Barram's Life

리스크 IT 프레임워크 2nd Edition 본문

IT Risk & Control

리스크 IT 프레임워크 2nd Edition

Barram 2020. 9. 18. 15:26

지난 2020 6 18 ISACA 에서는 리스크 IT 프레임워크 2nd edition 출판하였다. 프레임워크는 실제 IT 리스크관련 종사자들이 기업의 IT 리스크 관리활동을 하는데 있어서 리스크관리프로그램을 설계, 집행, 운용하는데 도움을 주기위해  2011년 처음 1st edition이 만들어졌다. 오늘 부장과 회의를 하다가 리스크 IT 프레임워크 2nd edition 출시되었다는 이야기를 듣고 자료를 읽다가  요약된  1 pager 내관점으로 이해한 것들을 중심으로 올려본다.

 

IT 분야에서 리스크(risk) 참으로 광범위한 범위의 의미를 가지고 있다. 부정적인 영향을 미치는 위협(threat) 취약점(vulnerability) 포함해서 리스크 성향 (risk appetite), 감내(tolerance), 영향(imipact), 우선순위 설정 (priortization), 대응 (response)   IT 리스크 거버넌스, 관리 그리고 측정 분야에서 많이 사용되는 용어들에 따라 여러가지 의미들이 함축된다.

 

IT 리스크를 다루는 사람들이 조직내 다른 부서 사람들과 리스크에 대해 이야기할 조심해야 점은 바로 이러한 리스크 관련 용어들에 대해서 분명하고 알기 쉽게 정의를 내려 상대방의 이해를 돕는 것이다. ISACA에서 출판된 리스크 IT 프레임워크 2nd Edition 정보기술과 사이버보안 측면에서 리스크에 관련된 용어들을 개발 정의하고 있다. 출판물을 통해 IT 리스크 관련 종사자들은 기업의 전사적 리스크 (Enterprise Risk) 연계하여 리스크에 관련된 가이드라인과 행동지침들을 개발할 있고 기업 전반에 걸쳐 부서들과 합의된 IT 관련 의사결정를 내리는데 도움을 있다. ISACA 국제협회회원이라면 ISACA 웹사이트에 로그인하여 The Risk IT Framework 2nd Edition 무료로 다운로드 받을 있다. 이와 더불어 Risk IT Practioner Guide, 2nd Edition 출판되었는데 이것은 실제 IT 리스크 종사자들 타부서 사람들과의 협업을 촉진시킬 있는 보다 자세한 가이드라인들을 제시하고 있다. 이것을 다운로드 받기 위해서는 ISACA회원이더라도 $75 추가로 지불해야 한다.

 

리스크라는 개념은1654 프랑스의 유명한 수학자인 파스칼 (Pascal) 동료 수학자였던 페르마(Fermat)에게 운에 좌우되는 게임 (games of chance) 관련된 의견을 교환하는 서신에서 유래되었다고 한다.  이것은 현대 확률이론의 기초가 되었고 현재 정량적 위험성 평가 (Risk quantitative analysis) 이어지게 되었다. 물론 IT 리스크 관련 분야에서 정량적 위험성 평가를 언급하는 것이 쉬운 일은 아니지만 최근에서 IT 리스크와 연계된 실제 비즈니스 금전적 영향을 정량화하는 움직임이 대두되고 있다.

 

리스크란 무엇일까. 흔히 리스크는 한국말로 '위험'으로 해석되어 부정적인 의미를 주지만 IT 리스크 (또는 일반 리스크도 마찬가지겠지만)에서 언급되는 리스크는 어떤 이벤트가 일어날 확률(likelihood) 그에 따른 영향(impact)으로 계산되는 불확실성이다. 불확실성은 기업에게 이익을 있는 기회가 수도 있고 아니면 기업의 성공을 방해하는 위험이 있다. 물론 IT 리스크관리는 그러한 위험을 최소화하는 일련의 활동들이며 그러한 활동들은 기업의 전사적 리스크관리와 전략적 활동의 연장선상에서 이루어진다.

