CISA Domain 2 거버넌스, 위원회, 전략 기획

 

기업 거버넌스

• 이사회가 조직을 지휘 감시, 평가하는 시스템
• 이사회가 주주를 대신하여 조직을 이끄는 수단
• 거버넌스는 비전과 전략/방향을 제시하지만 경영은 비전과 전략을 실천한다.
• 궁극적 책임 :이사회와 고위 경영진
• 경영의 책임 :고위경영진

IT 거버넌스

• 가치 창출이 궁극적 목적
  • 가치 창출 : 위험을 최적화 하면서도 최적의 자원을 비용으로 편익을 실현하는것
  • 효과 실현 + 위험 최적화 + 자원 최적화
• 궁극적 책임 : 이사회와 고위 경영진
• 프로세스
  • 비즈니스 니즈에 따라 프로세스 동작
  • 조직 목적을 달성하기 위해 이해관계자들의 요구사항이나 조건 측정, 우선순위, 의사결정을 통해 방향 결정
  • 컴플라이언스 (거버넌스)
    • 평가(Evaluate)
    • 감독(Direct)
    • 모니터링(Monitoring)
  • 관리 (경영진)
    • 기획(Plan)
    • 구축(Build)
    • 운영(Run)
    • (운영) 모니터링(Monitoring)
  • 5가지 중점영역
    • 전략적 연계 : 경영 기획에 대한  IT계획의 상호 연계(CxO가 동의한 핵심성공요인, CSF)
    • 가치 제공
    • 자원 관리 : 핵심 IT 자원(정보, 인프라, 응용 등), 투자/인프라/지식관리 최적화
    • 위험 관리
    • 성과 측정 : IT BSC 구현
  • 촉진 요인
    • 고위 경영진의 IT 지원
    • 전략 개발 시 IT 관여
    • IT부문의 사업 이해
    • IT 리더십
  • 핵심 실무 관행
    • IT 전략위원회
    • 위험 관리
    • IT BSC

정보보안 거버넌스

• 기업 거버넌스의 필수 사항
• 가치 지표 : 기밀성, 무결성, 가용성, 지속성, 보호
• 정보보호에 대해 CxO가 관리되고, 궁극적 책임은 이사회에 있다.
• 이사회가 정보보안의 전략적 방향과 비전을 제시하고 이후 경영진이 모니터링
• 이사회가 위험평가와 BIA(Business Impact Analysis)를 정기적 수행
• 효익
  • 정책/표준에 준수 보증
  • 비즈니스 활동 중 정보보호에 대한 책임 추적성

---

IT 전략위원회(strategy committee)

• IT거버넌스에서 가장 선행되어야할 과정(경영전략을 IT전략으로 해석)
• 책임
  • IT 전략적 목표 성취
  • IT 비용 최적화
• 권한
  • IT 전략에 대한 이사회와 경영진에 자문 제공
  • 현재/미래 전략적 IT 문제 초점
• 구성
  • 이사회 임원 / 이사회 외 전문가

IT 운영위원회(조정/기획 위원회, steering committee)

• IT전략 실행을 위한 예산을 승인하고 프로젝트 우선순위를 결정
• 책임
  • IT 아키텍처 연계와 승인
  • 적절한 자원(예산/인프라) 확보와 할당
  • 주요 IT프로젝트를 승인하고 성과를 감시(IT 포트폴리오 관리 책임)
  • 위원회 회의의 공식적인 의사록 관리
• 권한
  • IT 서비스 제공/IT 프로젝트 일상 관리
  • 구현에 초점
• 구성
  • CIO, 고위 경영진, 자문역(IT, 법률, 재무..)

BI(Business Intelligence)

• 기업에서 데이터 수집, 정리, 분석하고 활용하여 의사결정을 하는 앱/기술의 집합
  • DB, DW, ERP와도 연관되어 있어 넓은 의미로는 모든 분야 포함
• 목적 : 경쟁적 우위를 추구 및 법적인 요구사항 대응(GDPR)

IT BSC(Balanced Scorecard) IT 균형 성과표

• 조직 전략 달성을 위해 재무, 고객, 내부프로세스, 혁신(학습과 성장) 관점으로 핵심성장 지표(KPI)로 전환 관리
• IT에 대해 비즈니스 기여를 사용자 지향성으로 나타냄
• 전사 수준에서 구축된 성과지표(KGI)를 개인수준까지(KPI)로 하향 전개
  • 전략에 대한 전 조직 공유 가능
• 목적
  • 경영진의 이사회 보고 수단
  • 핵심 이해 당사자간 IT 목표 이해(IT성과/위험/역량에 대한 의사소통)

EA(Enterprise Architecture) 전사적 아키텍처

• IT자산을 구조적인 방법으로 문서화
• 중점사항
  • 전략적 연계
  • 가치 제공
• 목적
  • CEO/CIO 관점
    • 경영을 위한 투가 전략 지원
    • IT 비용 절감
  • IT 기획자 관점
    • 신기술 및 표준 동향 파악
    • 정보화 요구사항 파악
  • 관리자 관점
    • 비즈니스 프로세스 개선
  • 운영 및 개발 관점
    • 개발을 위한 아키텍처, 표준 제공

---

경영 전략 기획(BSP, Business Strategy Planning)

• 포괄적인 경영전략을 실천하기 위해 계획을 수립하는 과정
• 3년~5년에 걸친 전략 계획

IT 전략 계획(ISP, IT Strategy plan)

• 고위 경영진이 IT 전략을 실행하기 위한 계획
• 수립과 실행의 책임 : IT 운영위원회
• 실행을 위해 IT부서를 총괄감독하고 관리할 책임 : CIO
• 효과적인 IT 전략 계획 고려
  • 기업의 전략적 방향 파악 > 비즈니스 목표과 과제로 전환 > IT 역량
  • 현재 시스템 포트폴리오 검토
• IT 감사인의 ISP 관한 역할
  • IT 전략계획이 전사적인 비즈니스 전략과 연계되어 있는지 검토
  • CIO와 IT고위 경영진이 BSP에 참여했는지 확인