IT아웃소싱 구조하에서의 보안체계 수립방안

          신수정/넷시큐어테크놀로지 컨설팅본부장(sjs1234@netsecuretech.com)

공학박사,  CISSP, CISA, PMP

 

연재제목: 정보보호 실행/관리 체계의 구조와 적용방안

 

1회: 주요 정보보호실행기준들의 구조 및 특징

2회: 정보보호 위험관리 체계의 적용현실 및 대안

3회: IT아웃소싱 구조하에서의 보안체계의 수립방안

4회: 정보보호 아키텍쳐 수립방안

5회: 정보보호 체계수립을 위한 컨설팅의 활용방안

 

 

1. IT 아웃소싱의 개념과 보안관리구조의 필요성

 

아웃소싱이란 기업의 하나 또는 그 이상의 기능들에 대해 외부 업체에게 책임을 맡기는 계약적 관계로 정의할 수 있다. 1980년대 이후 미국 기업들을 중심으로 사업의 효율성 증대, 위험 감소, 경비절감 등을 목적으로 핵심역량 이외의 부문은 외부에 위탁하여 경쟁력을 강화하는 길을 모색해 왔다. 특히 IT의 경우 빠른 기술의 발전에 대한 내부 조직의 적응 부족, 대형 투자의 위험성 문제, 내부 인력의 전문성 확보 곤란 등의 이유로 아웃소싱의 필요성이 더욱 대두되어 아웃소싱 영역들 중 가장 큰 비중을 차지하는 영역 중 하나로 자리잡고 있다.

IT아웃소싱은 일반적으로 아웃소싱 범위에 따라 IT전체를 외부에 위탁하는 전체 아웃소싱과 데이터센터 운영 등의 특정부분을 위탁하는 부분 아웃소싱으로 나뉠 수 있다. 또한 유형에 따라 데이터센터, 네트워크 서비스, 응용시스템 유지보수 및 운영, 신규 응용시스템의 개발, 분산서비스, IT 기획 등으로 분류되기도 한다 ㈜ 가트너 분류).

이때 IT 아웃소싱은 중장기적이고 전략적이라는 관점에서 임시적이고 단기적인 컨설팅이나 단순하청 등과 구분되며, 데이터센터 운영, 네트워크 운영, 응용시스템의 개발 및 유지보수 등의 운영활동이 강조된다는 점에서 시스템 판매와 개발이 강조되는 시스템통합(SI)과 구분되기도 한다.

국내에서는 국외와 같이 IT 아웃소싱이 아주 활발하지는 않지만, SDS, LG-CNS, HIT, SK C&C 등의 대형사들에 의해 계열기업 또는 기타 대형 기업들의 IT 기능들에 대한 대규모 아웃소싱이 이루어지고 있고, 기타 많은 서비스 제공업체 들에 의해 특정 시스템들의 개발/유지보수, 시스템 및 네트워크 운영/서비스 등에 대한 부분 아웃소싱 도 이루어지고 있다. 특히 최근에는 ASP, IDC 등의 인터넷 기반의 아웃소싱도 점차 증가하고 있으며, 보안서비스에 대한 아웃소싱도 점차 모양을 갖추어 가고 있다.

이러한 다양한 형태의 IT 아웃소싱은 많은 장점을 가지고 있지만 우려되는 문제점도 적지 않은 것이 사실이다. 이 중 특히 보안 부분은 과거부터 IT 아웃소싱에 있어서 주요 문제점의 하나로 인식되어 왔다.  최근 IT 기능을 위탁하는 기업들 (㈜ 고객이라는 말로도 사용할 수 있음. 이하 고객기업이라 함)의 보안 인식이 과거에 비해 상당히 높아진 것이 사실이지만 여전히 많은 관리자들은 IT 아웃소싱 하에서 보안을 어떻게 고려해야 할지 명확한 방안을 찾지 못하고 있다. 이로 인해 기껏해야 계약자로부터 비밀유지서약서를 받거나 계약서 상의 일반적인 비밀유지 항목 정도를 반영하는 선에서 보안에 대한 문제를 해결했다고 생각하는 경우가 많다.

