미래창조과학부가 주최한 정보보호 summit 2014에서 키노트로 발표한 자료입니다. 2014.12.24

1. 기업기업 ,, 사회사회 ,,
정보보호 최고책임자정보보호 최고책임자
2014. 12. 24
CISO Lab
강은성 대표

2. 강 은 성강 은 성
 ( 현 ) CISO Lab 대표
 ( 전 )
 SK 커뮤니케이션즈 CISO
 안철수연구소 연구소장 , 시큐리티대응센터장
 한국정보보호학회 부회장
 한국 CPO 포럼 운영위원 , 한국 CSO 협회 운영위원
 칼럼 < 강은성의 CISO 스토리 >, 아이뉴스 24
 < 강은성의 Security Architect>, CIO Korea
 저서 <CxO 가 알아야 할 정보보안 >( 한빛미디어 , 2015)
<IT 시큐리티 >( 한울 , 2009)
2

3. 목차목차
 공격과 수비
 CISO 의무지정제
 CxO 가 알아야 할 정보보안
 미래부의 역할
3

4. 공격과 수비

5.  “ 공격을 잘하면 승리하지만 수비를 잘하면 우승한
다 .”
(NBA 격언 )
 “ 공격은 관중을 부르지만 수비는 승리를 부른다”
 "NBA 에는 격언이 있다 . 공격을 잘하면 승리하지만
수비를 잘하면 우승한다 .“,
(2014.11.9 파라과이 A 매치 기자회견 )
5

6. 6

7. 7

8. CISO 의무지정제

9. CISOCISO 의무지정 대상의무지정 대상 (1)(1)
9
정보통신망법 시행령 제 36 조의 6 세부 근거
기간통신사업자 (ISP)
집적정보통신시설 사업자 (IDC)
전년도 정보통신부문 매출액 100 억 원 이상인 정보통신서
비스제공자
전년도 말 기준 직전 3 개월간의 일일 평균 이용자 수가
100 만 명 이상인 정보통신서비스 제공자
망법 시행령
- ISMS 인증
대상
상시 종업원 수가 1 천명 이상인 정보통신서비스 제공자 망법 시행령
통신판매업자 또는 통신판매중개업자인 정보통신서비스
제공자로서 상시 종업원 수가 5 명 이상인 자
- 인터넷쇼핑몰
전자상거래법
제 2 조

10. CISOCISO 의무지정 대상의무지정 대상 (2)(2)
10
정보통신망법 시행령 제 36 조의 6 세부 근거
‘ 특수한 유형의 온라인서비스제공자’로서 상시 종업원 수
가 5 명 이상이거나 전년도 말 기준 직전 3 개월간의 일일
평균 이용자 수가 1 천명 이상인 자
– 웹하드 업체 , P2P 업체
저작권법
제 104 조
( 문화부 고
시 )
인터넷컴퓨터게임시설제공업을 영위하는 자에게 음란물
및 사행성게임물 차단 프로그램을 제공하는 사업자
게임산업진흥
법 제 2 조
정보통신망에서 청소년 유해정보를 차단하기 위해 내용 선
별 소프트웨어를 개발 및 보급하는 사업자
망법 제 41 조

11. CISOCISO 의무지정제의 취지의무지정제의 취지
11
정부ㆍ공공
기업
가정ㆍ개인

12. CxO 가 알아야 할
정보보안

13. 국제 표준국제 표준 -- 정보보호 거버넌스정보보호 거버넌스 (ISO27014)(ISO27014)
13

14. 14
보안 위험보안 위험
재무 위험재무 위험 법적 위험법적 위험
기밀
유출 / 파괴
기밀
유출 / 파괴
평판 위험평판 위험
기업 차원의 위험기업 차원의 위험 = CEO= CEO 의 위험의 위험

15. 정보보호 최고책임자정보보호 최고책임자 (CISO)(CISO) 의 역할의 역할
15
CEO 의 핵심 위험을 최소화하는 경영의 동반자
회사와 사업의 보안 위험을 최소화함으로써
기업의 안정적 성장을 지원하는 비즈니스 리더

16. 우리 회사의 보안 수준우리 회사의 보안 수준
16
A B C D E F
영역
보안
수준
①
②
③
④
⑤
실제 보안수준
평균 보안수준
인식된
보안수준

17. 처음처음 CISOCISO 가 되신 분은…가 되신 분은…
17
협업 체계
정보보안
조직
보안위험 -
정보보호 대책
기업 보안
거버넌스
첫 100 일
의 과제

18. 직업으로서의직업으로서의 CISOCISO
18
폐쇄 그룹
내부 경쟁
사회적 중요성
나이

19. 미래부의 역할

20. 미래부에 거는 기대미래부에 거는 기대
20
3 년 연차
별
목표ㆍ계획
기업 연계
CISO
지원

21. 고맙습니다 !
ceo@cisolab.com