기업기업 , , 사회사회 ,,

정보보호 최고책임자 정보보호 최고책임자

2014. 12. 24

CISO Lab강은성 대표

강 은 성강 은 성

( 현 ) CISO Lab 대표

( 전 ) SK 커뮤니케이션즈 CISO 안철수연구소 연구소장 , 시큐리티대응센터장 한국정보보호학회 부회장 한국 CPO포럼 운영위원 , 한국 CSO 협회 운영위원

칼럼 <강은성의 CISO 스토리 >, 아이뉴스 24 < 강은성의 Security Architect>, CIO Korea

저서 <CxO 가 알아야 할 정보보안 >(한빛미디어 , 2015) <IT 시큐리티 >( 한울 , 2009)

2

목차목차

공격과 수비

CISO 의무지정제

CxO 가 알아야 할 정보보안

미래부의 역할

3

공격과 수비

“ 공격을 잘하면 승리하지만 수비를 잘하면 우승한다 .”

(NBA 격언 )

“ 공격은 관중을 부르지만 수비는 승리를 부른다”

"NBA 에는 격언이 있다 . 공격을 잘하면 승리하지만 수비를 잘하면 우승한다 .“,

(2014.11.9 파라과이 A매치 기자회견 )

5

6

7

CISO 의무지정제

CISO CISO 의무지정 대상 의무지정 대상 (1)(1)

9

정보통신망법 시행령 제 36 조의 6 세부 근거

기간통신사업자 (ISP)

집적정보통신시설 사업자 (IDC)

전년도 정보통신부문 매출액 100 억 원 이상인 정보통신서비스제공자

전년도 말 기준 직전 3 개월간의 일일 평균 이용자 수가 100 만 명 이상인 정보통신서비스 제공자

망법 시행령

- ISMS 인증 대상

상시 종업원 수가 1 천명 이상인 정보통신서비스 제공자 망법 시행령

통신판매업자 또는 통신판매중개업자인 정보통신서비스 제공자로서 상시 종업원 수가 5 명 이상인 자

- 인터넷쇼핑몰

전자상거래법 제 2조

CISO CISO 의무지정 대상 의무지정 대상 (2)(2)

10

정보통신망법 시행령 제 36 조의 6 세부 근거

‘ 특수한 유형의 온라인서비스제공자’로서 상시 종업원 수가 5 명 이상이거나 전년도 말 기준 직전 3 개월간의 일일 평균 이용자 수가 1 천명 이상인 자

– 웹하드 업체 , P2P 업체

저작권법

제 104 조

(문화부 고시 )

인터넷컴퓨터게임시설제공업을 영위하는 자에게 음란물 및 사행성게임물 차단 프로그램을 제공하는 사업자

게임산업진흥법 제 2조

정보통신망에서 청소년 유해정보를 차단하기 위해 내용 선별 소프트웨어를 개발 및 보급하는 사업자

망법 제 41 조

CISO CISO 의무지정제의 취지의무지정제의 취지

11

정부ㆍ공공

기업

가정ㆍ개인

CxO 가 알아야 할정보보안

국제 표준 국제 표준 - - 정보보호 거버넌스정보보호 거버넌스 (ISO27014)(ISO27014)

13

14

보안 위험보안 위험

재무 위험재무 위험 법적 위험법적 위험

기밀 유출 /파괴

기밀 유출 /파괴평판 위험평판 위험

기업 차원의 위험 기업 차원의 위험 = CEO= CEO 의 위험의 위험

정보보호 최고책임자정보보호 최고책임자 (CISO)(CISO) 의 역할의 역할

15

CEO 의 핵심 위험을 최소화하는 경영의 동반자

회사와 사업의 보안 위험을 최소화함으로써

기업의 안정적 성장을 지원하는 비즈니스 리더

우리 회사의 보안 수준우리 회사의 보안 수준

16

A B C D E F 영역

보안수준

①

②

③

④

⑤

실제 보안수준

평균 보안수준

인식된 보안수준

처음 처음 CISOCISO 가 되신 분은…가 되신 분은…

17

협업 체계

정보보안

조직

보안위험 -

정보보호 대책

기업 보안

거버넌스

첫 100 일의 과제

직업으로서의 직업으로서의 CISOCISO

18

폐쇄 그룹

내부 경쟁

사회적 중요성

나이

미래부의 역할

미래부에 거는 기대미래부에 거는 기대

20

3 년 연차별

목표ㆍ계획

기업 연계 CISO 지원

고맙습니다 !

ceo@cisolab.com