특히 전체 아웃소싱이나 대규모 부분 아웃소싱의 경우, 계약자(㈜ 위탁업무를 수행하는 기업을 의미함. 아웃소서, 서비스 제공자라는 말로도 사용할 수 있음.)의 직원들은 IT 자원에 대해 위탁관리자라는 관점보다는 주인(Owner-소유자)이라는 관점으로 접근할 경우가 많다. 또한 고객 기업에서는 계약자를 같은 회사 직원으로 인식할 뿐 아니라 같은 회사 직원보다도 더 전폭적인 권한을 위임하며, 위임 후 그 권한에 대한 관리와 통제를 거의 수행하지 않는 경우가 많다. 과도한 주인의식한계없는 신뢰효과효율의 관점에서는 바람직한 것일지 몰라도 보안의 관점에서는 최소권한, 직무분리 등의 사상과 배치되는 상당히 위험을 야기할 수 있는 요소가 된다.

그러므로 IT 아웃소싱의 구조하에서 보안의 위험은 상당히 잠재되어 있고 이를 해결하기 위해 신속히 보안 관리 체계를 수립하고 이행하는 것은 상당히 중요한 작업이라 할 수 있다. 특히 아웃소싱을 할 경우 일반적으로 기획 및 관리통제 기능까지 모두 아웃소싱 하는 것이 아니므로 고객기업은 관리 통제의 책임을 가지고 보안의 위험들을 분석하여 이에 대한 대응구조를 적절히 설계하고 이행하며 관리해야 한다.

이 글에서는 이러한 필요에 대응하여 아웃소싱의 구조하에서의 기본적인 보안 관리 구조를 고찰해 보려한다. 이를 위해 먼저 IT 아웃소싱의 기본적인 프로세스, 보안의 문제에 대해 간략히 언급하고, IT 아웃소싱하에서의 보안 관리 구조와 계약서와 SLA 작성에 대해 언급하고 마지막으로 간략한 결론을 내려한다. 세부적인 내용과 구체적인 템플릿 등은 이 글의 범위에서는 다루지 않았다.

 

 

2. IT 아웃소싱 하의 보안 위험

 

실제 기업에서 수행되는 IT 아웃소싱의 형태는 어떠한 기능을 아웃소싱하는가에 따라 다음과 같이 다양하게 분류할 수 있다.

1) IT 기능 전체를 아웃소싱하는 경우

2) 데이터센터를 아웃소싱하는 경우

3) 네트웍 운영 업무를 아웃소싱 하는 경우

4) 어플리케이션의 유지보수 업무를 아웃소싱 하는 경우

5) 어플리케이션의 개발 업무를 아웃소싱 하는 경우

6) 서버나 PC운영업무를 아웃소싱 하는 경우

7)  분산서비스(헬프데스크, EUC 등)을 아웃소싱하는 경우

8)  특정 시스템들의 운영관리(일반적으로 IDC 등 활용)를 아웃소싱 하는 경우

9)  ASP 등으로 계약자의 자원을 활용하여 아웃소싱 하는 경우

10) 방화벽, VPN, 시스템 보안 등의 보안관리를 아웃소싱 하는 경우

 또한 계약자의 위치가 어디에 있으면서 아웃소싱 업무를 수행하는 가에 따라 다음과 같이 분류할 수 있다.

