- 프라이버시 자체는 컴퓨터 저장 데이터의 수집, 이용 또는 오용과 관련됨
- 많은 IS는 개인의 인식이나 동의 없이 수집되고 저장되고 이용되어진, 개인에 대한 데이터를 보유함 -> 정보 DB가 대개 올바로/정당하게 사용되지만, 오용의 잠재성이 모든 IS 내에 존재함
- 다음사항을 촉진함으로써 개인 프라이버시의 침해로부터 개인들을 보호하도록 하기 위한 프라이버시 입법 발효(몇 개 나라와 미국 내 몇 주)
○ 어떤 기록들이 수집되고, 유지되고, 이용되고 또는 배포되는지를 개인이 결정
○ 특정 목적을 위해 모아진 개인에게 속하는 기록들이 동의 없이 다른 목적에 이용 되거나 활용되는 것의 방지
○ 개인에 대해 보유된 그런 정보에 대해 기록을 교정하거나 수정할 기회를 개인이 확보
○ 보유된 정보가 의도된 사용을 위해 최신이고 정확하며 그런 정보의 오용에 대한 방어를 위 한 충분한 보호책이 존재한다는 결정
○ 이 조항들 하에 개인의 권리를 어기는 계획적 또는 의도적 행위의 결과로 발생한 손해에 대한 시민 소송
- 정보 특히 금융 정보가 국제적 경계를 넘고 암호화와 같은 통제가 입법으로 강제될 때, 많은 국제적 규제들이 존재함
-> 그런 경계를 넘는 데이터 흐름은 규제되지 않는 환경에서 인터넷 트래픽의 폭발과 함께 더욱 복잡하게 됨
2. 프라이버시
-
과거에 국가 : 지적재산권(IP; intellectual property)(어떤 무형재에 강행되는 권리) 창출 -> 저작권, 상표권, 특허와 거래 비밀을 포함-
컴퓨터와 컴퓨터 네트워크의 최신 확산에 경제가 점차 의존함-> 보호된 것들의 불법적인 재생산과 배포가 점점 쉽게 이루어짐
-
전통적인 지혜 : 저작권 보호가 컴퓨터 소프트웨어 산업을 보호하기 위해 중요 -> 조직의 정보 자체는 활용하는 소프트웨어만큼 보호하기에 중요한 것으로 됨-> 가장 중요한 정보와 거래 비밀의 일부는 컴퓨터상에 보유되고 네트워크에 연결되고 궁극적으로 대개 세계로 연결됨
* 거래비밀
: ‘그것을 알거나 이용하지 않는 경쟁자에 비해 우위를 확보하기 위해 비즈니스에서 사용된 어떤 공식, 패턴, 장치 또는 정보의 조합’-
조직의 저작권, 상표권, 특허가 IT 입법 내에서 법적인 보호를 보장 -> 선진 여러 나라에서 대단히 많은 시간과 노력이 소비됨- 입법적 조치 : 단지 침해가 일어난 후에 중요
- 감사자의 역할 :
실용적인 반대 조치가 그런 침해가 발생하지 않도록 관리에 의해 제 자리에 두어지는 것을 보장하는 것임* 반대 조치 : 저작권, 효과적인 접근 통제, 출입 관리, 생체적 인증, 디지털 서명과 공인기관을 포함할 수 있음 (-> 다른 장에서 추가 검토)
3. 지적재산권
1) 윤리적 문제
-윤리 문제는 미리 결정되어질 수 없다(Ethical issue is not cut and dried)
- 비즈니스 윤리 : 비즈니스가 정직, 진실, 공정, 모든 참여자들이 승자가 될 가능성이 일어난다는 전제하에 규칙을 설정함
-> 조직 내에 모든 이해관계자들은 조직과 모든 이해관계자들의 최선의 이익 속에서 행동할 윤리적 책임을 유지함
-> 비즈니스 윤리의 이해는 어떤 조직에서 관리진과 피 감사자들과 함께 일상적으로
상호작용하는 속에서 윤리적 문제와 딜레마 상황에 부딪히게 될 IS 감사자에게 필수적임
∴ 관리진이 의사결정 하게 되는 경제적 활동의 일반적 차원이 종종 윤리적 선택과 법률적 선택 사이에 긴장을 제시하는 것을 이해하는 것이 유용함
▣ 루소(Rossouw)는 세 가지 주요 영역을 확인함
