개인적으로 40이 넘고 경험이 쌇인다면, 하소연 반 노하우반 섞인 IT 및 보안에 관한 책을 저술하고 싶었다.
책임자의 관점에서 임원의 관점과 실무자의 관점에서 지적과 가이드가 잘 접목된 그런 성격의 책을 쓰고 싶었다.
이 책을 읽는 순간 선수를 뺏겼다는 생각이 들었다. 내가 찾아왔고, 내가 쓰고 싶었던 딱 그런 성격의 책이였다.
내 경험상 이 책을 대충 읽는 단순한 기술쟁이들이나 갑 마인드가 강한 모 업종의 사람들은 맨날 쓰던 "보고서를 잘 편집하고, 법률만 비교해놓고, 결국 뻔한 이야기 정리해논거 아니야?"
이럴수도 있을 것이다.
감히 그런 사람들한테 보안에 대해서 대충아는 사람들이라고 이야기 해주면서 다시한번 잘 읽어보라고 훈계를 주고 해주고 싶다.
무엇보다 저자의 다양한 업종에서 실무자 임원으로 일했던 경험과 노하우를 후배들한테 이야기 하고, 일부 고집쟁이 임원들한테 훈계하는 듯한 책의 전개가 너무나 인상적이였다.
저자의 "이래야 한다고 생각한다."라고 하는 주관적인 의견들은 보안기획/관리 담당자라면 누구나 공감하고 어떻게 보고서로 정리를 해야하나 하는 부분들에 대한 답인 듯 했다.
2014년 개정된 법률들을 일목요연하게 비교/정리하여, 한눈에 알수 있었던것도 너무 좋았다.
개인적으로 보안 담당자들이 고민하던 답이고 보고서작성시 도움이 된다고 생각되는 주요 페이지를 언급해보겠다.
- 89p : 보안솔루션 도입/구축 각 담당자의 관점에 대한 정리
- 109p : 보안솔루션 도입/구축 후 운영의 주체 이슈에 대해서 IT 조직운영이 바람직하다는 결론(완전 공감)
- 112p ~ 114p : 조직내 보안담당자들에 대한 동기부여에 대해서 필요한 사항에 대한 언급
- 116p : 세미나의 중요성(대부분 사람들은 "뻔한 이야기였어" 이야기 하고, 또 일부 관리자들은 놀러간다고 생각하는 사람들이 많은데...역시 저자도 그 부분에 대해서 잘못된 것이라고 언급하고 있다.)
- 142p : "지인네트워크"란 단어가 나온다. 정보보호 관련 대외활동이 중요한걸 모르는 관리자들이 아직도 많다는점에 대해서 지적하고 있다.
- 186p : 보안자격증 설명
- 198p ~ 정보보호담당자가 알아야할 법률사항 정리, 과태료 등 비교표
- 231p : 개보법, 정통망법 73조 1항의 문제점 의견
- 240p : 금융부문 법규에 대한 설명.(개인적으로도 최근에 금융권회사를 퇴사했기에 전반적으로 이책에서 금융법에 대한 설명, 그리고 담당자들의 어려움과 더불어 책 전반에 언급된 답답(?) 임원/관리자들에 대해서 무척 공감되었다.)
- 256p : 모든 조직의 보안 담당자의 바랍인 행자부와 방통위의 개인정보관련 문의에 대한 공동창구에 대한 의견
마지막 6장 : 정보보호 책임자의 필요역량. 많은 업종, 특히 금융업종의 보안 임원분들인 3번이상 읽어봤으면 좋겠다고 생각했다.
이책을 읽으며 공감할수 있는 것은 아직도 많은 기업에서 보안관리자급의 인원들이 IT나 보안 경력이 없는 사람들이 많은게 현실이기 때문이다.
그래서 이책의 제목도 "CxO가 알아야 할 정보보안"인것 같다.
하지만 내용 하나하나 읽으면 실무자를 위한 많은 자료를 한눈에 정리해준 업무 핸드북이며, 가이드라고 하겠다.
