earticle

영어

As organizations face increasingly complex and diverse risks in modern society, the limitations of existing fragmented security measures become apparent. As a result, many organizations are adopting a risk-based security management approach that encompasses the entire organization, but the boundaries between security and risk management are not clear and conceptual confusion persists. This study aims to clarify the relationship between the two disciplines, redefine the concept of security management based on this, and examine the changes in the field. A systematic analysis of relevant standards and academic literature revealed that security management and risk management share substantially the same theoretical foundation in terms of purpose, conceptual definitions, basic principles, and management strategies. Additionally, it was confirmed that risk-based design of security standards, application of risk logic in security investment decision-making, and integration of risk into security governance are widespread trends in the modern security field. Based on this, security management was redefined as “the specialized application of risk management that systematically identifies, analyzes, evaluates, and addresses uncertainties that affect the achievement of an organization’s security objectives.” In other words, security management can be considered a type of risk management, essentially referring to security risk management. Furthermore, security management is shifting from existing individual and decentralized security activities to enterprise security risk management (ESRM). This means that security management is expanding from simple technical responses to the strategic risk management domain of the entire organization, and it shows a paradigm shift toward pursuing the efficient allocation of security resources and strengthening the organization’s integrated security capabilities through security governance.

한국어

현대 사회에서 조직들이 복합적이고 다양한 위험에 노출됨에 따라 기존의 단편적인 보안 대책 의 한계가 드러나고 있다. 이에 따라 많은 조직에서 조직 전체를 아우르는 리스크 기반의 보안관 리 방식을 채택하고 있으나, 보안관리와 리스크관리 간 경계가 명확하지 않아 개념적 혼란이 지 속되고 있다. 이 연구는 두 분야의 관계를 명확히 정립하고 이를 바탕으로 보안관리의 개념을 재 정의하며, 변화 양상을 고찰하는 것을 목적으로 한다. 관련한 주요 표준과 학술 문헌을 체계적으 로 분석한 결과, 보안관리와 리스크관리는 목적, 개념적 정의, 기본 원칙, 관리 전략에서 실질적 으로 동일한 이론적 기초를 공유하고 있음을 확인하였다. 또한 현대 보안 분야에서 보안 표준의 리스크 기반 설계, 보안 투자 의사결정의 리스크 논리 적용, 보안 거버넌스의 리스크 통합 경향 이 광범위하게 나타나고 있음을 확인하였다. 이를 바탕으로 보안관리를 ‘조직의 보안 목표 달성 에 영향을 미치는 불확실성을 체계적으로 식별, 분석, 평가, 처리하는 리스크관리의 전문화된 적 용’이라 재정의하였다. 즉, 보안관리는 리스크관리의 일종으로 본질적으로 보안 리스크관리를 의 미한다고 할 수 있다. 나아가, 보안관리는 기존의 개별적이고 분산된 보안 활동에서 전사적 보안 리스크관리(ESRM)로 전환되고 있다. 이는 보안관리가 단순한 기술적 대응에서 조직 전체의 전 략적 리스크관리 영역으로 확장되고 있음을 의미하며, 보안 거버넌스를 통해 보안 자원의 효율 적 배분과 조직의 통합적 보안 역량 강화를 추구하는 패러다임의 전환이 이루어지고 있음을 보여준다.