① 거시 또는 시스템적 차원 : 정부 사이에 국가적으로 국제적으로 경제적 교환을 위한 기초를 결정하는 국가의 정치적 힘에 의해 결정된 정책 프레임워크
② 중간 또는 제도적 차원 : 공적 분야 실체, 개인 분야 실체와 개인들과 조직 밖에 사람들과 같은 경제적 조직들 사이의 관계
③ 미시 또는 조직 내 차원 : 조직 내에 경제적 활동과 개인들의 의사결정
4. 윤리적 문제와 행동강령
1) 윤리적 문제
- 윤리는 대개 개별 도덕 원칙들과 함께 섞이지만 실제 그것들을 넘어가게 됨
-> 개별 도덕 원칙들은 실용적이고 이상적 견지 양자로부터 문제를 제기하도록 설계되고, 그 경우에 이상주의는 종종 실용적인 것과 충돌될 것임, 전문가 관점에서 그런 것은 삶의 방식이 됨
- Weelwright(1935) : 의사결정상에 윤리의 영향을 정의할 때 세 가지 주요 요소들을 정의함
-> 윤리는 성찰적 선택을 요하는 문제를 포함하고, 윤리는 옳고 그른 지침을 포함하며, 윤리는 결정의 결과에 관심이 있음
- IS와 관련, 윤리 문제는 정보가 입력되고 관찰될 수 있고 관심의 특정영역 즉, 프라이버시, 정확성, 지적재산, 접근을 위한 이용을 공통적으로 포함함
-> 프라이버시 : 컴퓨터 저장 데이터의 수집, 이용 또는 남용을 다룸
-> 정확성과 그것의 위험 등가인 부 정확성(inaccuracy)은 컴퓨터화된 시스템의 사용이 제공된 정보의 정확성과 완전성에서 암묵적 신뢰를 포함하기 때문에 개인과 조직에 큰 혼란을 창출할 수 있음
-> 지적 재산권은 지적 재산권의 가치를 결정하는 사람뿐만 아니라 정보를 사거나 획득하는 권리를 가진 사람을 포함하는 정보의 소유권과 이용을 반영함
-> 윤리적 문제로 접근은 정보와 IS에 진입을 얻는 개인들의 능력과 관련된다.
4. 윤리적 문제와 행동강령
2) 기업 행동강령(Corporate Codes of Conduct) - 이 영역에서 공통 통제중의 하나는 기업 윤리 강령의 실행임
-> 그런 강령은 감독적(directive) 통제이며 '윤리적' 행위를 강제하지 않음
-> 윤리강령이 강령의 위반을 확인하기 위해 설계된 감독적 통제와 결합되고 교정(corrective) 통제가 그런 어김이 확인되는 곳에서 효과적 조치를 취하도록 설계되는 곳에서, 모집단의 지키지 않는 구성원을 배제하는 수단으로 통제들이 작용할 것임
- 행동강령(1987년 Treadway 위원회에 의해 권고되고 King Ⅱ에 의해 지지된) : 모든 조직을 위해 설정 되어야 하고 실행되어야 함 -> 조직의 정점에서 윤리적 목소리를 설정하도록 지원하고, 최상으로부터 하부까지 모든 수준에
적용되어야 함
->경영층과 종업원들 사이에 소통의 채널을 열어주며, 예를 들어 사기적인 보고의 예방을 지원함
4. 윤리적 문제와 행동강령
- 정직 : 의도적 사기가 없음
- 일체성 : 포함된 모두를 위한 하나의 행위 표준 - 도덕성 : 수락된 사회적 규범의 견지에서 행위
- 공정(equity) : 모두를 위해 동등한 취급을 가진 공정한 방법상의 행위 - 공평(equality) : 비즈니스 활동에서 경쟁하고 협력하는 공정한 기회의 제공
- 책임성 : 개인의 행위를 정확하게 기록하고 그런 행위에 대해 책임 있게 이해관계자들에게 귀속시키는 것 - 충성 : 개인이 거래를 가지는 모든 사람들에게 신뢰할 수 있는 몰입
- 존경 : 모회사, 자회사, 공급자, 고객의 가치에 대한 인식
행동강령은 다음을 포함하지만 여기에 한정되지 않는 가치의 공유된 이해에 기반을 둠
