Offcanvas

CIO / 경력관리 / 리더십|조직관리

CISO는 누구한테 보고해야 하나?

2012.03.20 John Kirkwood  |  CSO


2. 최고 비즈니스 정보 보안 책임자(BISO: Business Information Security Officer)
BISO는 고객 대면 기술을 안전하게 도입하는 방법, 고객 정보를 적절히 보호하는 방법 등 비즈니스 부문과 관련된 정보 보안 문제를 전문적으로 다룬다. BISO는 현업이나 부서들이 다른 업무와 마찬가지로 정보 보안을 반드시 준수해야 한다는 사실을 이해시키는 책임을 맡고 있다. 또 기업 보안 요건과 정책, 절차를 도입해 실천하고, 이를 전파하는 업무를 지원한다.

여기에 더해 보안 평가를 실시하고, 최소한 비즈니스와 관련된 보안 문제들을 조율하는 책임을 져야 한다. 주요 비즈니스 부문이나 부서 각각에 BISO를 두는 것이 이상적이다. 또 이들이 비즈니스 부문 경영진에 보고하도록 조직을 편성해야 한다.

3. 최고 전략 정보 보안 책임자(SISO: Strategic Information Security Officer)
SISO는 상위의 비즈니스 요건을 기업의 보안 계획과 프로그램으로 바꿔 도입하는 책임을 맡고 있다. 이는 기업의 사명과 목표, 목적을 성취하기 위해서다. SISO는 경영 부문 책임자 및 BISO와 협력해 이를 발전시켜 나가야 한다. 또 매트릭스와 대시보드, 요약 보고서를 작성하고, 기업의 보안 현황을 평가해 이사회에 보고하는 책임을 맡는다. SISO는 최고 위험 책임자(CRO), 최고 운영 책임자(COO), 최고 법무 책임자, 경영 이사회 등 경영진에 보고하도록 조직이 편성되어야 한다.

SISO의 보고체계를 판단할 때는, 특정 경영진이 SISO를 적절히 지원할 수 있는지를 생각해야 한다. 예를 들어, CEO가 필요한 만큼 SISO에게 시간을 내줄 수 있는지를 판단한다. 또 SISO는 다른 회사를 상대하거나 사이버 보험과 같은 문제들을 토론할 때 대외적으로 회사를 대표할 수 있어야 한다.

어쩌면 여러 형태의 CISO가 필요하다고 느낄 수 있다. 이는 정확한 판단이기도 하다. 실제로 일부 기업들은 여러 명의 CISO를 두고 있기도 하다. PwC의 2011년 정보 보안 설문 조사에서, 한 명 이상의 CISO를 두고 있다고 응답한 기업은 전체의 7%에 달했다. 그렇다면, CISO가 누구에게 보고를 하도록 조직을 편성해야 할까? 간단히 답하면, CISO의 형태에 따라 가장 효과적으로 처리를 할 수 있는 경영진에게 보고하도록 해야 한다.

*John Kirkwood는 시큐리티 이노베이션(Security Innovation)의 최고 정보 보안 및 전략 책임자다. 그는 SM바이오시스(Smbiosys)의 최고 전략가를 맡고 있다. 그전에는 로얄 어홀드(Royal Ahold)와 아메리칸 익스프레스(American Express)의 글로벌 최고 정보 보안 책임자로 일했다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.