구체적인 사용 사례는 다양할 수 있지만 대부분의 문제 관리 프레임워크는 기본적으로 5가지 구성요소로 이루어져 있습니다.

식별

비즈니스가 위험으로부터 스스로를 보호하려면 먼저 위험이 발생했을 때 이를 인식할 수 있어야 합니다. 위험 관리의 식별 구성요소는 위험 유니버스, 즉 조직과 그 자산이 직면한 발생 가능하며 알려진 모든 위험의 완전한 카탈로그를 정의하는 데 도움이 됩니다. 이러한 위험은 디지털 위험, ESG 위험, 벤더/타사 위험, 품질 위험, 비즈니스 연속성 위험, 인력 위험, 환경, 상태, 안전 위험, 윤리 및 규정 준수 위험, 개인 정보/법적 위험, 재무 위험, 운영 위험, 기술 또는 사이버 위험 등의 특정 범주로 분류해야 합니다. 잠재적인 위협과 불확실성에 대해 명확하게 이해하고 나면 비즈니스는 더 나아가 위험을 핵심 위험(성장을 견인하기 위해 필수적인 위험) 또는 비핵심 위험(가능한 경우 제거할 수 있으며 제거해야 하는 불필요한 위험)으로 구분해야 합니다.

평가 및 심사

위험 자체를 이해하는 것은 전체 과정의 일부에 불과합니다. 위험을 관리하려면 비즈니스는 특정 위험 또는 위험 범주의 가능성 측면에서 자신을 돌아보고 위험에 맞닥뜨리게 될 경우 조직이 잃을 수 있는 것이 무엇인지 파악해야 합니다. 이러한 위험을 계산할 때 비즈니스 위험의 전반적인 영향을 고려하는 것을 잊지 말아야 합니다. 그러면 피해 가능성과 발생 가능성을 기준으로 위험에 우선순위를 매겨 위험 임계치를 결정할 수 있습니다.

완화

위험을 식별하고 우선순위를 지정한 후 다음 단계는 효율적인 완화 계획을 수립하는 것입니다. 적절한 위험 완화 계획을 수립하면 비즈니스는 수용할 핵심 위험과 최소화 또는 제거해야 할 위험을 결정하고 어디서부터 시작해야 할지 판단할 수 있습니다. 이 시점에서 감사를 추적하고 기록하기 위해 효율적인 문제 또는 POA&M 관리 프로세스를 사용해야 합니다.

보고 및 모니터링

RMF 프로세스 전반에서 모니터링 및 보고는 여전히 중요한 과정입니다. 비즈니스와 산업에 따라 위험 관리 보고를 자동화하고 대시보드를 통해 이러한 정보에 실시간으로 액세스할 수 있어야 합니다. 현재 위험을 더 잘 설명하기 위해 위험 노출 요소를 조정하는 업무를 담당할 자격을 갖춘 위험 담당 직원뿐만 아니라, 실무 직원과 임원들도 이러한 대시보드에 액세스할 수 있어야 합니다. 검토와 승인을 위해 산업별 보고서를 생성해야 합니다. 적절한 위험 모니터링 및 보고는 확립된 표준에 대한 준수를 유지관리하는 데에도 중요한 역할을 수행할 수 있습니다.

Governance

위험 관리 프레임워크는 단지 비즈니스의 위험 관리를 지원하고 구조화하는 프레임워크입니다. 그 자체로 완벽한 위험 관리 솔루션이 아니므로, 프레임워크에서 수립된 사례를 채택하고 따르기 위해 관련된 모두에게 의존합니다. RMF 솔루션의 거버넌스 구성요소는 직원이 자신의 역할과 책임을 이해하고, 의무를 지정하고, 위험 관리 담당자의 권한을 수립하는 것을 돕기 위해 설계되었습니다.

위험 관리 프레임워크는 비즈니스의 모든 측면을 발생 가능한 위험으로부터 보호하기 위해 존재합니다. 이러한 측면에는 원치 않거나 결함 있는 제품, 변동성이 높은 시장, 제대로 수행되지 않는 비즈니스 계획 등이 있습니다. 하지만 디지털 시스템의 지속적인 확산에 따라 일부 조직이 오늘날 마주한 위험 대부분은 IT 시스템에 대한 위험입니다.

IT 위험 관리 프레임워크는 기업과 정부 기관이 발생할 수 있는 데이터 위험을 식별하고, 위험을 유발하는 시스템과 해당 위험을 방지하거나 수정하기 위해 선택할 수 있는 사항이 무엇인지 판단할 수 있도록 지원하기 위해 설계되었습니다. 다양한 RMF 표준에서 단계는 매우 유사합니다. 예를 들어 NIST RMF는 매우 엄격하며 미국 연방 정부 내 시스템을 승인하기 위해 사용됩니다. 이러한 단계는 기본적으로 5가지로 나눌 수 있습니다.

