경영자의 자세가 요구 되어지는 정보관리

< 정보 보안과 관리 >
기업에 있어 정보 자산의 은닉성(秘匿性),완전성(完全性),가용성(可用性)의 확보가 중요하다. 그 때문에 경영자는 정보 시큐리티 매너지먼트(Security Management) 구축에의 적극적인 관여가 필요하다.

개인정보의 누설,온라인 서비스의 악용,바이러스 감염 등 기업의 정보와 정보 시스템에 대한 위협은 해가 거듭 할수록 증가하고 있다. 이러한 정보 시큐리티(이하,보안)에 관해서 기업이 입는 피해에는 개인정보 누설에 의한 신뢰 추락,사죄와 손해배상 등의 금전적 손실,서비스의 정지 등에 의한 기회손실과 이것들을 반영한 주가의 추락 등이 있다. 정보활동의 중요도가 증가하고 있는 현대의 기업경영에 있어서 여러 가지의 정보 보안의 과제에 적극적으로 대응해 나가지 않으면 지속적인 기업의 성장은 있을 수 없다.
기업에 있어서 중요한 가치를 갖고 있는 정보와 정보 서비스 기능을 <정보자산>이라고 말하며,정보자산의 은닉성(Confidentiality)이 확보되어 있는 상태를 일반적으로 <정보 시큐리티(保安)> 이라고 부른다.
<隱匿性> 이라고 하는 것은 인정된 자만이 그 정보에 접근할 수 있는 상태를 의미한다. 은익성이 손상 되어진 예로서는 어느 한정된 인물밖에 보여주고 싶지 않은 정보가 제3자에 보여진 경우 등이 있다. <完全性> 이라고 하는 것은 정보와 서비스가 정확한 것을 일컫으며 기업의 홈페이지가 고의로 고쳐짐을 당한 경우 등 내용의 완전성이 손상 되어진 것을 말한다. <可用性> 이라고 하는 것은 인정 되어진 유저(User)가 필요한 때에 필요한 정보와 서비스에 접근할 수 있는 것으로, 접근의 집중에 의해 서비스의 제공이 불가능 하게 된 경우, 가용성이 손상 되어졌다 라고 하는 것이 된다. 일반적으로 기업에 있어 정보 보안의 목표로서는 보유하는 정보자산의 은닉성,완전성,가용성의 3개 요소를 확보하는 것을 말한다.
개인 정보관리에 대해서는 개인 정보를 기업의 정보자산의 하나로 간주하는 경우에 <정보 보안관리>의 범주지만, 정보의 사용 목적의 한정과 청구에 의거한 공개 프로세스 등 개인 정보관리 특유의 과제가 있기 때문에 <정보 보안관리>와 <개인 정보관리>는 부분적으로 구별해 생각할 필요가 있다.
기업이 조직으로서 정보 보안을 관리하는 경우, 조직 내에 <정보 보안 매니지먼트 시스템>을 확립할 필요가 있다. 매너지먼트 시스템이라고 하는 것은 일반적으로 제도와 체제 등 조직이 방침에 근거한 목표를 달성하기 위한 포괄적인 <시스템>이고, ISO9001(품질 매너지먼트 시스템 규격)과 ISO14001(환경 매너지먼트 시스템) 등과 마찬가지로 조직의 정보 보안을 관리하기 위한 <시스템>이 필요한 것이다. 정보 보안 매너지먼트 시스템의 규격과 평가제도로서는 <ISO/IEC17799,BS7799,ISO/IEC TR13335(GMITS),ISMS적합성평가제도> 등이 널리 알려져 있다.
일반적으로 정보 보안에 관한 매너지먼트 시스템의 구축은 기업과 조직마다 작성하는 <정보 보안 방침> 이라고 하는 문서에 근거해 실현 되어지고 있기 때문에 <보안 방침 책정> 이라고 하는 단어로 표현 되어지는 경우가 많다. 정보 보안 관리의 목적,목표,관리의 구조,기본적인 사고 등을 <基本方針>으로서 표시하고,이것을 실현하기 위한 기준과 룰(Rule)을 정의한 <基準書>가 작성된다.