2) 기업 행동강령(Corporate Codes of Conduct)
- 위의 가치들은 대개 동의된 행동 강령을 위한 기초를 구성하는 가치 선언으로 정합됨 - 행동 강령은 전형적으로 다음 두 가지 형태를 취함
① 정직한 의도의 긍정적 선언(모두를 포용하지만 통제하기 불가능함)
② 타당치 못한 행위의 목록(감사하기 쉬우나 포괄적이기 어려움)
-> 가장 효과적인 것으로 관찰된 강령은 긍정적 일반화와 특정의 금지의 결합을 포함함
-> 강령은 수락할 수 있고 수락할 수 없는 행위의 기본 규칙을 포함하고 기밀성, 이해의 충돌, 기업 관행의 표준, 선물의 수락과 같은 기업 위상과 규칙들을 포함함
- 기업 윤리 딜레마의 행위 속에 다양한 이해관계자들 사이에 충돌하는 가치의 결과가 있게 되고, 해결될 일이 발생하는 것이 불가피함
- 다양한 사람들이 그들이 추구하는 다양한 가치를 가지기 때문에, 종종 어떤 가치가 옳거나 틀린 것인지 말하는 어떤 방법도 없게 될 수 있음
4. 윤리적 문제와 행동강령
1. Governance의 일반적 개념
: 종합적인 개념임- 사전적 의미
-> Governance : govern하는 행위, 프로세스 또는 힘
-> Govern : (국가, 도시, 조직 등)의 공적인 업무를 통제하고 지휘함, (국가, 도시, 조직 등)의 행위와 활동에 영향력을 미침
- 경영학/기업 실무에서 Corporate Governance
-> 회사에 관련된 이해 관계자들의 이해를 조정하고, 조정 후에 회사의 의사를 결정하는 방법, 결정된 사항의 집행 및 이에 대한 감시/감독
-> 이사회와 경영진들이 수행해야 할 일련의 책임과 업무수행 방법
-> 조직의 경영진, 소유자, 주주간의 일련의 관계와 다음 사항에 대한 구조를 제공하는 것 : 조직의 전반적인 목적을 달성, 이러한 목적을 달성할 수 있는 방법의 제시,
성과를 모니터 하는 방법의 서술
- 행정학 /정부 부문에서 Governance/e-Governance
-> 정부가 주도하는 통치(government)가 아닌 다양한 행위자들의 파트너십에 의한 협치(Governance)
-> 정부의 의사결정 과정에 모든 민간 이해 당사자들이 참여하는 새로운 국가 통치 및 관리 방식
IT Governance
2. IT Governance의 개념
- 협의적 : IT에 대한 투자 결정이나 현업과의 관계에 초점을 맞춘 정의
-> IT의 책임에 관련, IS와 현업 부서간의 영속적인 합의를 도출하고 구축하는 것(Alter, 1997) -> IT 투자에 누가, 언제 영향을 미칠 것인가의 문제(Hayes, 2002)
- 일반적인 관리(Management)와의 차이를 제시한 정의(Sohal, 2002)
-> Governance : 다른 사람들이 효과적으로 관리할 수 있는 환경의 구축, 계획수립, 업무조정, 평가, 가능한 조직의 최 고위 수준에서 수행
-> Management : 운영적인 의사결정, 기능적인 업무의 수행
- 광의적 정의
-> 기업의 전략과 IT 전략을 연계할 수 있는 조직 구조와 업무 프로세스에 관련된 문제 (LePree, 2002)
-> 조직 governance의 책임을 위임받은 사람들이 조직의 감독, 모니터링, 통제, 지휘 과정에서 IT를 고려하는 방법을 설명하는 용어 (IT Governance Institute, 2001)
- 종합한 정의
