산업보안관리사 자격증 교재에서 '산업보안 성과관리' 주제를 일부 정리하였습니다.
○ 산업보안 성과관리의 개념
- 조직 임무와 전략목표 선정
- 보호 대상 정의, 대상이 제대로 보호되고 있는가에 대한 측정 방식의 선택, 이를 통해 보안관리의 성과를 제시
- 보호 대상에 맞는 보안 방안 도입
- 기본적인 보안점검에서부터 상위레벨의 성과에 대한 지표의 측정에 이르기까지 일관된 체계 필요
○ 산업보안 성과관리의 특수성 : 아래와 같은 특수성으로 인해 성과 측정이 상대적으로 어려움
- 무형자산의 보호
> 보호 대상이 되는 무형자산은 현재와 미래의 가치를 정확히 산정하기 어려움
> 이는 해당 자산의 보호에 투입되는 적정 보안 투자비용 산정에도 어려움
- 리스크 관점에서의 보안
> 보안 성과를 위한 투자는 가치 창출보다는 비용 개념으로 인식됨
> 보안사고가 발생하는 경우에만 그 효용을 체감할 수 있음
> 이는 보안관리자의 전략 선택에 따라 보안의 성과관리도 달라질 수 있음
> 전략 : 위험 수용, 위험 감소, 위험 회피, 위험 전가
- 보안 성과목표
> 산업보안의 성과관리를 위해서는 전략목표와 성과목표를 명확히 정의해야함
> 해당 목표가 달성될 수 있도록 어디에 우선순위를 두고 보안활동을 할 것인지
> 어떤 부분을 강화시켜야 보안 리스크를 줄일 수 있을 것인지 등의 계획과 예산 편성
○ 보안관점에서의 성과지표
- IT 성과지표의 적용
> 대표적인 IT 성과지표인 투자수익률(ROI), 총소유비용(TCO)는 보안 분야에 있어서는 의미가 크지 않음
> 보안 개선의 효과를 체감하기 쉽지 않음, 보안활동의 결과는 수치 표현이 어려운 내부 통제 성격의 활동이기 떄문임
- 위험관리 지표의 적용
> 위험요소에 노출되는 빈도를 수치화하는 경우 위험을 감수할 수 있는 수준을 판단하는 기준이 모호함
> 보안 위험에 대비하지 않아도 보안사고가 발생하지 않으면 왜곡된 성과지표가 나올 수 있음
> 보안 특성에 맞는 성과지표 측정법이 제시되어야 함
- KPI의 적용
> 보편적인 성과 측정도구로 핵심성과지표(KPI)가 있음
> 각 보안활동을 지표화하고 개별 활동성과의 측정 결과를 통해 개선 도출점, 보안투자 우선순위를 결정할 수 있음
- 인증제도의 적용
> 성과관리를 위한 도구로 ISMS, PIMS, ISO27001, BS10012 등 국내외 보안 인증을 활용
- 정보보안에서의 위험평가 측정
> 정보보호 투자의 기대편익은 보안사고 발생 활률의 감소를 통해 측정됨
> 보안 투자를 통해 특정 보안사고 발생의 확률이 줄어들었다면, 이는 보안조직의 성과 지표롤 사용될 수 있음
> 위험 확률 : 연간 피해 사례분석을 통해 정보시스템이 개별 위험요소에 노출될 수 있는 확률의 평균값으로 산출
> 위험관리 : 조직이 정보 유출 위험 확률을 수용할 수 있는 수준 이하로 유지하기 위해
정보자산에 대한 위험을 분석하고 이에 대한 비용대비 효과적인 보호 대책을 마련하는 과정