ISO27001 인증을 받은 기업의 담당자들도, Risk owner 와 Asset owner 의 개념을 명확히 이해하지 못하는 경우가 많습니다.
따라서 본 포스팅에서는 ISO27001에서의 필수로 요구하는 개념인 Risk Owner, Asset Owner 에 대해 정리하도록 하겠습니다.
1. Asset owner
Asset Owner 라는 개념은 기존의 ISO27001:2005 버전에도 있었으며, 이 제정된 2013 버전에도 존재하고 있습니다. 간단히 정의하면 이는 '자산 담당자' 입니다. (영어로는 'who is responsible for each asset' 로 정의 될 수 있음) 여기서 자산은 단순히 서버나 네트워크 등의 전산자산에만 국한되는 것이 아니라 서비스, 사람, 시설, 조직, 문서도 포함하고 있습니다.
어떤 자산에 대한 책임자가 아무도 없다면 자산관리가 제대로 될까요? 쉽게 비유하면 '무정부상태' 가 될 것입니다.
2. Risk owner
ISO27001:2013 버전 에서는 “Risk owner” 란 새로운 개념이 도입되었습니다.
정의는 다음과 같습니다. "Person or entity with the accountability and authority to manage a risk"
Risk Owner 는 기존의 Asset Owner 가 가지고 있는 권한만으로는 잠재적위험을 해결 하기어렵다는 사실로 인해 도입된 것으로 보입니다.
Risk owner 의 적임자는 아래와 같은 자격을 갖춰야 합니다.
- Risk owner 는 리스크를 식별하는 운영과, 프로세스에 밀접하게 관련있는 사람
- 해당 자산에 위험이 “실현화” 되었을 경우, 본인 스스로가 피해 또는 문책을 받을 수 있는 위치의 사람
- 위험관리와 관련한 업무를 위해, 결정권자에게 어떠한 요구를 하거나, 주장을 할 수 있는 위치의 사람
즉, Risk Owner는 기본적으로 Risk를 해결하는데 관심이 있고, 조직내에서 충분히 높은 지위에 있어야 합니다.
3. 결론
ISO27001: 2013 을 준비하는 기업은 각 자산에 대해 Risk owner와 Asset owner를 반드시 지정해야 합니다.
일반적으로 A라는 서버의 Asset Owner는 IT관리자가 될 수 있으며, Risk Owner는 IT팀장이 될 수 있습니다. 이에 따라 IT 관리자는 각각의 서버를 지속적으로 관리할 것이며, IT 부서장은 IT관리자를 대상으로 직무훈련을 제공하거나, 해당자산의 보안 향상을 위해 경영진들에게 금전적 지원을 요청할 수 있습니다.
0 개의 댓글:
댓글 쓰기