Offcanvas

Governance

강은성의 보안 아키텍트 | 다시 보안 GRC를 생각한다

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

CIO Governance Compliance 보안 아키텍트 강은성 규제 준수 리스크 관리 CISO GRC 거버넌스 CSO 컴플라이언스 Risk management

2020.04.13

GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다.  기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다. <그림> GRC 개념도 위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다.  GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다.  <그림> 보안 GRC 개념도 보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, ...

2020.04.13

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.8