2. 프라이버시 - KOCWcontents.kocw.net › KOCW › document › 2014 › hanyang ›...

3.1 © 2010 by Prentice Hall

- 프라이버시 자체는 컴퓨터 저장 데이터의 수집, 이용 또는 오용과 관련됨

- 많은 IS는 개인의 인식이나 동의 없이 수집되고 저장되고 이용되어진, 개인에 대한 데이터를보유함 -> 정보 DB가 대개 올바로/정당하게 사용되지만, 오용의 잠재성이 모든 IS 내에 존재함

- 다음사항을 촉진함으로써 개인 프라이버시의 침해로부터 개인들을 보호하도록 하기 위한프라이버시 입법 발효(몇 개 나라와 미국 내 몇 주)

○ 어떤 기록들이 수집되고, 유지되고, 이용되고 또는 배포되는지를 개인이 결정○ 특정 목적을 위해 모아진 개인에게 속하는 기록들이 동의 없이 다른 목적에 이용 되거나

활용되는 것의 방지○ 개인에 대해 보유된 그런 정보에 대해 기록을 교정하거나 수정할 기회를 개인이 확보○ 보유된 정보가 의도된 사용을 위해 최신이고 정확하며 그런 정보의 오용에 대한 방어를 위

한 충분한 보호책이 존재한다는 결정○ 이 조항들 하에 개인의 권리를 어기는 계획적 또는 의도적 행위의 결과로 발생한 손해에

대한 시민 소송

- 정보 특히 금융 정보가 국제적 경계를 넘고 암호화와 같은 통제가 입법으로 강제될 때, 많은국제적 규제들이 존재함-> 그런 경계를 넘는 데이터 흐름은 규제되지 않는 환경에서 인터넷 트래픽의 폭발과 함께 더욱

복잡하게 됨

2. 프라이버시

시스템 감리론


- 과거에 국가 : 지적재산권(IP; intellectual property)(어떤 무형재에 강행되는 권리) 창출-> 저작권, 상표권, 특허와 거래 비밀을 포함

- 컴퓨터와 컴퓨터 네트워크의 최신 확산에 경제가 점차 의존함

-> 보호된 것들의 불법적인 재생산과 배포가 점점 쉽게 이루어짐

- 전통적인 지혜 : 저작권 보호가 컴퓨터 소프트웨어 산업을 보호하기 위해 중요

-> 조직의 정보 자체는 활용하는 소프트웨어만큼 보호하기에 중요한 것으로 됨-> 가장 중요한 정보와 거래 비밀의 일부는 컴퓨터상에 보유되고 네트워크에 연결되고

궁극적으로 대개 세계로 연결됨* 거래비밀 : ‘그것을 알거나 이용하지 않는 경쟁자에 비해 우위를 확보하기 위해 비즈니스에서

사용된 어떤 공식, 패턴, 장치 또는 정보의 조합’

- 조직의 저작권, 상표권, 특허가 IT 입법 내에서 법적인 보호를 보장

-> 선진 여러 나라에서 대단히 많은 시간과 노력이 소비됨

- 입법적 조치 : 단지 침해가 일어난 후에 중요

- 감사자의 역할 : 실용적인 반대 조치가 그런 침해가 발생하지 않도록 관리에 의해 제자리에 두어지는 것을 보장하는 것임

* 반대 조치 : 저작권, 효과적인 접근 통제, 출입 관리, 생체적 인증, 디지털 서명과 공인기관을포함할 수 있음 (-> 다른 장에서 추가 검토)

3. 지적재산권

시스템 감리론


1) 윤리적 문제

- 윤리 문제는 미리 결정되어질 수 없다(Ethical issue is not cut and dried)

- 비즈니스 윤리 : 비즈니스가 정직, 진실, 공정, 모든 참여자들이 승자가 될 가능성이일어난다는 전제하에 규칙을 설정함

-> 조직 내에 모든 이해관계자들은 조직과 모든 이해관계자들의 최선의 이익 속에서 행동할윤리적 책임을 유지함

-> 비즈니스 윤리의 이해는 어떤 조직에서 관리진과 피 감사자들과 함께 일상적으로상호작용하는 속에서 윤리적 문제와 딜레마 상황에 부딪히게 될 IS 감사자에게 필수적임

∴ 관리진이 의사결정 하게 되는 경제적 활동의 일반적 차원이 종종 윤리적 선택과 법률적선택 사이에 긴장을 제시하는 것을 이해하는 것이 유용함

▣ 루소(Rossouw)는 세 가지 주요 영역을 확인함

① 거시 또는 시스템적 차원 : 정부 사이에 국가적으로 국제적으로 경제적 교환을 위한 기초를결정하는 국가의 정치적 힘에 의해 결정된 정책 프레임워크