1) 계약자가 고객기업에 상주하면서 아웃소싱 업무를 수행하는 경우

2) 계약자가 물리적으로 독립된 공간과 장비를 가지고 아웃소싱 업무를 수행하는 경우

3) 계약자가 원격에서 고객기업의 내부자원을 관리하면서 아웃소싱 업무를 수행하는 경우

 

IT 아웃소싱하의 보안위험을 평가하기 위해서는 자신의 기업이 위에서 제시한 바 중 어떤 형태의 아웃소싱을 수행하고 있는지 정의할 필요가 있다. 왜냐하면 아웃소싱의 형태와 업무 수행 방식에 따라 발생할 보안 위험과 필요한 보안 대책이 상이할 수 있기 때문이다. 예를 들면 계약자가 원격에서 고객기업의 내부 자원을 관리하는 경우에는 원격인증문제, 방화벽 정책의 문제, 전송 데이터의 비밀성 문제 등 원격관리로 인한 보안 위험들이 고려되어야 한다.

그러나 구체적인 아웃소싱 형태에 따른 보안위험을 분석하기 전에 더 먼저 이해되고 분석되어야 할 영역이 있는데 이는 IT 아웃소싱에서 발생할 수 있는 공통적이고 일반적인 보안 위험들이다. 이 위험들은 다음과 같다.

1)           계약자의 보안 정책과 실행이 고객기업의 보안 수준에 미치지 못하거나 최상의 보안정책을 적용하지 않음으로 인한 보안 위험이 존재한다.

) 계약자가 보유한 감사와 모니터링에 대한 보안 정책이 불충분 함으로써 이에 따라 감사와 모니터링을 불충분하게 수행하여 침입을 발견하지 못하고 보안문제를 야기할 수 있다.

2)           계약자와 고객기업의 책임과 역할의 불충분한 정의로 인한 보안 위험이 존재한다.

3)           계약자가 시스템에 접근할 경우 안전한 인증 방법을 사용하지 않음으로 인해 기업의 시스템의 기밀성과 무결성에 손상을 줄 수 있다.

4)           계약자와 고객기업이 서로 시스템에 접근할 시간과 내용을 정의하지 않음으로 인해 계약자의 작업이 고객기업의 서비스의 가용성을 손상시킬 수 있다.

5)           계약자가 자신의 전문성 등의 부족, 비용절감 등으로 인해 또 다른 작은 업체들과 부-계약을 수행할 경우 고객기업에 고지하지 않고, 부-계약자에게 보안정책을 적절히 제시하지 않음으로 인해 부-계약자가 고객기업의 정보유출 등의 보안성을 해치게 된다.

6)           계약자의 재정적 허약으로 인한 도산, 핵심 인력의 대거 이직 또는 재난으로 인한 서비스 중단으로 인해 기업의 가용성을 손상시킬 수 있다.

 

이러한 보안관련 위험들에 효과적으로 대응하는 기업들도 있지만 실제 현장에서 인터뷰를 해보면 여전히 기업들의 담당자들이 다음과  같은 응답들을 하는 경우를 많이 발견할 수 있다.

 

1) 계약자의 보안정책을 우리가 알 필요가 있는가?

2) 계약자가 제시한 보안정책과 대책을 충분히 검토한 적이 없이 그저 믿고 받아들였다.

3) 우리회사의 보안정책과 계약자의 보안정책을 비교해 본적이 없다.

4) 계약자에게 우리 회사의 보안정책에 대해 제시하거나 교육한 적이 없다. 사실은 우리 회사의 보안정책도 불명확하다.

5) 계약서는 계약자가 주는 표준계약서를 약간 바꾸었다. 보안쪽은 무엇을 반영해야 할지 몰라서 그대로 두었다.

6) 계약자의 보안상황을 점검하고 관리하는 인력이 우리 기업에 없다. 계약자쪽의 보안을 담당하는 담당자도 누군지 잘 모르겠다.

7) 보안에 대해 우리회사와 계약자 사이의 대응이나 관리 절차가 없다.

8) 보안에 대해서 우리회사와 계약자 사이의 책임이나 역할을 규정해 본적이 없다.

9) 계약자가 보안을 제대로 이행하는지 모르겠다. 그저 믿고는 있는데 불안하기는 하다.

10) 계약자가 우리기업의 아웃소싱 업무와 관련된 위험을 정확하게 평가하고 있는지 모르겠다.