더 나아가 보안관련 자격증을 준비하는 사람들에게도 잘 정리된 워크북이라고 하겠다.(꼭 시험전에 정리할때 활용해보자)
정보보호책임자가 알아야 할 정보보안의 모든 것
2014년 1월 부터 내부자의 의한 개인정보 유출이 시작되면서, 12월 국가기관 문서 및 정보 유출 까지. 매달 정보보안 이슈가 끝임없이 계속적으로 쏟아지고 있다. 고객정보유출 사태 이후 보안에 대한 관심이 커지면서 기업의 보안 거버넌스를 담당하는 CISO에 대한 역할 정의에 관심이 높아지고 있다. 이 뿐만 아니라, C레벨의 역할 정의에 관심이 대두되고 있다. 책에서는 이런 C레벨 사람들을 위한 정보보안에 대해 전반적으로 다루고 있다.
1장 즐기는 자가 이긴다! - 정보보호책임자 ( 정보보호의 목적, 개인정보보호와 정보보호, 정보보호 최고책임자(CISO), 개인정보보호책임자(CPO) ,정보보호책임자의 업무)에서는 정보보호책임자의 업무를 5가지 영역으로 분류하여 설명 하고 있다. 2장 지금 우리에게 필요한 것은? - 정보보호 거버넌스 ( 정보보호 거버넌스?, 주요 거버넌스 업무, 정보보호책임자와 정보보호조직, 정보보호 투자, 정보보호투자의 성과 측정, 보안문화)에서는 경영적 관점에서 정보보호를 바라 보는 정보보호 거버넌스 영역을 설명하고 있다. 3장 공격 관점에서 방어 관점으로! - 관리체계와 중요자산 보호 (보안위험, 관리 정보보호 대책의 수립과 이행, 협업관리, 정보보호 교육 및 인식제고, 정보보호 조직관리) 에서는 보안위험과 보안대책을 탐구하는 관리체계 영역과 중요자산 보호 영역을 알려준다. 4장 연습은 실전처럼, 실전은 없는 게 좋다 - 위기 관리 (정보보호 위기와 위기관리 체계, 정보보호 사건 처리, 위기관리 - 위기 전, 업무 위기관리 - 위기 후 업무, 정보보호 위기관리를 위한 추가 방안) 에서는 기업에서 발생하는 정보보호 사건,사고,위기와 그에 대한 대응방법을 체계적으로 설명한다. 5장 멀리 하고 싶지만 가까이 있는 당신 - 규제 대응 (법적 규제, 자체 규제, 사회적 규제, 법적 규제 - 부문 공통, 민간부문, 금융부문, 공공부문, 규제 대응) 에서는 정보보호 관련 법규와 그에 대한 대응 방안을 기업 관점에서 정리하여 규제 및 그의 대응을 자세히 설명해 준다. 6장 울며 겨자 먹기? - 핵심 역량과 "생활의 지혜" (정보보호책임자의 핵심 역량, 정보보호책임자의 업무 처리) 에서는 정보보호책임자가 자신의 역량을 키우거나 실무적인 일 처리를 하면서 도움이 될 내용을 다뤘다.
단순히 보안의 한분야에 치중되어 있지 않고, 즉 기술적인 측면으로만 바로 보지않고, CISO·CIO 겸직 금지라는 전자금융거래법 개정안 본회의 통과되어, 일정 규모 이상의 대형 금융회사나 전자금융업자인 경우 정보보호 최고 책임자의 겸직을 제한하게 되었다.라는 이런 등의 법적인 내용도 담겨져 있어 보안 전반적인 내용을 두루두루 알 수 있다.
책 마지막 페이지에 이렇게 작성하고 보니 할일이 너무 많다고 한다. 보안은 다할 필요도 없고, 다하기도 어려운 현실에 부딪치기 때문에, 책에서 알려주는 내용은 다 숙지는 해야하나, 이행하려고 하지 말이야 겠다는 느낌이 들었다.
앞으로 C레벨을 위한 기초 사회인에게도 꼭 필요한 책이다.!