2014.06.11 23:00

정보보호 수준평가 지표의 의미, 결과 점수의 의미

컨설팅의 주요 부분은 Baseline Approach를 통하여 결과를 도출하게 되는데, 이 때 기준선이 되는 평가지표들(Metrics)은 ISO27001이나 ISMS 등의 표준에서 요구하는 항목들이 된다. 진단이 끝나게 되면 해당 요건의 만족 여부를 근거로 이를 통계를 낸 후 수치화를 시키게 된다.


많은 조직에서 이 수치화 된 결과 점수에 꽤나 신경을 쓰는 편이다. 보고를 하게 되면 유사한 타사의 점수가 어느정도인지 비교할 수 있도록 해달라는 요청도 하곤 한다. 그런데, 과연 이런 비교가 의미가 있는가?


우선 평가지표의 의미를 되돌아보자. 

평가지표의 목적은 결과적으로 산정되어 나오는 특정 된 수치가 아니다. 조직에서 그 동안 놓치고 있던 분야에 대한 인사이트를 얻고, 이를 바탕으로 투자 등 의사결정을 하는 것이 그 목적이다.


이번엔 평가 결과로 도출 된 최종 점수를 타 조직의 결과와 비교하는 것이 어느정도 의미가 있는 것을까?

정보보호와 관련하여 나무로 된 물통 모양 그림이 많이 인용이 된다. 이는 전체가 최소량인 부분에 지배된다는 리비히의 '최소량의 법칙'을 의미한다. 

평가지표의 분야 별로 취합한 결과를 평균을 내서 도출 된 최종 점수는, 최소량의 법칙을 상기해보면 그다지 의미가 없는 것이라는 사실을 쉽게 떠올릴 수 있을 것이다. 

글이 도움이 되셨다면 위의 추천 손가락 한방 꾹! 눌러주세요~



Trackback 0 Comment 0