또한, 실제의 업무에 이것을 적용하는 경우 필요한 수순을 정리한 <手順書>가 작성된다.
앞에 소개한 것처럼 표준규격과 평가제도에서는 보안 방침 문서에 포함 되는 항목이 표시 되어져 있고 그것에 근거한 보안 방침을 책정하는 것으로, 대책의 망라성을 담보함과 함께 평가 인증을 취득하는 것으로 대외적으로 정보 보안의 대책 수준을 어필할 수 있다. 최근 수년간 많은 기업에서 이러한 규격에 적합한 보안 방침을 책정하거나 인증 취득이 증가하고 있지만, 이러한 표준적인 보안 방침이 반드시 잘 기능하지 않는 케이스도 적지 않다.
그 이유로서는 보안 방침 책정의 주안이 보안 매너지먼트 시스템의 구축이 아니고, 보안 방침 문서 작성의 그 자체가 되어 버리는 경우가 많다. 중요한 것은 표준에 적합한 문서를 작성하는 것이 아니고, 그 기업의 실정에 맞는 방침을 설정하고 실제로 적용하고 기능 시키는 것이다 라고 하는 것을 잊고 있는 것이다. 전혀 정보 보안 관리를 행하지 않던 조직에 표준에 적합한 백수십 가지나 되는 관리항목을 망라한 분량의 두꺼운 문서를 들이 밀며 <엄수 하도록> 하는 것에는 무리가 있다.
<정보 보안의 관리>는 조직의 <정보 기능의 품질관리> 이다. 보안 이라고 하는 것이 특별한 것처럼 생각하는 경향이 있지만 본질적인 것은 일반적인 품질관리 활동과 커다란 차이는 없다. 실제 품질관리의 분야에 있어서 배양 되어져 온 여러 가지 수법과 툴(Tool)은 정보 보안에 있어서도 유효 하다.
특히 정보 보안은 말단까지의 전사원의 모럴(Moral)과 마음가짐 등 정신적인 요소에 달려 있는 것이고, 전사원이 보안 개선의 제안과 사고 사례의 소개 등 어떤 형태든 보안 향상 활동에 주체적으로 참가한다 라고 하는 TQM(전사적 관리) 내지 TSM(전사적 보안 관리)의 思考는 유효 하다. 본래 사람은 타인에 의해 강요되어지는 룰에는 저항감을 표시하는 경향이 있고, 스스로 책정한 룰과 동료와의 약속은 적극적으로 지키려고 한다 라고 하는 것이다.
동시에 보안에 관한 수치화는 약간의 기술을 요하지만 앙케이트의 집계와 각종 룰의 준수 사항의 확인 결과 등 여러 가지 방법이 있다. 모니터 되고 있다 라고 하는 의식을 갖는 것으로 부정한 행위를 미연에 방지함과 함께 상태의 수치화에 의해 룰의 문제점 파악과 개선에 도움이 될 수 있다. 또한 모니터 결과를 공개하는 것으로 보안의 상태를 항상 사원에 의식 시킴과 동시에 개선 결과를 눈에 보이는 형태로 하는 것으로 자발적인 개선을 촉진할 수 있는 것이다.
정보 보안 매너지먼트 시스템을 기능 시키는데 있어서 가장 중요하고, 또한 장애도 되는 것이 톱 매너지먼트(Top Management)의 적극적인 관여이다. 아무리 사원이 시큐리티 매너지먼트에 신중하게 대처하고 있어도 기업의 톱의 의식이 낮아 대충 넘겨 버리고 있거나 해서는 그 효과도, 사원의 의욕도 격감해 버린다. 기업의 톱(Top)은 정보 보안의 과제로부터 벗어나 대충 넘겨 버리거나 하지 말고, 스스로 솔선 수범하여 사원의 모범이 되도록 하는 각오가 필요하다.

☞.개인,부서,그리고 회사의 정보 보안은 안전 하십니까? 보안 관리의 철저! 아무리 강조해도 지나치지 않습니다. 누군가가 여러분의 정보를 노리고 있습니다.
개인 컴퓨터(노트북)에 <비밀번호 설정하기>는 하셨습니까? 참고로 설정하는 방법은; 시스템 부팅>부팅 화면이 나오면 자판 왼쪽 위의”F2”를 누름>셋업메뉴의 Set Supervisor Password(엔터)>비밀번호(엔터),다시한번 비밀번호(엔터)>Password on boot 항목에서 “Enable”로 변경하시면 됩니다. 이후부터는 부팅시 비밀번호를 입력치 않으면 접근이 불가능하게 됩니다.