[금융보안원][정보보호] 금융보안 거버넌스 가이드 개정 (2019.12)

안녕하세요. 황컴플라이언스 입니다.

[금융보안원][정보보호] 금융보안 거버넌스 가이드 개정 (2019.12) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 금융보안 거버넌스 가이드 개정

○ 발행일 : 2019년 12월

○ 주관부처 : 금융보안원

---

[개요]

□ 추진배경

최근 금융 IT 환경의 변화 및 국내·외 금융 보안사고가 지속적으로 발생함에 따라 금융보안 위험에 대한 효과적인 관리가 필요

• 지난 금융전산망 마비사고, 카드사 고객정보 유출사고 등에서 알 수 있듯이, 보안이 전제되지 않고서는 그 어떤 편의성과 효율성도 담보할 수 없음
• 뿐만 아니라, 보안사고가 발생하는 경우 집단 소송으로 인한 금전적 피해와 고객 이탈, 평판 실추, 대외 신뢰도 하락 등 무형의 피해도 발생할 수 있음
• 보안사고 발생 시 신속한 복원력(Resilience) 향상을 위한 전사적인정보보호 거버넌스 구축도 요구되고 있음

국내 금융권의 보안 수준은 전자금융거래법, 전자금융감독규정 등에 대한 최소한의 법규 준수 활동에 머물러 있으며, 그 이상의 수준을 향상시키기 위한 노력은 다소 부족한 것이 현실

• 이는 금융회사 전반에 걸쳐 보안에 대한 인식이 여전히 비용의 관점에서바라보는 경향이 많고, 보안은 보안 전담부서 또는 정보보호최고책임자(CISO)만의 역할로 인식하는 것이 근본 원인
• 최소한의 법규 준수 활동만으로는 날로 지능화․고도화되는 보안위협에대한 효과적인 대응이 어려우며, 금융회사별로 보안수준이 차별화되기보다는 하향 평준화될 가능성이 높음

이러한 이유로, 이미 해외에서는 보안 문제를 더 이상 정보보호(보안) 부서 또는 기술적 관점이 아닌 기업 거버넌스 관점에서 전사적 차원의보안 강화를 추진

• 이를 통해 최고경영층을 중심으로 Top-Down 방식의 강력한 보안 강화추진이 가능하며, 보안사고 발생 시 신속한 사이버 복원력(Resilience)이향상되어 이용자 보호 및 금융회사의 피해 최소화에 효과적임

---

금융보안원 금융보안 거버넌스 가이드.pdf

1.16MB

금융보안 거버넌스 가이드 (2019.12) : 금융보안원

---

□  금융보안 거버넌스 개념

거버넌스(Governance)란, 통상적으로 정부가 주도하는 통치(Government)가아닌 다양한 이해관계자들의 파트너십에 의한 협치(協治)를 말하며, 사용되는 분야에 따라 조금씩 다른 의미를 내포

거버넌스

경영학

• 주주, 종업원, 거래 기업, 지역사회 등 회사 관련 이해관계자들의 이해를조정하여 의사결정, 결정된 사항의 집행 및 감시 감독
• ※ 기업 거버넌스(Corporate Governance)

행정학

• 정보의 의사결정 과정에 모든 민간 이해 당사자들이 참여하는 새로운 국가통치 및 관리방식

금융보안 거버넌스란, 금융권의 업무 특성을 반영한 정보보호 거버넌스를 의미하며, 정보보호 거버넌스 개념은 현재 국제표준(ISO 27014)에서 규정

정보보호 거버넌스

정보보호 거버넌스(ISO 27014) : 2013년 제정

• 정보보호에 대한 최고경영층의 의사결정 권한과 책임, 비즈니스와의 전략적연계, 컴플라이언스 보장을 위해 지켜야 할 원칙과 수행해야 할 활동 및 과제를 정의한 문서

---

정보보호 거버넌스란, 조직 전반에 걸친 정보보호 목표를 달성하기 위해전략 및 정책을 통한 지시(Direct)와 성과 모니터링을 통한 통제(Control) 활동을 수행하기 위한 “이사회와 최고경영층의 역할 및 책임”으로 정의

• 즉, 금융회사의 전사적인 금융보안을 위해 최고경영층과 실무조직, 현업조직 간의 상호 협력을 통한 적극적인 정보보호 활동 
• 또한, 적절한 역할 정의를 통해 책임을 분배하고 권한을 부여하여 해당 역할에 충실히 수행할 수 있게 해야 함

이러한 정보보호 거버넌스가 궁극적으로 추구하는 목표는 다음과 같음

• (첫째) 정보보호의 목표를 조직의 목표와 전략적 연계
• (둘째) 최고경영층과 정보보호 관련 이해관계자들에게 정보보호의 비즈니스 가치를 전달 
• (셋째) 정보보호 관련 위험이 조직 내 적절한 수준으로 관리되고 있으며, 정보자산에 대한 책임추적성을 보장

금융권에 정보보호 거버넌스가 구축되는 경우, 가질 수 있는 기대 효과는 다음과 같음

금융회사의 정보보호 효과성 확보로 정보보호 인력 및 예산 등에 대한 자발적인 보안 투자 유도

• 중복과 불필요한 보안 프로세스 통합으로 정보보호 업무 효율성 개선
• 전사적으로 정보보호 거버넌스를 문화로 인식하여 업무 수행시 자연스럽게 정보보호 활동을 위해 노력
• 비즈니스 연속성 확보를 통한 투자자와 이해관계자 등의 신뢰 확보

 

---

[목차]

[금융보안 거버넌스 7대 기본원칙]

[역할 매트릭스]

제 1 장 금융보안 거버넌스 개요

• 1. 배경 및 목적
• 2. 금융보안 거버넌스 개념

제 2 장 금융보안 거버넌스 환경 변화

• 1. 금융보안 패러다임 변화
• 2. 금융보안 거버넌스 주요 이슈 

제 3 장 금융보안 거버넌스 전략 

• 1. 정보보호 활동을 위한 명확한 역할 정의, 권한 및 책임 확립 
• 2. 올바른 의사결정을 위한 보고체계 수립
• 3. 위험 감소 및 완화를 위한 전사적인 위험관리 체계 확립
• 4. 정보보호 활동의 현재와 미래에 대한 최고경영층의 이해를 돕기 위한 방법 제시 
• 5. 원활한 정보보호 활동을 위한 최고경영층 등의 소통 강화 
• 6. 안정적인 정보보호 활동을 위한 정보보호 예산 수립, 집행 및 전담인력 배치 
• 7. 선순환 구조를 위한 정보보호 문화 확립 

[부록] 정보보호 업무 및 CISO와의 관계 

• 1. 정보보호 업무에 대한 RACI 차트 
• 2. CISO와 CIO, CPO 및 감사조직과의 관계

---

※ 해당 가이드라인은 금융보안원 홈페이지 자료마당 메뉴에서 확인할 수 있습니다.

※ 바로 이동하시려면 여기를 클릭해주세요.

금융보안원

※ 더 많은 자료 찾아보기

황컴플라이언스의 공간