IT 시스템 분류

조직 내 모든 IT 시스템을 검토하고 분류합니다. 시스템 경계를 정의하고 어떤 유형의 정보가 시스템과 관련이 있는지 식별합니다. 마찬가지로, 조직 자체와 관련된 정보와 시스템의 운영 환경, 다른 시스템과의 연결, 그리고 의도된 용도를 고려합니다.

보안 제어 수단 선택 및 구현

다음으로, 적합한 보안 제어 수단을 선택합니다. 조직의 보안 제어 수단으로는 무결성과 시스템의 가용성을 보호하도록 설계되어 조직의 정보 시스템에 적용 가능한 관리, 운영, 기술 보호 장치가 있습니다. 특정 유형의 시스템과 정보에 서로 다른 보안 제어 수단을 구축하는 것이 당연히 보다 효과적이며, 적절한 제어 수단을 선택한다는 것은 적절한 보호와 시스템 취약성 간의 차이를 의미할 수 있습니다. 선택이 완료되면 해당 보안 제어 수단을 구현하고 사용 정책을 수립합니다.

보안 제어 수단 평가

보안 제어 수단을 구축했으면 다음 단계는 보안 제어의 기능과 성과를 평가하는 것입니다. 제어 수단이 제대로 설치되었으며 의도한 대로 운영되나요? 그렇다면, 필요한 보안 요구 사항을 충족하고 있나요? 그렇지 않다면, 제어 수단은 효과적으로 비즈니스 운영과 데이터를 보호하지 않을 것입니다.

정보 시스템 승인

보안 제어 수단을 구현했으면 이제 시스템에 사용할 수 있도록 제어 수단을 승인하여 작동하도록 해야 합니다. 제대로 구현될 경우 자동화된 RMF 워크플로우는 비즈니스를 보호하도록 작동해야 합니다.

(지속적으로) 보안 제어 수단 모니터링

시스템 보안 제어 수단을 승인하는 것은 IT 위험 관리의 마지막 단계가 아닙니다. 지속적으로 보안 제어 수단을 모니터링하면 위험 관리 프레임워크가 사용 수명 내내 작동 가능하도록 보장할 수 있습니다. 변경 사항을 문서화하고, 주기적으로 영향 분석을 실시하고, 계속해서 보안 제어 수단의 상태를 보고하여 지속적인 효과를 실현해야 합니다.

앞서 언급했듯이 비즈니스 위험은 어디에나 존재합니다. 또한 IT 시스템이 확장하고 진화함에 따라 최신 디지털 비즈니스 환경은 갈수록 복잡해지고 있습니다. 적절한 위험 관리 프레임워크는 조직이 이러한 환경을 탐색하는 과정을 도와 프로세스에 다양한 주요 이점을 제공합니다.

위험 관리 프레임워크의 가장 큰 이점은 다음과 같습니다.

공급망 보안 향상

최신 공급망은 점점 더 복잡해지고 있으며 상품, 자원, 제품 제공에 이를 활용하는 비즈니스에 상당한 위험을 초래합니다. 효율적인 RMF 솔루션은 조직이 날씨 보고, 소셜 미디어 추세, 전 세계 뉴스 보도 등 공급망과 관련된 데이터 흐름의 품질과 유용성을 개선할 수 있도록 만듭니다. 그 결과, 조직은 핵심 공급망에 영향을 미칠 수 있는 요소에 대해 정확한 인사이트를 더 잘 확보할 수 있습니다.

효율적인 자산 보호

비즈니스의 보안은 자산의 안전성에 좌우됩니다. 위험 관리 프레임워크는 관련 정보를 식별하고, 위험을 파악하여 우선순위를 지정하며, 조직이 신속하게 대응하여 떠오르는 위험을 완화하고 해결할 수 있도록 하여 이러한 자산을 보호하는 것을 돕습니다. 적절한 프레임워크는 일련의 표준과 작업 계획을 제공하여 비즈니스의 가장 중요한 자산을 안전하게 보호할 수 있도록 합니다.

신뢰할 수 있는 지적 자산 보호

이와 마찬가지로, 위험 관리 프레임워크는 도난과 악용으로부터 지적 자산을 보호하는 방법을 좌우합니다. 관련 데이터와 분명한 표준을 기반으로 비즈니스는 지적 자산이 더 잘 보호되며 도난 가능성이 최소화될 것임을 알고 안심하고 운영할 수 있습니다.

평판 관리 개선

비즈니스의 모든 수준에서 사용 가능하도록 구축된 보안과 운영 표준에 대한 명확한 기준을 수립하면 보안 프로세스를 일관되게 유지할 수 있습니다. 이를 통해 위험 완화를 개선하고 데이터 노출의 위험을 줄일 수 있습니다. 따라서 대중의 인식에 부정적인 영향을 미쳐 평판을 손상시킬 수 있으며 비용이 드는 실수로부터 비즈니스를 보호하는 데 도움이 됩니다.

강력한 경쟁업체 분석

경쟁적인 시장에서는 경쟁업체를 파악하는 것이 자신을 파악하는 것만큼이나 중요합니다. 위험 관리 프레임워크는 소셜 미디어, 블로그, 뉴스 보도 등과 같이 분산된 외부 정보 출처를 통합하여 조직이 경쟁자를 주시하면서 필요할 때 신속하게 대응할 수 있도록 합니다.

