컨설팅의 주요 부분은 Baseline Approach를 통하여 결과를 도출하게 되는데, 이 때 기준선이 되는 평가지표들(Metrics)은 ISO27001이나 ISMS 등의 표준에서 요구하는 항목들이 된다. 진단이 끝나게 되면 해당 요건의 만족 여부를 근거로 이를 통계를 낸 후 수치화를 시키게 된다.
많은 조직에서 이 수치화 된 결과 점수에 꽤나 신경을 쓰는 편이다. 보고를 하게 되면 유사한 타사의 점수가 어느정도인지 비교할 수 있도록 해달라는 요청도 하곤 한다. 그런데, 과연 이런 비교가 의미가 있는가?
우선 평가지표의 의미를 되돌아보자.
평가지표의 목적은 결과적으로 산정되어 나오는 특정 된 수치가 아니다. 조직에서 그 동안 놓치고 있던 분야에 대한 인사이트를 얻고, 이를 바탕으로 투자 등 의사결정을 하는 것이 그 목적이다.
이번엔 평가 결과로 도출 된 최종 점수를 타 조직의 결과와 비교하는 것이 어느정도 의미가 있는 것을까?
정보보호와 관련하여 나무로 된 물통 모양 그림이 많이 인용이 된다. 이는 전체가 최소량인 부분에 지배된다는 리비히의 '최소량의 법칙'을 의미한다.
평가지표의 분야 별로 취합한 결과를 평균을 내서 도출 된 최종 점수는, 최소량의 법칙을 상기해보면 그다지 의미가 없는 것이라는 사실을 쉽게 떠올릴 수 있을 것이다.
'Work Log > As Cybersecurity Consultant' 카테고리의 다른 글
| 산업용제어시스템(ICS, Industrial Control System)의 사이버보안과 기존 정보보안과는 무엇이 다를까? (0) | 2014.06.17 |
|---|---|
| 통합로그관리시스템(통합로그분석시스템, SIEM) 도입 시 고려사항 (0) | 2014.06.17 |
| 취약점평가, 위협평가 각각의 목적 (0) | 2014.05.20 |
| 위험관리란? (0) | 2014.03.31 |
| 정보보호 원칙 (0) | 2014.02.28 |