주) 연재 편의상 이전 연재물(22회)에 수록된 그림을 다시 보여드립니다.

거버넌스 패밀리에 관하여 초기에 발표된 도식 자료만 하더라도 EG의 대표적인 구성 요소로써 그림 22-1 처럼 BG와 CG로 표시하지 않고, BG 대신에 IT 거버넌스를 CG와 함께 나타내는 경우가 있었는데, 요즈음 문헌에는 상기 그림처럼 IT 거버넌스를 표시하지 않는 경향을 보이고 있다. 그러면서, CG와 비교하여, IT 거버넌스를 미래지향적, 그리고 CG를 과거와 현재 중심의 스튜어트십(stewardship : 재산 관리)으로 해석하고 있다.

그러나, BG와 CG를 그대로 두고, 조직의 모든 IT 관련된 요소만을 추출하여 IT 거버넌스로 규정하는 방안이 더욱 일반적인 시각으로 간주할 수 있다. 다시 말하면, 지금까지 살펴본 바와 같이, IT 전략과 기업 목적의 연계, IT 위험관리, IT 자원 관리, IT 성과 관리 그리고 IT 가치 제공을 중심으로 하여 별도의 EG 구성 요소로써 정의하는 방안이다.

다음으로, BG, CG 그리고 IT 거버넌스 이외의 미완성 사각형을 채울 수 있는 EG의 추가적 구성요소들은 어떠한 것들이 있겠는가? 추가적 구성 요소를 발굴하는데 있어서 기준이 될 수 있는 것은 다음 질문의 답이 될 것이다.

-서로 구별되는 이사회의 의제(agenda)로 상정 가능한 것들은 무엇인가? 혹은

-집행임원들이 관심을 갖고 있는 개별 사항들은 무엇인가?

한편, 이와 관련한 몇 가지 전제 조건을 밝히는 것이 명확한 의미 전달에 도움이 될 것이다. 그것은 첫째, ‘거버넌스’가 지닌 기본 원리를, 즉 스튜어드십(stewardship), (이사회에 의한) 경영진의 관리, 지배적인 감독(supervisor)/통제(control)/규율(discipline) 등을 모두 상속받는다는 점이다. 다만, 이 중에서 이사회가 지닌 경영진의 관리 만을 예외로 한다. 왜냐하면, 이미 EG의 주체를 모든 경영진으로 확대한다고 정의하였기 때문이다.

둘째, 소수의 문헌에 한정하여 등장하는 거버넌스 아류는 배제한다.(일부 주관적 시각도 포함될 수 있음)

셋째, 개인 또는 이해 단체의 의견은 가급적 배제하고 집단지성(위키피디아) 또는 공신력 있는 단체의 견해를 우선적으로 수용한다는 것을 전제로 한다. 다시 말해서, 이해관계에 얽힌 솔루션 제조/납품업자(vendor) 혹은 서비스 제공자 등 소수의 주장은 고려하지 않고, 널리 수용된 거버넌스 개념만을 전제로 한다.

넷째, 인터넷 거버넌스와 같은 정부(government) 차원에서의 거버넌스 개념도 제외한다. (즉, 비즈니스 분야로 한정)

위의 조건들을 충족하는 대표적인 것이 정보 보안 거버넌스 (Information security governance : ISG)이다. 이의 설명은 이해의 도움을 위하여 정보 보안 관리(Information security management : ISM)와 비교하기로 한다. 우선, ISM에서 보호의 초점이 정보 자체 보다는 그러한 정보를 처리하고 저장하는 IT 시스템에 맞춰져 있었다면, ISG는 컨텐츠, 정보 그리고 이에 기초한 지식을 취급, 처리, 전송 혹은 저장하는 방법에 관계없이 적절하게 보호되어야 한다는 보다 넓은 시각에서 접근한 것이다. 따라서, 활동 주체 역시 CIO 에서 이사회 및 CISO (chief information security office) 또는 CSO (chief security office)로, 그리고 활동 목적도 정보의 무결성/가용성/보안에서 보안전략방향제시 및 기업의 목적달성을 보증하는 것으로 그 중심이 옮겨진 것이다.

이번에는 IT 거버넌스와의 차이점을 살펴봄으로써 정보 보안 거버넌스에 대하여 보다 명확하게 이해를 돕고자 한다. 그렇지만 본 연재의 목적이 개별 거버넌스 식구들의 자세한 설명이 목적이 아니기 때문에 아래의 그림 23-1 ‘정보보안 거버넌스’를 인용하는 정도로 언급하고, 정보 보안 거버넌스에 대한 자세한 고찰은 추후 연재물에서 다루기로 한다.