② 중간 또는 제도적 차원 : 공적 분야 실체, 개인 분야 실체와 개인들과 조직 밖에 사람들과같은 경제적 조직들 사이의 관계

③ 미시 또는 조직 내 차원 : 조직 내에 경제적 활동과 개인들의 의사결정

4. 윤리적 문제와 행동강령

시스템 감리론


1) 윤리적 문제

- 윤리는 대개 개별 도덕 원칙들과 함께 섞이지만 실제 그것들을 넘어가게 됨

-> 개별 도덕 원칙들은 실용적이고 이상적 견지 양자로부터 문제를 제기하도록 설계되고, 그 경우에이상주의는 종종 실용적인 것과 충돌될 것임, 전문가 관점에서 그런 것은 삶의 방식이 됨

- Weelwright(1935) : 의사결정상에 윤리의 영향을 정의할 때 세 가지 주요 요소들을 정의함

-> 윤리는 성찰적 선택을 요하는 문제를 포함하고, 윤리는 옳고 그른 지침을 포함하며, 윤리는 결정의결과에 관심이 있음

- IS와 관련, 윤리 문제는 정보가 입력되고 관찰될 수 있고 관심의 특정영역 즉, 프라이버시, 정확성,

지적재산, 접근을 위한 이용을 공통적으로 포함함

-> 프라이버시 : 컴퓨터 저장 데이터의 수집, 이용 또는 남용을 다룸-> 정확성과 그것의 위험 등가인 부 정확성(inaccuracy)은 컴퓨터화된 시스템의 사용이 제공된 정보의

정확성과 완전성에서 암묵적 신뢰를 포함하기 때문에 개인과 조직에 큰 혼란을 창출할 수 있음

-> 지적 재산권은 지적 재산권의 가치를 결정하는 사람뿐만 아니라 정보를 사거나 획득하는 권리를 가진사람을 포함하는 정보의 소유권과 이용을 반영함

-> 윤리적 문제로 접근은 정보와 IS에 진입을 얻는 개인들의 능력과 관련된다.


시스템 감리론


2) 기업 행동강령(Corporate Codes of Conduct)

- 이 영역에서 공통 통제중의 하나는 기업 윤리 강령의 실행임

-> 그런 강령은 감독적(directive) 통제이며 '윤리적' 행위를 강제하지 않음-> 윤리강령이 강령의 위반을 확인하기 위해 설계된 감독적 통제와 결합되고 교정(corrective) 통제가

그런 어김이 확인되는 곳에서 효과적 조치를 취하도록 설계되는 곳에서, 모집단의 지키지 않는구성원을 배제하는 수단으로 통제들이 작용할 것임

- 행동강령(1987년 Treadway 위원회에 의해 권고되고 King Ⅱ에 의해 지지된) : 모든 조직을 위해 설정되어야 하고 실행되어야 함

-> 조직의 정점에서 윤리적 목소리를 설정하도록 지원하고, 최상으로부터 하부까지 모든 수준에적용되어야 함

-> 경영층과 종업원들 사이에 소통의 채널을 열어주며, 예를 들어 사기적인 보고의 예방을 지원함


시스템 감리론

- 정직 : 의도적 사기가 없음

- 일체성 : 포함된 모두를 위한 하나의 행위 표준

- 도덕성 : 수락된 사회적 규범의 견지에서 행위

- 공정(equity) : 모두를 위해 동등한 취급을 가진 공정한 방법상의 행위

- 공평(equality) : 비즈니스 활동에서 경쟁하고 협력하는 공정한 기회의 제공

- 책임성 : 개인의 행위를 정확하게 기록하고 그런 행위에 대해 책임 있게 이해관계자들에게 귀속시키는 것

- 충성 : 개인이 거래를 가지는 모든 사람들에게 신뢰할 수 있는 몰입

- 존경 : 모회사, 자회사, 공급자, 고객의 가치에 대한 인식

행동강령은다음을포함하지만여기에한정되지않는 가치의공유된이해에기반을 둠


2) 기업 행동강령(Corporate Codes of Conduct)

- 위의 가치들은 대개 동의된 행동 강령을 위한 기초를 구성하는 가치 선언으로 정합됨

- 행동 강령은 전형적으로 다음 두 가지 형태를 취함

① 정직한 의도의 긍정적 선언(모두를 포용하지만 통제하기 불가능함)

