2020년 4월 21일
기업 내 사이버보안 조직의 역할과 책임
I. 회사 내 사이버보안 조직의 구성 체계
- 사이버보안 조직은 일반적으로 정보보호 관리기획팀, 정보보호 운영팀, 침해사고 대응팀으로 구성
- 평상시와 비상시 각 조직별 역할과 책임사항을 미리 정의하여, 사이버 보안 업무 효율성/효과성 향상
II. 평상 시 사이버보안 조직의 역할 및 책임
가. 관리적 보안 수행하는 정보보호 관리기획팀의 역할과 책임사항
조직 | 역할 | 책임사항 |
---|---|---|
정보보호 관리기획팀 | 정보보호 정책 개발 | – 장단기 정보보호 계획 기반 – 정보보호 정책 및 실행 지침, 가이드 작성 |
범위 관리 및 위험 관리 | – 정보 자산 선정 등급, 평가, 보호 법위 결정 – 정보 자산 중요도 기반, 보호대책 마련 | |
정보보안 아키텍처 설계 | – 전사적 보안 아키텍쳐 및 보안대책 설계 – 보안 장비 및 SW 선정 및 승인 | |
교육 훈련 및 감사 실행 | – 교육, 훈련 계획석 작성 및 실적 검토 – 수시 및 정기 보안 감사 결과 검토 및 대책 수립 | |
정보보호 위원회 | 정보보호 정책 검토 및 승인 | – 장단기 정보보호 계획 검토 및 승인 – 정보보호 정책 ,지침, 가이드 검토 및 승인 |
침해사고 대응 계획 검토 및 승인 | – 침해사고 대응 절차, 준비도 검토, 승인 | |
정보보호 투자 검토 및 승인 | – 보안 솔루션 도입, 보안 SW개발 승인 |
- 관리적 보안 업무 수행하며 실무적, 기술적 업무는 보안운영팀 및 침해사고 대응팀에서 수행
나. 물리적, 기술적 보안 수행 운영팀과 침해사고 대응팀의 역할 및 책임사항
조직 | 역할 | 책임사항 |
---|---|---|
정보보호 운영팀 | 보안 장비 및 솔루션 운영 | – 보안 솔루션 선정, 운영, 유지보수 |
보안 관제 | – 공격 징후 식별위한 관리지표 개발 – ESM/SIEM 통한 전사적 보안 로그 모니터링 | |
보안교육 및 감사 | – 보안 교육 수행 및 전파교육 – 정기 및 수시 보안감사 대응 | |
아웃소싱 보안 관리 | – 협력업체 인력 및 정보교환 보안 관리 | |
침해사고 대응팀 | 침해사고 대응 방안 계획 | – 침해사고 발생시 대응 업무 절차 및 조직간 R&R 정의, 필요한 도구 준비 |
보안 감사 | – 보안성 검토, IT Compliance 검증 | |
보안성 테스트 | – 취약점 점검 테스트, 침투 테스트 수행 | |
대외 협력관계 구축 | – 외부 CERT 조직간 협력관계 구축 – 사법기관 등 범죄 신고, 조사 체계 구축 |
- 평상시 보안대책 개발, 모니터링 통해 해킹 등 공격으로 인한 비상시 피해 최소화 및 복구 역량 향상
III. 비상 시 사이버보안 조직의 역할 및 책임
가. 비상 상황 발생 시 대응 절차
- 각 절차별 사이버보안 조직간의 업무 역할 및 책임 존재
나. 비상 시 대응 절차에 따른 사이버조직의 역할 및 책임
대응 절차 | 사이버보안 조직 | 역할 및 책임 |
---|---|---|
사고 탐지 | 정보보호 운영팀 | – 접속자 수, Traffic 양 등 보안관리 지표 – 시스템 관리자 면담 및 작업 여부 등 확인 |
초기 대응 | 정보보호 운영팀 | – 사고 정황 상세 기혹 – 침해대응팀 소집 요구 – 관련 부서 통지 및 보고 |
대응전략 체계화 | 정보보호 운영팀 침해사고 대응팀 | – 피해범위/자산 중요도 등 감안한 최적 대응 전략 개발 – 필요시 수사기관 및 외부 Cert 등 협조 |
사고 조사 | 침해사고 대응팀 | – 상관분석, 관리도 분석, 포렌식 등 활용 – 사고 원인, 공격기법, 내부 취약점 식별, 분석 – 대응방안 개발 및 전파 |
보고서 작성 | 정보보호 운영팀 침해사고 대응팀 | – 사고의 원인, 경과, 해결 기록 – 피해 상황 및 재발방지 대책 정리 |
사후 관리 | 정보보호 관리기획팀 | – 기존 보안대책의 유효성 점검 및 업데이트 – 취약점 보완 계획 수립 및 보안 정책 업데이트 |
- 실무팀으로써의 사이버보안 조직의 원할한 역할, 책임 수행을 위해서는 경영진을 보좌하고, 정보보안 거버넌스를 수행할 CISO(정보보호 최고책임자) 필요성 증대
IV. 사이버보안 조직의 침해사고 예방 및 대응 체계
- 2019년 6월 정보통신망법 개정으로, 기업 CISO 배치 확대 및 자격요건 등 강화