비즈니스가 위에 나열한 이점을 누리려면 먼저 요구에 가장 적합한 위험 관리 프레임워크를 선정해야 합니다. 현재 이용 가능한 RMF 솔루션은 다양하지만 다른 솔루션에 비해 여러 목적에 효과적으로 사용할 수 있는 옵션이 있습니다.

아래에서 최고 수준의 4가지 위험 관리 프레임워크를 간략하게 기술합니다.

FISMA 접근법

연방 정보 보안 현대화법(Federal Information Security Modernization Act, FISMA)은 미국 내 정부 체제와 기관에 법률로 지원되는 지침과 보안 표준을 제공하는 법안입니다. 하지만, FISMA 접근법은 광범위한 산업과 지리적 위치에 걸쳐 정부 기관이 아닌 조직에서도 채택되고 있습니다. 이 접근법은 효율적인 보안 제어 수단을 선택하고, 구현하며, 모니터링하는 일련의 단계로 이루어집니다.

ISO 31000 표준 프레임워크

ISO 31000은 위험 관리에 보다 일반적인 접근법을 취해 다양한 비즈니스 위험을 관리하기 위한 효율적인 수단으로서 설계되었으며, 기본적으로 모든 산업의 조직과 관련이 있습니다. ISO 31000 접근법을 적용하면 기업 전반에서 효율적인 위험 철학과 문화를 육성하는 데 도움이 되며, 위험 관리 프로세스의 일환으로 다양한 조직 프로세스와 역할, 책임을 형성합니다.

COSO 기업 위험 관리 프레임워크

FISMA 또는 ISO 31000만큼 유연하지는 않은 COSO 기업 위험 관리 프레임워크(Enterprise Risk Management Framework)는 전략, 운영, 규정 준수, 보고라는 4가지 범주로 이루어져 있어 전사적 구현이 효과적이지 않습니다. 그럼에도 불구하고 COSO는 위험 중심적인 문화를 수립하는 데 신뢰할 수 있는 접근법입니다.

NIST 위험 관리 프레임워크

National Institute of Standards and Technology(미국표준기술연구소, NIST) 프레임워크는 보안, 개인 정보 보호, 사이버 공급망 위험 관리를 시스템 개발에 통합하여 모든 산업에서 규모와 관계없이 모든 유형의 조직 내 신규 또는 레거시 시스템에 적용할 수 있습니다.

비즈니스가 경쟁력을 유지하려면 항상 어느 정도의 위험을 감수해야 합니다. 하지만 적절한 위험 관리 솔루션과 자원, 전략을 사용하면 조직은 효과적으로 해당 위험을 관리하면서 불확실한 미래에 대비하여 복원성과 연속성을 보장할 수 있습니다. IT 관리 및 워크플로우 자동화의 리더인 ServiceNow는 이러한 변화의 선두에 서 있습니다.

ServiceNow는 모두를 위해 더 나은 업무 환경을 만들어 가고 있습니다. ServiceNow는 기업이 규모와 관계없이 디지털 비즈니스 프로세스에 위험 관리, 규정 준수 활동, 지능형 자동화를 원활하게 통합하여 위험을 지속적으로 모니터링하고 우선순위를 지정할 수 있도록 지원합니다. ServiceNow Risk 솔루션은 엔터프라이즈 전체에서 비효율적인 프로세스와 데이터 사일로를 자동화되고 실행 가능하며 통합된 리스크 프로그램으로 전환하는 데 유용합니다. 위험 기반 의사결정 능력을 개선하고 조직의 전반적인 성과를 높이고 벤더와 함께 기업의 비즈니스의 위험을 실시간으로 관리하는 역량을 높일 수 있습니다. 또한 예산에 지장을 주지 않고 일상 업무에서 위험 정보에 입각한 결정을 내릴 수 있습니다.

ServiceNow는 기업이 규모와 관계없이 위험 관리 및 규정 준수를 디지털 환경과 워크플로우에 원활하게 통합할 수 있도록 지원하므로 직원과 조직이 보다 효율적으로 작업할 수 있습니다. 수상 경력에 빛나는 Now Platform을 기반으로 구축된 Risk Management는 완벽한 가시성과 통제 기능을 제공합니다. 중앙화된 단일 위치에서 위험과 중요한 정보를 식별하여 관리하고, 고위험 영역을 모니터링하고, 규정 미준수 통제 수단을 진단하고, 중요한 위험에 대한 자체 평가를 생성하고 일정을 수립합니다. 또한 고급 보고 및 분석, 기본 제공 지침 및 분류 체계 라이브러리, 고급 자동화 솔루션을 통해 조직은 예산에 지장을 초래하지 않으면서도 위험을 평가하고 대비하는 데 필요한 모든 것을 갖추게 됩니다.

ServiceNow의 Risk Management로 위험에 제대로 대비하여 얼마나 많은 성과를 거둘 수 있는지 알아보세요.