② 타당치 못한 행위의 목록(감사하기 쉬우나 포괄적이기 어려움)

-> 가장 효과적인 것으로 관찰된 강령은 긍정적 일반화와 특정의 금지의 결합을 포함함

-> 강령은 수락할 수 있고 수락할 수 없는 행위의 기본 규칙을 포함하고 기밀성, 이해의 충돌,

기업 관행의 표준, 선물의 수락과 같은 기업 위상과 규칙들을 포함함

- 기업 윤리 딜레마의 행위 속에 다양한 이해관계자들 사이에 충돌하는 가치의 결과가 있게되고, 해결될 일이 발생하는 것이 불가피함

- 다양한 사람들이 그들이 추구하는 다양한 가치를 가지기 때문에, 종종 어떤 가치가 옳거나틀린 것인지 말하는 어떤 방법도 없게 될 수 있음


시스템 감리론


1. Governance의일반적개념 : 종합적인개념임

-사전적 의미

-> Governance : govern하는 행위, 프로세스 또는 힘-> Govern : (국가, 도시, 조직 등)의 공적인 업무를 통제하고 지휘함,

(국가, 도시, 조직 등)의 행위와 활동에 영향력을 미침

- 경영학/기업 실무에서 Corporate Governance-> 회사에 관련된 이해 관계자들의 이해를 조정하고, 조정 후에 회사의 의사를 결정하는

방법, 결정된 사항의 집행 및 이에 대한 감시/감독-> 이사회와 경영진들이 수행해야 할 일련의 책임과 업무수행 방법-> 조직의 경영진, 소유자, 주주간의 일련의 관계와 다음 사항에 대한 구조를 제공하는

것 : 조직의 전반적인 목적을 달성, 이러한 목적을 달성할 수 있는 방법의 제시, 성과를 모니터 하는 방법의 서술

- 행정학/정부 부문에서 Governance/e-Governance

-> 정부가 주도하는 통치(government)가 아닌 다양한 행위자들의 파트너십에 의한협치(Governance)

-> 정부의 의사결정 과정에 모든 민간 이해 당사자들이 참여하는 새로운 국가 통치 및관리 방식

IT Governance

시스템 감리론


2. IT Governance의개념

- 협의적 : IT에 대한 투자 결정이나 현업과의 관계에 초점을 맞춘 정의

-> IT의 책임에 관련, IS와 현업 부서간의 영속적인 합의를 도출하고 구축하는 것(Alter, 1997) -> IT 투자에 누가, 언제 영향을 미칠 것인가의 문제(Hayes, 2002)

- 일반적인 관리(Management)와의 차이를 제시한 정의(Sohal, 2002)

-> Governance : 다른 사람들이 효과적으로 관리할 수 있는 환경의 구축, 계획수립, 업무조정, 평가, 가능한 조직의 최 고위 수준에서 수행

-> Management : 운영적인 의사결정, 기능적인 업무의 수행

- 광의적 정의-> 기업의 전략과 IT 전략을 연계할 수 있는 조직 구조와 업무 프로세스에 관련된

문제 (LePree, 2002)-> 조직 governance의 책임을 위임받은 사람들이 조직의 감독, 모니터링, 통제, 지휘과정에서 IT를 고려하는 방법을 설명하는 용어 (IT Governance Institute, 2001)

- 종합한 정의 : IT의 경영적인 가치를 극대화할 수 있도록 IT의 개발, 운영, 활용 등전반적인 사항들을 전사적이고 전략적인 차원에서 관리

* 유사개념 : (SIS, Strategic Use of Is), (ITSM, IRM, Management of IT as a Business)

IT Governance

시스템 감리론


2. IT Governance의개념

IT Governance

시스템 감리론

구 분 정 의

ITGI

(2003)

이사회와 경영진의 책임 아래 수행되는 기업지배구조의 일부로, IT가 조직의 전략과 목표를 유지하고 확장 할 수 있게 하려는 리더십, 조직구조, 프로세스

GartnerIT 자원을 적절하게 사용할 수 있도록 의사결정 권한과 책임 구조를 명확히 정립하는 것

Weill & Ross

(2004)바람직한 IT 사용을 장려하기 위한 의사결정 권한과 책임 체계를 정립하는 것

전성현(2006)

기업 거버넌스 연장선상에서 엔터프라이즈 IT 활동의 효과성, 투명성, 책임성을확보하고자 하는 노력

안연식 외(2007)

IT 전략과 활동을 비즈니스 전략과 연계하여 기업 경영을 지원하고 IT 및 현업의협의를 통한 투자 및 성과관리 체계, 효과적인 IT 자산관리에 대한 통제 및 규제체제를 갖추는 효과를 위해 제시된 프레임워크

