제를 정의한 문서
3. 정보보호 거버넌스
- 조직 전반에 걸친 정보보호 목표를 달성하기 위해 전략 및 정책을 통한 지시(Direct)와 성과 모니터링을 통한 통제(Control) 활동을 수행하기 위한 "이사회와 최고경영층의 역할 및 책임"으로 정의
- 즉, 금융회사의 전사적인 금융보안을 위해 최고경영층과 실무조직, 현업조직 간의 상호 협력을 통한 적극적인 정보보호 활동. 또한, 적절한 역할 정의를 통해 책임을 분배하고 권한을 부여하여 해당 역할에 충실히 수행할 수 있게 해야 함
- 궁극적으로 추구하는 목표
첫째, 정보보호의 목표를 조직의 목표와 전략적으로 연계
둘째, 최고경영층과 정보보호 관련 이해관계자들에게 정보보호의 비즈니스 가치를 전달
셋째, 정보보호 관련 위험이 조직 내 적절한 수준으로 관리되고 있으며, 정보자산에 대한 책임추적성을 보장
댓글