[금융보안원][정보보호] 금융보안 거버넌스 가이드 (2019.12)

안녕하세요. 황컴플라이언스 입니다.

[금융보안원][정보보호] 금융보안 거버넌스 가이드 (2019.12) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 금융보안 거버넌스 가이드

○ 발행일 : 2019년 12월

○ 주관부처 : 금융보안원

---

[개요]

□ 추진 배경(1)

• 본 가이드는 금융회사의 보안위험을 완화하기 위해 금융권 업무 특성을 반영한 효과적인 금융보안 거버넌스의 도입을 권고하기 위해 마련되었다.
• 최근 금융 IT 환경의 변화 및 국내·외 금융 보안사고가 지속적으로 발생함에 따라 금융보안 위험에 대한 효과적인 관리가 필요
• 국내 금융권의 보안 수준은 전자금융거래법, 전자금융감독규정 등에 대한 최소한의 법규 준수 활동에 머물러 있으며, 그 이상의 수준을 향상시키기 위한 노력은 다소 부족한 것이 현실
• 이러한 이유로, 이미 해외에서는 보안 문제를 더 이상 정보보호(보안) 부서 또는 기술적 관점이 아닌 기업 거버넌스 관점에서 전사적 차원의보안 강화를 추진

□ 추진 배경(2)

• 지난 금융전산망 마비사고, 카드사 고객정보 유출사고 등에서 알 수 있듯이, 보안이 전제되지 않고서는 그 어떤 편의성과 효율성도 담보할 수 없음
• 뿐만 아니라, 보안사고가 발생하는 경우 집단 소송으로 인한 금전적 피해와 고객 이탈, 평판 실추, 대외 신뢰도 하락 등 무형의 피해도 발생할 수 있음
• 보안사고 발생 시 신속한 복원력(Resilience) 향상을 위한 전사적인정보보호 거버넌스 구축도 요구되고 있음
• 이는 금융회사 전반에 걸쳐 보안에 대한 인식이 여전히 비용의 관점에서바라보는 경향이 많고, 보안은 보안 전담부서 또는 정보보호최고책임자(CISO)만의 역할로 인식하는 것이 근본 원인
• 최소한의 법규 준수 활동만으로는 날로 지능화․고도화되는 보안위협에대한 효과적인 대응이 어려우며, 금융회사별로 보안수준이 차별화되기보다는 하향 평준화될 가능성이 높음
• 이를 통해 최고경영층을 중심으로 Top-Down 방식의 강력한 보안 강화추진이 가능하며, 보안사고 발생 시 신속한 사이버 복원력(Resilience)이향상되어 이용자 보호 및 금융회사의 피해 최소화에 효과적임
• 금융회사의 보안위험을 완화하기 위해 금융권 업무 특성을 반영한 효과적인 금융보안 거버넌스의 도입을 권고

---

(금융보안원) 금융보안 거버넌스 가이드.pdf

1.16MB

금융보안 거버넌스 가이드 (2019.12) : 금융보안원

---

□ 적용 대상

금융회사

• 거버넌스(Governance)란, 통상적으로 정부가 주도하는 통치(Government)가아닌 다양한 이해관계자들의 파트너십에 의한 협치(協治)를 말하며, 사용되는 분야에 따라 조금씩 다른 의미를 내포
• 금융보안 거버넌스란, 금융권의 업무 특성을 반영한 정보보호 거버넌스를 의미하며, 정보보호 거버넌스 개념은 현재 국제표준(ISO 27014)에서 규정
• 정보보호 거버넌스란, 조직 전반에 걸친 정보보호 목표를 달성하기 위해전략 및 정책을 통한 지시(Direct)와 성과 모니터링을 통한 통제(Control) 활동을 수행하기 위한 “이사회와 최고경영층의 역할 및 책임”으로 정의

1. 즉, 금융회사의 전사적인 금융보안을 위해 최고경영층과 실무조직, 현업조직 간의 상호 협력을 통한 적극적인 정보보호 활동
2. 또한, 적절한 역할 정의를 통해 책임을 분배하고 권한을 부여하여 해당 역할에 충실히 수행할 수 있게 해야 함

• 이러한 정보보호 거버넌스가 궁극적으로 추구하는 목표는 다음과 같음

1. (첫째) 정보보호의 목표를 조직의 목표와 전략적 연계
2. (둘째) 최고경영층과 정보보호 관련 이해관계자들에게 정보보호의 비즈니스 가치를 전달
3. (셋째) 정보보호 관련 위험이 조직 내 적절한 수준으로 관리되고 있으며, 정보자산에 대한 책임추적성을 보장

• 금융권에 정보보호 거버넌스가 구축되는 경우, 가질 수 있는 기대 효과는 다음과 같음

1. 금융회사의 정보보호 효과성 확보로 정보보호 인력 및 예산 등에 대한 자발적인 보안 투자 유도
2. 중복과 불필요한 보안 프로세스 통합으로 정보보호 업무 효율성 개선
3. 전사적으로 정보보호 거버넌스를 문화로 인식하여 업무 수행시 자연스럽게 정보보호 활동을 위해 노력
4. 비즈니스 연속성 확보를 통한 투자자와 이해관계자 등의 신뢰 확보

---

[목차]

[금융보안 거버넌스 7대 기본원칙]

[역할 매트릭스]

제 1 장 금융보안 거버넌스 개요

• 1. 배경 및 목적
• 2. 금융보안 거버넌스 개념 

제 2 장 금융보안 거버넌스 환경 변화

• 1. 금융보안 패러다임 변화 
• 2. 금융보안 거버넌스 주요 이슈

제 3 장 금융보안 거버넌스 전략 

• 1. 정보보호 활동을 위한 명확한 역할 정의, 권한 및 책임 확립 
• 2. 올바른 의사결정을 위한 보고체계 수립
• 3. 위험 감소 및 완화를 위한 전사적인 위험관리 체계 확립
• 4. 정보보호 활동의 현재와 미래에 대한 최고경영층의 이해를 돕기 위한 방법 제시 
• 5. 원활한 정보보호 활동을 위한 최고경영층 등의 소통 강화 ···· 42
• 6. 안정적인 정보보호 활동을 위한 정보보호 예산 수립, 집행 및 전담인력 배치 
• 7. 선순환 구조를 위한 정보보호 문화 확립

[부록] 정보보호 업무 및 CISO와의 관계

1. 정보보호 업무에 대한 RACI 차트

2. CISO와 CIO, CPO 및 감사조직과의 관계