<표 1> IT 거버넌스의 연구자별 정의


3. IT Governance 체계의도입필요성

1) 기업 Governance의 중요성이 증가하고 있음

-> 1990년대 이래 전세계적으로 기업 Governance에 대한 중요성이 증가, OECD는1999년 기업 거버넌스 원칙을 발표

-> 최근 2002년 SOX(Sarbanes-Oxley Act)법률, 2003년 BIS 발표 Basel ∥-> 우리나라 : Governance에 관련된 법률을 제정 또는 개정-> 이러한 법규와 제도들이 IT Governance를 구체적으로 명시하고 있지는 않지만

상기 사항이 추구하는 바를 위해서는 IT Governance 체계가 있어야 효과적 대응 가능

2) IT는 기업에 전략적이고 핵심적임 : IT의 중요성이 높은 기업들의 비중이 매우 높아짐

3) IT에 대한 기대를 중족시키지 못하고 있음 : IT에 대한 기대는 매우 높으나, 기대를 잘충족시켜 주지 못함

4) IT에 막대한 투자와 큰 위험이 수반됨

-> IT에 대한 투자 비중이 증가 : 총 사무기기 투자액 중 IT 기기에 투자 비중이 1960년 3%, 1996년 45%로 증가, 통신/금융산업의 경우 이 비중이 75%에 이름(미국 상무성, 1998)

-> 여러 위험이 수반 : 조직의 중요한 자원이 투여된 IT 자원에 대한 위험을 체계적으로관리하기 위해서 IT Governance가 필요함

IT Governance

시스템 감리론


4. IT Governance의목적및수단

- IT Governance의 궁극적인 목적 : IT를 통해서 조직에 제공할 수 있는 경영적인 가치를극대화 하는 것, 단지 기술적인 성능만이 아니라 진정으로 조직에 기여할 수 있는 가치를제공하는 것

1) IT와 경영의 전략적인 연계(Strategic Alignment)-> IT와 경영간의 전략적인 연계 정도를 측정할 수 있는 가장 기본적인 척도는

경영계획(BP)과 정보시스템계획(ISP)과의 통합 정도임2) IT 자원 관리(IT Resource Management)

-> 관리해야 할 IT 자원 : 데이터, 응용, 인프라, 시설 및 설비, 인력 등-> 최근에 IT 자원 외에 프로젝트를 관리해야 할 IT 자원의 하나로 인식 : 프로젝트

포트폴리오 관리의 개념 및 이의 수행을 지원하는 솔루션들이 사용됨3) IT 위험 관리(IT Risk Management)

-> IT에 다양한 위험을 감소시키거나 전가하거나 수용하기 위한 위험 관리가 필요4) 성과 모니터링

-> IT부분의 성과를 KPI(Key Performance Indicator), KGI(Key Goal Indicator) 등으로측정하여, IT 프로세스 그 자체의 성과 및 경영적인 성과를 측정하고, BSC(Balanced Scorecard) 등의 기법을 통해서 조직 전반적으로 IT의 성과를 모니터링 하는 것이 필요

IT Governance

시스템 감리론


5. IT Governance 체계의구성요소- IT Governance의 체계를 수립하기 위해서는: IT 프로세스, 조직/제도, 인력, 도구 및

시스템(기술), 가치관/문화 다섯 가지 요소를 구축해야 함

1) IT 프로세스 : 여러 가지로 분류 가능, (예; Cobit의 프로세스, ITIL의 프로세스 등)2) 인력 : 최적의 IT 서비스를 제공하는데 필요한 기술과 능력을 갖춘 인력을 양성하고

확보하는 것이 필요함3) 조직/제도 : 최적의 IT 서비스를 제공할 수 있는 구조로 구성된 조직을 구성하고, 적절한

제도를 도입하여 시행해야 함4) 도구 및 시스템

-> IT 프로세스를 자동화하고, 최적의 IT 서비스를 제공하는데 필요한 도구 및 솔루션-> 이 요소가 있어야 ITSM의 효과를 제대로 실현할 수 있음-> 최근 많은 솔루션 업체들이 ITSM에 관련된 솔루션을 출시하고 있음

5) 가치관/문화-> IT Governance의 필요성 및 중요성에 대한 인식, 정해진 IT 프로세스의 준수 등에

대해서 조직이 공유하는 가치관을 말함-> 조직의 문화는 IT 거버넌스에 매우 큰 영향을 미침(Applegate, et. al., 1996)