11) 계약자로부터 보안관련 자료는 비밀유지 서약서에 싸인한 것 외에 받아본 것이 없다.

12) 계약자의 보안상태에 대해 평가해보거나 감사해본 적이 없다.

13) 계약자의 심각한 문제 발생시 대응하는 구체적인 절차나 비상계획을 본 적이 없다.

14) 다른 분야는 서비스 레벨을 어느 정도 정의했지만 보안 분야는 무엇으로 측정해야 할지 우리 회사도 잘 모르고 계약자도 잘 몰라서 생략했다.

 

 

3. IT 아웃소싱하의 보안 관리구조

IT 아웃소싱하의 보안에 대한 단편적인 이슈들을 제시하고 해결책들을 제시한 문서들이나 보고서들은 종종 있지만 보안관리구조를 체계적으로 정리한 보고서는 별로 눈에 띄지 않는다. IT를 전체 아웃소싱하는 경우나 계약자가 독립된 영역에 있는 경우 등을 제외했지만 그나마 카네기멜론 SEI의 보고서(*주석처리-CMU/SEI, Security for Information  Technology Service Contracts, 1998) 는 계약자 선정과정부터 계약종료까지의 과정상에 고려해야 할 보안에 관해 체계적으로 제시하고 있다. 이 보고서에서 제시하고 있는 큰 항목은 다음과 같다.

1) 보안 요구사항을 정의하고 계약자의 능력을 평가하라

2) 조직의 보안정책에 부응할 수 있는지 계약자의 능력을 결정하라.

3) 계약자의 소프트웨어가 안전하게 설치되고 운영될 수 있도록 요구하라.

4) 계약자가 원격으로 운영할 경우 당신의 기업과 안전하게 통신할 수 있도록 요구하라.

5) 당신의 시스템에 대한 계약자의 접근을 통제하라.

6) 디렉토리와 파일들에 대한 기대되지 않은 변경을 관찰하라.

7) 당신의 시스템과 네트워크 로그들을 검사하라.

8) 계약자의 성과에 대해 검토하라.

9) 계약이 종료된 후 당신의 시스템과 계약자에 대한 물리적, 전자적 접근권한을 제거하라.

 

이 외에 여러 글들, 모범 사례 및 컨설팅에서의 실 경험들을 정리해보면 IT 아웃소싱 하의 보안관리 구조는 그림 1과 같이 정리할 수 있다.

 

*** 그림 1  IT아웃소싱하의 보안관리 구조**************

 

IT 아웃소싱하에서 보안관리가 효과적으로 이행되기 위해서는 다음의 4가지 사항들이 기업과 계약자 상호간에 설계되고 이행되어야 한다.

 

1) 요구제시

- 기업은 계약자에게 계약자에 대한 보안요구사항을 명확하게 제시해야 한다.

- 이러한 보안요구사항의 많은 부분은 보안정책의 형태로 제시된다. 이 때 기업은 계약자에게 지켜야 할 보안정책을 명확히 제시하고 이에 따라 계약자가 자체적인 보안정책과의 GAP을 파악하고 기업의 보안정책을 받아들일 수 있는지 확인해야 한다.

-  기업은 계약자에 상위레벨의 보안정책을 제시하며 계약자는 이를 이행하기 위한 세부 지침과 절차를 제시할 필요가 있다.

-  기업의 보안 요구사항들은 계약자와의 합의하에 계약서에 명확히 반영되어야 한다.

-  기업의 요구사항은 SLA의 형태로 제시될 필요가 있다. SLA에는 제공될 서비스의 범위, 서비스의 품질의 레벨, 서비스에 대한 평가항목, 기준미달시의 조치사항 등이 포함되어야 하며, 제공된 서비스에 대한 성과 측정에 대한 적절한 방법이 상호 협의되어 한다.

-  보안관련 항목에 관한 상호 책임사항이 명확히 정의되어야 한다.

