정답: B
= 정보 보안 거버넌스를 기업 거버넌스에 통합하는 가장 좋은 방법은 사업부를 대표하는 정보 보안 운영위원회를 구성하는 것입니다. 정보 보안 운영위원회는 조직의 정보 보안 프로그램 및 전략을 감독, 지휘 및 지원할 책임을 맡는 다양한 사업부 및 기능의 고위 임원 및 관리자로 구성된 그룹입니다. 사업부를 대표하는 정보 보안 운영위원회는 다음과 같은 이점을 제공하여 정보 보안 거버넌스를 기업 거버넌스에 통합할 수 있습니다.12
* 정보 보안 목표와 우선순위를 비즈니스 목표와 우선순위에 맞추고, 정보 보안 프로그램과 전략이 조직의 목표와 성과 달성을 지원하고 가능하게 하는지 확인합니다.
* 이사회, 고위 경영진 및 기타 이해관계자에게 정보 보안의 가치와 중요성을 전달하고 홍보하며, 조직의 의사 결정 및 계획 과정에서 정보 보안이 고려되고 통합되도록 합니다.
* 정보 보안 관리자와 정보 보안 팀에 지침과 방향을 제공하고, 정보 보안 프로그램과 전략을 효과적이고 효율적으로 구현하고 유지하는 데 필요한 권한, 리소스 및 지원을 확보하도록 보장합니다.
* 정보 보안 프로그램과 전략의 성과와 결과를 모니터링하고 평가하며, 이러한 성과와 결과가 조직과 이해관계자의 기대와 요구 사항, 관련 법률, 규정, 표준 및 모범 사례에 부합하는지 확인합니다.
* 정보 보안과 관련된 문제, 과제, 기회를 파악하고 해결하며, 정보 보안 프로그램과 전략이 내부 및 외부 환경의 변화와 발전을 반영하도록 지속적으로 개선되고 업데이트되도록 합니다.
다른 옵션은 기업 거버넌스에 정보 보안 거버넌스를 통합하는 최선의 방법이 아닙니다. 비즈니스 대표가 있는 정보 보안 운영 위원회를 구성하는 것보다 포괄적이고 효과적이며 영향력이 낮기 때문입니다. 잘 문서화된 정보 보안 정책과 표준은 정보 보안 프로그램 및 전략의 중요한 구성 요소이지만, 비즈니스 요구 사항, 우선순위 또는 기대 사항을 반영하거나 이에 부합하지 않을 수 있으며 조직 전체에 적절하거나 일관되게 전달, 구현 또는 시행되지 않을 수 있으므로 정보 보안 거버넌스를 기업 거버넌스에 통합하기에 충분하지 않습니다. 조직 전체의 명확한 권한 계통은 정보 보안 거버넌스 구조에 중요한 요소이지만, 정보 보안에 책임이 있거나 영향을 받는 고위 임원, 관리자 및 기타 이해 관계자의 참여, 참여 또는 지원을 보장하지 못할 수 있으므로 정보 보안 거버넌스를 기업 거버넌스에 통합하기에 충분하지 않습니다. 고위 경영진의 정보 보안 전략 승인은 정보 보안 거버넌스 프로세스의 중요한 결과이지만, 정보 보안 거버넌스를 기업 거버넌스에 통합하기에는 충분하지 않습니다. 정보 보안 전략과 비즈니스 전략의 연계, 소통 또는 모니터링을 보장하지 못할 수 있으며, 정보 보안 관리자와 정보 보안 팀의 책임, 책무 또는 권한을 보장하지 못할 수 있기 때문입니다.12 참고문헌 = CISM 도메인 1: 정보 보안 거버넌스(ISG) [2022년 업데이트], CISM®을 위한 정보 보안 거버넌스 | Pluralsight, 정보 보안과 비즈니스 전략의 연계 - ISACA, 정보 보안과 비즈니스 목표의 연계 - ISACA
