□ 영국 과학혁신기술부(DSIT)와 국가사이버보안센터(NCSC)는 조직의 이사회와 임원들이 사이버 리스크를 효과적으로 관리할 수 있도록 『Cyber Governance Code of Practice』를 발간함
- 이 코드는 사이버 보안 거버넌스를 위한 핵심 행동 기준을 제시하며, ‘사이버 거버넌스 교육’, ‘이사회용 사이버 보안 도구’와 함께 제공됨
- 중대형 조직을 주 대상으로 하나, 중소기업도 적용 가능하며 자산 보호, 규제 준수, 전략 수립 등에 필요한 지침 포함
□ 이 코드는 사이버 보안 거버넌스를 5개 영역으로 구분하여 각 영역별 구체적인 행동지침(Action)을 제시함
▲리스크 관리(Risk Management): 중요 자산 식별, 리스크 소유권 설정, 공급망 리스크 점검, 정기적 리스크 평가 등
▲전략(Strategy): 조직 전략과의 정합성 확보, 규제 준수, 자원 배분의 적절성 검토, 전략 이행 점검 등
▲인적 요소(People): 사이버 보안 문화 확산, 정책 명확화, 이사회의 사이버 리터러시 강화, 교육 효과 측정 등
▲사고 대응 및 복구(Incident Response): 사고 대응 계획 수립, 정기적 모의훈련, 사후 평가 및 개선 체계 마련 등
▲감사 및 감독(Assurance and Oversight): 사이버 거버넌스 구조 확립, 정기 보고 체계, CISO 등과의 상호 소통 등
□ 보고서는 이사회와 임원들이 디지털 전환과 AI 등 기술 혁신에 대응하는 조직 회복탄력성 확보의 핵심 주체임을 강조함
- 사이버 전략을 조직의 경영 전략에 통합하여 기술 활용의 기반을 마련하고, 지속 가능한 보안 리더십을 통해 경쟁력 확보 가능
- ‘Cyber Essentials’ 및 AI/소프트웨어 보안 관련 코드와의 연계를 통해, 조직 전반의 사이버 보안 수준을 체계적으로 제고할 수 있도록 구성됨
- 이 코드는 사이버 보안 거버넌스를 위한 핵심 행동 기준을 제시하며, ‘사이버 거버넌스 교육’, ‘이사회용 사이버 보안 도구’와 함께 제공됨
- 중대형 조직을 주 대상으로 하나, 중소기업도 적용 가능하며 자산 보호, 규제 준수, 전략 수립 등에 필요한 지침 포함
□ 이 코드는 사이버 보안 거버넌스를 5개 영역으로 구분하여 각 영역별 구체적인 행동지침(Action)을 제시함
▲리스크 관리(Risk Management): 중요 자산 식별, 리스크 소유권 설정, 공급망 리스크 점검, 정기적 리스크 평가 등
▲전략(Strategy): 조직 전략과의 정합성 확보, 규제 준수, 자원 배분의 적절성 검토, 전략 이행 점검 등
▲인적 요소(People): 사이버 보안 문화 확산, 정책 명확화, 이사회의 사이버 리터러시 강화, 교육 효과 측정 등
▲사고 대응 및 복구(Incident Response): 사고 대응 계획 수립, 정기적 모의훈련, 사후 평가 및 개선 체계 마련 등
▲감사 및 감독(Assurance and Oversight): 사이버 거버넌스 구조 확립, 정기 보고 체계, CISO 등과의 상호 소통 등
□ 보고서는 이사회와 임원들이 디지털 전환과 AI 등 기술 혁신에 대응하는 조직 회복탄력성 확보의 핵심 주체임을 강조함
- 사이버 전략을 조직의 경영 전략에 통합하여 기술 활용의 기반을 마련하고, 지속 가능한 보안 리더십을 통해 경쟁력 확보 가능
- ‘Cyber Essentials’ 및 AI/소프트웨어 보안 관련 코드와의 연계를 통해, 조직 전반의 사이버 보안 수준을 체계적으로 제고할 수 있도록 구성됨