 

2) 이행 및 보고

- 계약자는 합의된 고객 기업의 보안정책을 준용하기 위한 세부 지침과 절차를 개발한다.

-  계약자는 계약서 및 SLA의 제시된 내용을 이행한다.

-  이행의 증거 및 제공된 서비스에 대한 성과는 주기적으로 기업에 보고되어야 한다. 이를 위해 보고내용, 보고서의 양식, 보고의 주기, 방법에 대해 상호합의가 있어야 한다.

 

3) 고지 및 승인

-  계약자는 계약자의 임의대로 보안정책을 개정하거나 보안대책을 변경할 수 없다. 이 경우 기업의 승인이 필요하다. 그러므로 기업과 계약자간의 승인항목이 정의되어야 하고 계약자는 이 절차를 따라 승인관리 및 변경관리를 수행해야 한다. 또한 기업도 계약자에게 영향을 미칠 수 있는 보안관련 항목에 대해서는 적절하게 고지를 할 필요하다.

- 일반적으로 고지 및 승인이 필요한 항목들은 보안정책/지침의 변경, 보안조직의 변경, 보안대책의 변경, 민감한 데이터의 변경 등이다.

 

 

4) 평가 및 감사

- 기업은 계약자의 보안관련 자체 위험 평가를 요청할 수 있고 이에 따라 정기적인 보고를 받을 필요가 있다.

- 또한 기업은 주기적으로 자체 또는 제 3의 전문가 집단을 활용하여 계약자의 정보보호 상태를 감사할 필요가 있다.

 

이때 중요한 것은 위의 4가지 사항들이 계약서 및 SLA(Service Level Agreement)에 반영되어야 한다는 것이다.

또한 위의 4가지 사항과 더불어 필요한 한 가지는 조직적인 부분이다. IT 아웃소싱 하에서 보안관리가 효과적으로 이행되기 위해서는 고객기업은 계약자에 대한 요구를 제시하고 보고를 받고, 성과를 평가할 수 있는 관리팀을 할당해야 한다. 기업이 적절한 통제기능을 상실할 경우 아웃소싱의 위험은 그만큼 높아지게 된다. 마찬가지로 계약자도 보안을 관리할 조직 또는 담당자를 할당하고 명확한 책임과 역할을 부여해야 한다.

 

 

4. 계약서와 SLA상의 보안

계약서와 SLA은 고객기업과 계약자사이의 서비스의 제공의 범위, 내용, 근거,  평가, 관리, 배상 등 모든 것이 반영되어 있는 상호 약속이자 의사소통수단으로서, IT 아웃소싱 계약서와 SLA의 기본 구조는 그림 2와 같다. 계약서와 SLA는 IT 아웃소싱 관리의 핵심이자 근간이며, 당연히 보안관리의 핵심요소라고도 할 수 있다.

 

**************그림 2 아웃소싱 계약서와 SLA의 기본구조*************

 

국내에서 계약을 보는 관점이 많이 진보했지만 아직도 대부분의 계약은 i)계약자의 표준계약서에 의존하거나 ii) 일반적인 말과 애매모호한 문구로 내용을 채우거나 iii) 지나치게 함축된 경우가 많다. 또한 국내 기업들은 아직도 계약서 작성에 심혈을 기울이지 않고, 계약서 따로 실행 따로인 경우가 많다. 그러나 점차 기업이 선진화 될수록 계약서의 내용들은 상당히 중요하게 부각되고 있다. IT 아웃소싱 계약서에 보안과 관련하여 반영되어야 할 항목을 살펴보면 표 1과 같다.

