7장. 사이버 위험 관리 프로그램 구현

이 책( )에서는 네 가지 핵심 요소를 기반으로 하는 공식적인 사이버 위험 관리 프로그램(CRMP)의 중요성을 강조했습니다: Agile 거버넌스, 리스크 정보 시스템, 리스크 기반 전략 및 실행, 리스크 에스컬레이션 및 공개입니다. 이러한 모든 구성 요소는 원활하게 함께 작동해야 하며, 결정적으로 다른 많은 기업 부서 및 내부 및 외부 이해관계자들과도 협력해야 합니다. 그리고 이러한 목표를 달성하는 것은 단순한 작업이 아니라 여정이자 살아있는 프로세스라는 점을 인식하는 것이 중요합니다. 이 장에서는 개별 여정에 도움이 되는 구현 고려 사항과 주목할 만한 과제에 중점을 두고 설명합니다. 표 7-1에는 네 가지 구성 요소 각각과 관련된 원칙과 참고 자료가 요약되어 있습니다.

효과적인 CRMP를 위해서는 고위 경영진의 헌신, 새로운 역할과 책임, 예산 및 기타 자원의 잠재적 변경, 그리고 대부분의 경우 기업 문화의 근본적인 변화가 필요합니다. 이는 일회성으로 끝낼 수 있는 일이 아니며, 한 번 작성하고 승인한 후 질문, 변경 또는 업데이트 없이 따를 수 있는 정책도 아닙니다. 또한 임시방편이나 사후 대응으로 할 수 있는 일도 아닙니다. 보안 조직, 위험 소유자, 거버넌스 기관 및 기타 여러 이해관계자 간의 지속적이고 일관된 연락이 필요합니다. 이러한 협업을 통해 위험 관리를 단순한 비용 센터나 비즈니스 수행의 장애물이 아닌 비즈니스의 원동력으로 명확히 자리매김할 수 있는 신뢰와 지속적인 관계를 구축할 수 있습니다. 또한 위험 환경은 끊임없이 변화하기 때문에 프로그램은 환경 변화에 적응하고 대응할 수 있어야 합니다.

표 7-1. CRMP 프레임워크

CRMP 구성 요소	원칙	유익한 참고 자료
Agile 거버넌스	"Agile 거버넌스의 7가지 원칙"을 참조하세요.	SEC 최종 사이버 규정 NIST CSF 2.0 2023 NACD 디렉터 핸드북 ISO 27001:2022 NIST 8286 IIA 세 줄 모델 SEC 2018 지침 ISO 31000:2018 AICPA CRMP
위험 정보 기반 시스템	"위험 정보 시스템의 5가지 원칙"을 참조하세요.	SEC 최종 사이버 규정 NIST CSF 2.0 2023 NACD 디렉터 핸드북 ISO 27001:2022 IIA 세 줄 모델 ISO 31000:2018 AICPA CRMP
리스크 기반 전략 및 실행	"리스크 기반 전략 및 실행의 6가지 원칙"을 참조하세요 .	SEC 최종 사이버 규정 NIST CSF 2.0 2023 NACD 디렉터 핸드북 IIA 세 줄 모델 ISO 31000:2018 AICPA CRMP
위험 에스컬레이션 및 공개	"위험 에스컬레이션 및 공개에 대한 5가지 원칙"을 참조하세요 .	SEC 최종 사이버 규정 NIST CSF 2.0 2023 NACD 디렉터 핸드북 IIA 세 줄 ...