2. DB 보안 관리체계 수립

가. DB 보안 관리체계

DB 보안을 구축하는데 있어서 각 기술 요소 별로 견고한 보안 통제 수단을 구축하는 것도 중요하지만, 그러한 DB 보안 통제 수단을 관리하고 운영할 수 있는 체계를 정립하는 것은 더욱 중요하다. DB 보안 관리체계는 DB 보안 통제 수단을 구축하고 활용하는 체계인 DB 보안관리 프레임워크를 유지·관리하기 위한 조직과 프로세스를 정립하는 것을 의미한다. DB 보안 관리체계를 수립하는 목적은 DB 보안을 구축·운영하는 모든 과정에서 DB 보안 관리 프레임워크에 따른 업무 수행과 의사결정이 이루어지도록 함으로써 DB보안에 대한 일관성과 합리성이 증대될 수 있도록 하기 위함이다. DB가 어느 특정 업무나 조직의 일부 목적을 위해 존재할 수도 있지만 일단 DB 보안 상에서 문제가 발생하면 그 파장은 일부 조 직이나 업무에 국한되지 않고 전사로 확대될 수 있다. 따라서 DB 보안은 전사적 관점에서 접근해야 하고, DB 보안 관리 프레임워크를 적용해야 하는 범위도 결국 전사가 된다. 그 렇기 때문에 DB 보안을 적용하는데 있어서 반드시 전사적 일관성과 합리성이 확보되어야 하며, 이를 위해 DB 보안 관리체계가 필요하게 된다.

DB 보안 관리체계는 전사적 보안관리체계나 전사 아키텍처 관리체계와 동떨어져 별개로 구성되지 않는다. 이들과 유기적으로 연관되거나 전사적 통합 관점에서 고려되어 구축되 며, DB 보안 관리체계 구성은 관리 조직, 관리 프로세스, 관리 인력으로 이루어진다. 다 음 그림은 이와 같은 DB 보안 관리체계의 구성 개념을 도식화한 것이다.

앞의 그림에서 제시한 DB 보안 관리체계 개념을 상세히 보면, DB 보안 관리체계는 DB 보 안을 체계적으로 구축하고 유지·관리하기 위해 DB 보안관리 프레임워크를 기반으로 이 에 관련된 DB 보안정책 관리, 변경관리, 분석관리, 운영관리, 성능 및 장애관리, 로그 및 백업관리 등의 절차와 관리 조직, 관리 인력 등이 유기적으로 DB 보안 관리체계를 구성하 게 된다. 이와 같은 DB 보안 관리 체계를 수립하기 위한 핵심 관리 항목을 도식화하면 다 음 그림과 같다.

나. DB 보안 관리 조직

DB 보안 관리 조직은 DB 보안 관리를 위한 조직체계를 의미하는 것으로, DB 보안 관리를 위해 필요한 직무와 직무 간의 관계, 업무 분장 등을 정립하는 것이다. DB 보안 관리를 위 한 조직은 기업 전체 또는 (정보) 보안 관련 전체 조직과 일관성을 가져야 한다. DB 보안 관리 체계는 경영진에서 실무자 수준에 이르기 까지 다양한 시각에서 책임과 역할이 정의 되어야 한다.
DB 보안 관리를 위한 각 직무 그룹별로 책임과 역할을 예시해 보면 다음 표와 같다.

다. DB 보안 관리 절차

DB 보안 관리절차는 DB 보안을 구축하고 관리하기 위한 제반 활동을 정의하는 것으로, [그림 2-2-4]와 같이 앞서 [그림 1-2-3]에서 제시한 DB 보안관리 프레임워크를 운영· 관리하기 위한 모든 활동을 포함하고, 전사 보안관리 업무와 일관성이 유지되어야 한다. DB 보안 관리 절차는 DB 보안 관리를 수행하는 세부 업무를 분류하고 내용을 정의하는 것은 물론이고 DB 보안 관리를 위해 준수해야 할 규정이나 구체적이고 표준화된 수행 절 차 또는 문서 양식을 포함한다.
다음 표는 이와 같은 DB 보안 관리 절차 구성 항목들을 예시하였다.

라. DB 보안 관리 인력

DB 보안 관리 인력은 DB 보안 관리를 담당하는 직무 역량을 정의하고 이를 확보하기 위 한 방안을 정의하는 것이다. DB 보안 관리를 위해 필요한 역량 요소를 분류하고 역량 요소 를 직무별로 할당한다. 또한 이러한 역량 요소를 확보하기 위한 교육 계획을 수립하고 역 량 수준을 평가할 수 있는 체계를 포함한다. DB 보안이 제대로 정착되고 성과를 발휘하기 위해서는 관련 인력들의 역량 확보가 중요하다. DB 보안 역량 강화를 위한 교육 프로그램 은 해당 인력의 특성에 맞게 직무별로 맞춤식 교육이 이루어질 수 있도록 해야 한다.
DB 보안을 위한 역량 요소는 리더쉽 역량, 기술적 역량, 적용 역량으로 구분할 수 있다. DB 보안에 대한 리더쉽 역량은 DB 보안의 중요성과 가치를 정확히 파악하고, DB 보안을 효율적으로 도입하고 적용할 수 있도록 전사적 공감대 형성과 내재화를 위한 변화 관리를 제대로 이끌 수 있는 관리 능력이다.

DB 보안에 대한 기술적 역량은 DB 보안의 구축 및 관리에 대한 절차와 방법론을 이해하 고, DB 보안 관리체계를 구축할 수 있는 기술적 능력이다. DB 보안 적용 능력은 DB 보안의 적용에 따른 업무상 불편으로 인해 IT실무자와 사용자들 이 적용을 기피하거나 제대로 준수하지 않는 경우가 없도록 지속적으로 유대 관계를 유지 하고 설득하며 적용 및 준수를 유도하여 조기에 DB 보안 적용 체계를 완성하고 효과성을 증대시킬 수 있는 실용적 능력이다. 이러한 능력은 실질적으로 DB 보안 투자에 대한 성과 와 직접적으로 연관되어 있다고 할 수 있다.
중요한 점은 보안 담당자와 응용프로그램 개발 및 운영, 시스템 운영의 업무는 직무상 분 리되어야 한다는 점이다. 보안 상 중요 업무에 대한 직무분리는 보안의 기본적인 요건에 해당한다.

마. DB 보안 관리 체계 고려사항

효과적인 DB 보안 관리체계 구축을 위해서는 다음과 같은 사항이 고려되어야 한다.
■정의된 보안 관련 조직체계 또는 DB 보안 관련 조직체계와 프로세스체계 등을 문서화 하여 전 조직이 준수할 수 있도록 제도화해야 한다.
■DB 보안에 관련된 제반 이해 당사자의 DB 보안 인지도 향상 및 업무 수행 시 DB 보안 준수도 증진을 위한 적절한 교육 프로그램을 제공해야 한다.
■DB 보안 관리체계를 주기적으로 점검하여 개선점을 도출하고 반영 할 수 있는 제도적 장치를 마련해야 한다.
■DB 보안 통제 수단 및 DB 보안 관리체계에 대한 준수도와 효과성을 주기적으로 점검하 여 보안시스템의 품질을 지속적으로 개선시켜 나가야 한다.