earticle

영어

Many corporations have increased thier investment in information technology (IT). In most corporations, more IT investment results in much higher productivity. On the other hand, most corporations are exposed to direct and indirect IT risk such as hacking, leakage of information, system destruction. Thus corporations have to establish information security systems. Information security means physical and logical correspondence against several threats and disaster. In the past, researches on information security focused on solutions against individual IT threats. Recently, researches have paid more attention to risk management for various IT threats together. For example, some corporations are establishing or plan to establish IT risk governance framework. In this paper we deal with not only IT governance issues but also IT architecture issues becasue corporations should integrate various IT risk solutions and manage them in an enterprise perspective. This paper attempts to apply Enterprise Architecture (EA) concept to IT risk framework. In this paepr we propose security architecture as a part of Enterprise Architecture and we also review the benefits and costs of security architecture.

한국어

기업들은 정보기술 리스크(IT Risk)에 대하여 어떻게 대처하고 있을까? 금융기관이나 공공기관 은 태생적으로 이미 위험관리를 적극적으로 수행하고 있다. 정보기술에 대한 위험관리도 지난 10년 동안 전산망 마비, 해킹 사고, 디도스 공격, 고객정보 유출 등을 겪으면서 적극적으로 대응해 왔다. 특 히 2011년 농협사태는 IT 성과보다는 IT 보안을 훨씬 중요하게 보는 계기가 되었다. IT 보안 인력과 예산이 대폭 강화되고 망분리 사업이 추진되는 것이 대표적인 사례이다. 하지만 그동안 IT 위험관리 는 특정 기술에 대한 사전 대응 및 사후 대응 강화에 집중되었다. 현재 IT 위험관리는 단편적 관리에 서 종합적 관리로 전환되고 있다. 최근에 많은 기업들이 전사 차원의 정보기술 리스크 거버넌스(IT Risk Governance) 체계를 구축하고 있거나 구축하는 계획을 갖고 있다. 하지만 아직도 IT보안은 전 사적으로 통합되지 못하였으며, IT 위험관리 프로세스는 조직에 내재화 되지 못하였고, IT 성과관리 와 연계성은 고려하지 못하고 있다. 본 논문에서는 IT 관리와 기술을 효과적으로 연계하기 위하여, 그 리고 IT 성과와 IT 위험을 균형되게 관리하기 위하여 엔터프라이즈아키텍처(EA: Enterprise Architecture) 활용을 제안하고자 한다.