 

우리가 IT 리스크를 언급할 때는 여러가지 IT 관련 분야들이 언급된다. 정보기술 (information technology), 정보보안 (Information Security), 사이버보안 (Cyber Security), 그리고 최근 US National Institute of Standard and Technology (NIST)에서 언급된 사이버피지컬 시스템 (Cyber-Physical systems)등등. 이러한 분야들은 기업내 중요한 이해당사자들(key stakeholders), 예를 들면 기업 이사진 (board members) 최고경영진들(executives) 이해하기 쉽지 않은 영역들이다. 특히 조직의 전략 운영 목표를 달성하기 위해서는 정보기술이 중요한 역할을 하는 현대 비즈니스환경에서 IT 리스크에 대한 이해와 관리는 선택이 아닌 필수 사항이다.

 

리스크 IT 프레임워크 2nd Edition 아래와 같은 최근 정보 기술 (Informatio & Technology) 동향에 관련된 리스크를 일목요연하게 정리하여 기업내 중요한 이해당사자들이 IT 리스크 이해하고 관리하는데 도움이 되도록 준비되었다.

  • Information and Communications technology (ICT)
  • Operational technology (OT)
  • 네트워크/사물 인터넷 (Network or internet of things (IOT))
  • 전자 데이터 (Electronic data)
  • 디지털/전자통신 (Digital or electronic communication)

참고로 리스크 IT 프레임워크 2nd Edition에서는 정보 보안 (Information Secuirty), 정보 보증 (Information assurance), 사이버보안 (Cyberseucrity) I&T관련 리스크의 하부도메인으로 분류되었다.

 

프레임워크는 기업전반에 걸친 리스크 IT 대해 아래와 같은 원칙들(guiding principles) 제시하였다.

  • I&T 관련 리스크는 비즈니스/사업강령 목표들 (business or mission objective) 연결되어 관리되어야 한다.
  • I&T 관련 비즈니스/사업강령 리스크 관리는 가능하면 전사적리스크관리 (ERM:Enterprise Risk Management) 연계해야 한다.
  • I&T 관련 리스크 관리시 손익관계를 고려해야 한다.
  • I&T 관련 리스크 관리시 윤리적이면서 공개된 커뮤니케이션을 촉진한다.
  • 기업의 최고경영진의 적극적인 지원 아래, 리스크를 실제 책임/관리하는 사람들이 용인 가능하고 감내할 있는 최대 리스크 수준(acceptable and well-defined tolerance level) 정의하고 실현할 있도록 책임 소명기준을 분명히 한다. (한마디로 리스크관리시 업무의 책임관계를 분명히 하라.)
  • 루틴으로 행해지는 비즈니스활동들과 프로세스에서  IT 리스크관리활동이 내재 통합되어야 한다.
  • 기업 전략에 부합하는 표준적이고 반복가능하며 일관적인 IT 리스크관리를 해야한다.

이렇게 보면 I&T 관련 리스크가 기업의 전사적인 리스크관리 측면에서 필수불가결한 핵심요소로 간주되고 있다.

 

추가적으로 리스크 IT 프레임워크 2nd Edition IT 리스크관련 종사자들에게 아래의 활동들을 하는데 있어 좋은 가이드라인을 제시해준다.

  • I&T 관련 리스크를 어떻게 전사적인 수준에서 인지하고 대처하는 활동
  • 전통적인 IT 리스크 관리, 정보보안관리 그리고 사이버리스크관리을 전사적 위험관리프로세스에 통합하는 활동
  • 전사적인 수준에서 의사결정을 내릴시 리스크를 고려한 보편적이고 포괄적인 의사결정을 촉진하는 활동
  • I&T 관련 리스크가 감내수준을 초과했을 경우 전사적인 위험 대응을 안내해주는 활동

리스크 IT 프레임워크 2nd Edition ISACA에서 출판된 COBIT2019 연계되어있으면서 독립적인 리스크 프레임워크 역할을 제공해줄 있다. 관심이 있는 IT 리스크 관련 종사자라면 지금 ISACA 웹싸이트(https://www.isaca.org/bookstore/bookstore-risk-print/ritf2) 가서 다운로드받기 바란다.

Comments