-> 이러한 문화를 조직에 정착시키는 것은 매우 어렵고 시간이 많이 소요되는일이지만, 진정한 효과를 실현하기 위해서는 반드시 확보되어야 할 요소임

IT Governance

시스템 감리론


6. IT Governance 국제표준화및정보시스템감사의역할

1) 국제 표준화 현황

○ ISO : ‘ISO/IEC 38500: 전사적 IT 거버넌스 (Corporate Governance of IT)’라는 국제표준을 발표(2008) -> 이 표준의 유지관리는 ISO/IEC JTC1 산하의 WG6에서 담당

-> 조직의 이사진이 IT의 활용을 평가하고, 감독하고, 지휘하는데 활용할 수 있는프레임워크를 제시하기 위한 목적으로 개발

- 주요내용

-> IT 거버넌스에 관련된 주요 정의 : IT 거버넌스(현재/미래의 IT 활용에 대한방향을 제시하고 통제하는 체계로서, 여기에는 이사진이 조직을 지원할 수있도록 IT 활용을 평가/지휘/계획 달성할 수 있도록 IT 활용을 감독하는 것이

포함된다고 정의), 이사진(조직의 최상위 거버넌스 기구에 속하는 사람으로, 소유자/이사회/파트너/고위경영자/법률의 승인을 받은 공무원이 포함된다고정의)

-> IT 거버넌스 모델 : 현재 및 미래의 IT 활용을 평가하고, IT 활용이 경영목적을충족시킬 수 있도록 계획과 정책의 수립 및 구현을 지휘하고, 정책의 준수, 계획 대비 성과를 감독하는 체계를 제시함

IT Governance

시스템 감리론



1) 국제 표준화 현황○ ISO : ‘ISO/IEC 38500: 전사적 IT 거버넌스 (Corporate Governance of IT)’라는 국제

표준을 발표(2008) - 주요내용

-> IT 거버넌스를 위한 원칙(1) 책임(Responsibility) : 조직원들의 IT 수요/공급에 관련된 책임을 이해하고 수용(2) 전략(Strategy) : IT 전략계획은 조직 경영전략의 현재/미래의 니즈를

충족시켜야 함(3) 획득(Acquisition) : IT 구매의 적절/지속 분석, 명확/투명 의사결정 바탕 수행(4) 성과(Performance) : IT가 조직 목적 부합하도록 서비스/서비스수준/품질 제공(5) 준수(Conformance) : IT가 모든 법규를 준수해야 함(6) 인간 본위(Human Behavior) : IT 정책, 프랙티스, 의사결정 등은 인간 본위로

이루어져야 함-> 원칙 실행을 위한 활동 : 6가지 원칙 각각에 대해 이사진이 수행해야 할

활동을 예시적으로 제시하고 있음

IT Governance

시스템 감리론



2) 국제 표준화 발전 방향 및 향후 전망- ISO에서 상기 표준 에 대해 추가적인 표준의 개발을 추진중

- 장기적으로 IT 거버넌스 국제표준은 현재 제정되어 있는 원칙 기반의 표준에서 인증

규격으로 진화할 가능성이 높음-> 조직의 IT 거버넌스 체계를 평가하여 적격성 여부를인증해 주는 표준이 제정될 수 있음

3) IT 거버넌스 체계에서 IS 감사의 역할

- IT 거버넌스를 위해 조직의 거버넌스 기구가 조직의 IT 활용을 평가/지휘/감독해야 함

- 대표적 거버넌스 기구 : 이사회, 이사회 산하 위원회, 감사위원회

-> 이사회 : IT에 대한 세부/운영 사항 보다는 전략 사항, 대규모 투자 사항에 초점

-> 감사위원회 : 이사회에 비해 IT에 대한 보다 세부적이고, 운영적인 측면을 다룸

(예, 대형 IT 프로젝트의 실행을 감독, IT 관련 내부통제와 보안의 적절성 문제를 다룸)-> 이사진들이 대개 IT(범위/복잡성 높음) 관련 전문성을 갖추지 못함-> 이사회와 감사위원회가 전문성 확보 보완 수단으로 IS 감사를 가장 많이 활용

-> IS 감사 : 이사진이 IT 거버넌스를 수행하는 것을 도와 줄 수 있음 (How?)

IT Governance

시스템 감리론

2. 프라이버시 - KOCWcontents.kocw.net › KOCW › document › 2014 › hanyang ›...

Documents

Transcript of 2. 프라이버시 - KOCWcontents.kocw.net › KOCW › document › 2014 › hanyang ›...