 

1. IT아웃소싱 계약서에 반영되어야 할 보안 항목(예)

 

항목

내용 요약

정책

합의된 정보보호 정책언급, 계약자는 고객의 보안정책의 준수

책임

보안에 대한 책임

비밀유지

고객 정보에 대한 비밀유지, 누설금지

감사

계약자에 대한 감사권한, Ethical Hacking포함, 제 3자를 활용한 감사권한

업무연속성계획

업무 연속성 계획 제시

보호방안

고객 자산의 보호를 위한 물리적, 논리적 대책

접근통제

합의된 접근통제 방법, 절차, 보호방안, 권한 부여 절차

권한의 회수

보안위반, 고객요청 시 권한의 회수

보고

보안의 위반사항, 보안사고, 보안의 성과 등에 대한 보고

승인

보안성 승인의 범위, 내용, 절차

변경관리

서비스, 시스템, 인력, 보호정책, 보호대책 등의 변경사항에 대한 관리 절차

법적준수

정보보호관련 법률의 준수

소유권

프로그램과 문서에 대한 소유권

성과측정

계약자의 보안 준수의 성과측정

-계약시 보안

-계약시의 고객승인, 하위계약자에게 고객의 요청 없이 고객자료 제공 금지

 

SLA는 고객과 서비스 제공업체 사이에 합의된 서비스의 수준을 문서화한 합의서로 성공적인 아웃소싱 계약을 구조화하기 위한 핵심적인 요소로서 다음과 같은 내용을 포함하고 있다.

1) 제공되는 서비스의 내용에 대한 설명

2) 제공되는 서비스의 수준을 측정할 서비스 수준 Metrics에 대한 기술

3) 성능 수준을 측정할 프로세스

4) 책임사항

SLA는 계약자가 제공할 서비스의 종류 및 수준을 명확히 하고, 양사간 특히 계약자의 책임사항을 명확히 하며, 제공될 서비스 중 주기적으로 평가될 내용을 정하여 궁극적으로 양사간의 파트너쉽을 증진시키는데 그 목적이 있다. 그러나 SLA를 개발하는 과정은 그리 쉽지는 않으므로 초기에는 컨설턴트의 도움을 많이 받기도 한다. SLA개발의 일반적인 절차는 그림 3과 같다.

 

**********그림 3 SLA개발의 일반적인 절차***************

 

 국내에도 전체 아웃소싱의 경우에는 SLA 방식의 계약이 점차 일반화 되고 있다. 그러나 아직도 SLA방식의 계약은 소수의 대형기업에 국한되고 있으며, 점차 확산되고는 있지만 그 깊이가 충분하지 않다. 특히 SLA상에 보안 항목의 반영은 더더욱 미미한 상황이다.

 일반적인 IT 아웃소싱시에도 당연히 보안의 항목들이 반영되어야 하지만, 실제 SLA상에 보안이 가장 많이 반영되고 구체화되어야 할 곳은 보안관리를 아웃소싱하는 경우일 것이다. 그러나 이 경우도 SLA기반이라는 말을 많이 하지만 실제적인 내용에 들어가보면 측정항목도 아주 소수이고 그 내용도 어설픈 경우가 많다. 그 이유는 고객과 계약자 양쪽에 있을 것이다. 즉 고객은 무슨 서비스를 어떤 수준으로 받을 지의 요구사항을 명확히 제시하지 못하며 그것을 세부적으로 관리할 능력을 보유하고 있지 못하고, 계약자는 SLA의 세부적인 작업이 중장기적으로야 어떻든 단기적으로는 적은 비용에 품질을 상승시켜야 한다는 압박에 직면하므로 고객이 특별히 요청하지 않으면 회피하기 쉽기 때문이다.

SLA에 반영될 수 있는 보안 요구사항과 측정기준의 예는 다음 표와 같다.

 

2. SLA에 반영되는 보안 요구사항과 측정기준(예)

 

요구사항

측정

침입, 보안사고에 대한 보고 및 대응

미리 결정된 주기 및 양식에 따라 제출되는 침입보고서의 수

침입 또는 사고 인지부터 기업에 보고되는 때까지의 시간간격

사고 발견후부터 대응 및 복구까지의 시간간격

복구정도

사고로 인한 시스템, 네트웍의 정지시간

시스템의 중요성에 따라 결정된 주기에 따른 사고 보고서

주기적인 보안점검, 테스트 및 검토

미리 결정된 주기에 따라 제공된 독립적 보안평가 보고서의 수

정의된 취약성의 발견된 갯수, 책임, 빈도, 보고시간, 해결시간

시스템 다운타임의 최소화

시스템 Uptime에 대한 정의된 요구((예) 99.9%)

접근 기록 및 로그의 유지

로그의 보관기간

로그서버나 백업주기

ID 및 패스워드의 유지관리

요청에 따른 ID및 패스워드 생성, 변경, 삭제까지의 응답시간

외부감사에 따른 대응

고객사에서 계약자에 대한 침투시도시의 발견된 취약성 수, 대응시간

보안교육

보안교육의 수

변경에 대한 승인

변경발생에 따른 공지의 기간

바이러스 업데이트 주기

 

측정할 수 없는 것은 관리할 수 없다라는 말이 있다. 그러므로 관리가능하려면 측정이 반드시 이루어져야 하고 이러한 관점에서 SLA는 적은 노력으로 효과적으로 관리할 수 있는 능력있는 도구라고 할 수 있다.

그러나 이러한 SLA가 효과적으로 정의되고 이행되게 하기 위해서는 먼저 서비스 수준을 사업의 목적과 연계하여 구체적으로 측정가능하게 결정하여야 한다. 또한 서비스 수준을 일회성으로 정의하데서 끝나는 것이 아니라 그 성과를 지속적으로 추적하고 관리해야 한다. 이를 통해 지속적인 재평가를 수행하며 더 나은 품질을 지향해야 한다. 또한 서비스 수준의 목표 달성시 계약자에게 인센티브를 제공함으로써 계약자에게 서비스의 수준을 뛰어넘는 품질을 지향할 수 있는 동기를 부여하는 것도 중요하다.

 

 

5. 결론

IT를 아웃소싱하는 기업들은 아웃소싱으로 인한 보안 위험들을 조금 더 세부적으로 평가하고, 보안과 관련하여 계약자와의 관계를 조금 더 세밀하게 정립하고 관리할 필요가 있다. 이러한 관리는 체계적인 IT 아웃소싱 관리구조의 수립, 효과적인 계약서 및 SLA의 작성 및 유지로 성취될 수 있다.  불행하게도 많은 기업들은 이러한 권고에 대해 인력과 자원의 부족을 핑계대어 회피하곤 한다. 그러나 고객기업이 명확한 관리구조를 가지고, 계약사와의 상호 책임을 정립하며 이를 이행한다면 적은 인력으로도 광범위한 보안이슈들을 효과적으로 관리할 수 있다. 뿐만 아니라 계약자도 초기에는 많은 새로운 일들이 부여되는 것 같지만 결과적으로 자신들의 역할과 책임 그리고 목표수준을 명확히 함으로써 관리가 용이해지고 자신들의 서비스의 품질을 높일 수 있어 결과적으로 자체 경쟁력의 향상을 가져오게 된다. 그러므로 위에서 제시한 바와 같은 효과적인 관리체계의 정립 및 이행은 고객사와 계약자에 상호 win-win을 도모하게 될 것이다.

 

참고문헌

Kim Hudges, Security Issues your company faces when storing data at an ASP, 2001

Malgorzata Pankowska, Outsourcing impact on security issues, 1998

CMU/SEI, Security for Information Technology Service Contracts, 1998

Richard Raysman, Network Security in outsourcing, 2002

Brad L. Peterson et al., Information Security in outsourcing agreement, 2002

ITAA, ITAA ASP SLA Guidelines, 2000

Eric Hansen, Internal SLA for Information Security, 2001

한국전산원, 정보시스템 운영을 위한 비용산출 방안에 관한 연구, 1999

ISACA, COBIT 3rd Edition Management Guidelines, 2000

 

 

 

Copyright © 2001