: IT의 경영적인 가치를 극대화할 수 있도록 IT의 개발, 운영, 활용 등 전반적인 사항들을 전사적이고 전략적인 차원에서 관리* 유사개념 : (SIS, Strategic Use of Is), (ITSM, IRM, Management of IT as a Business)
IT Governance
2. IT Governance의 개념
IT Governance
구 분 정 의
ITGI (2003)
이사회와 경영진의 책임 아래 수행되는 기업지배구조의 일부로, IT가 조직의 전 략과 목표를 유지하고 확장 할 수 있게 하려는 리더십, 조직구조, 프로세스
Gartner IT 자원을 적절하게 사용할 수 있도록 의사결정 권한과 책임 구조를 명확히 정립 하는 것
Weill & Ross
(2004) 바람직한 IT 사용을 장려하기 위한 의사결정 권한과 책임 체계를 정립하는 것 전성현
(2006)
기업 거버넌스 연장선상에서 엔터프라이즈 IT 활동의 효과성, 투명성, 책임성을 확보하고자 하는 노력
안연식 외 (2007)
IT 전략과 활동을 비즈니스 전략과 연계하여 기업 경영을 지원하고 IT 및 현업의 협의를 통한 투자 및 성과관리 체계, 효과적인 IT 자산관리에 대한 통제 및 규제 체제를 갖추는 효과를 위해 제시된 프레임워크
<표 1> IT 거버넌스의 연구자별 정의
3. IT Governance 체계의 도입 필요성
1) 기업 Governance의 중요성이 증가하고 있음
-> 1990년대 이래 전세계적으로 기업 Governance에 대한 중요성이 증가, OECD는 1999년 기업 거버넌스 원칙을 발표
-> 최근 2002년 SOX(Sarbanes-Oxley Act)법률, 2003년 BIS 발표 Basel ∥ -> 우리나라 : Governance에 관련된 법률을 제정 또는 개정
-> 이러한 법규와 제도들이 IT Governance를 구체적으로 명시하고 있지는 않지만
상기 사항이 추구하는 바를 위해서는 IT Governance 체계가 있어야 효과적 대응 가능 2) IT는 기업에 전략적이고 핵심적임 : IT의 중요성이 높은 기업들의 비중이 매우 높아짐 3) IT에 대한 기대를 중족시키지 못하고 있음 : IT에 대한 기대는 매우 높으나, 기대를 잘
충족시켜 주지 못함 4) IT에 막대한 투자와 큰 위험이 수반됨
-> IT에 대한 투자 비중이 증가 : 총 사무기기 투자액 중 IT 기기에 투자 비중이 1960년 3%, 1996년 45%로 증가, 통신/금융산업의 경우 이 비중이 75%에 이름(미국 상무성, 1998) -> 여러 위험이 수반 : 조직의 중요한 자원이 투여된 IT 자원에 대한 위험을 체계적으로
관리하기 위해서 IT Governance가 필요함
IT Governance
4. IT Governance의 목적 및 수단
- IT Governance의 궁극적인 목적 : IT를 통해서 조직에 제공할 수 있는 경영적인 가치를 극대화 하는 것, 단지 기술적인 성능만이 아니라 진정으로 조직에 기여할 수 있는 가치를 제공하는 것
1) IT와 경영의 전략적인 연계(Strategic Alignment)
-> IT와 경영간의 전략적인 연계 정도를 측정할 수 있는 가장 기본적인 척도는 경영계획(BP)과 정보시스템계획(ISP)과의 통합 정도임
2) IT 자원 관리(IT Resource Management)
-> 관리해야 할 IT 자원 : 데이터, 응용, 인프라, 시설 및 설비, 인력 등
-> 최근에 IT 자원 외에 프로젝트를 관리해야 할 IT 자원의 하나로 인식 : 프로젝트 포트폴리오 관리의 개념 및 이의 수행을 지원하는 솔루션들이 사용됨
3) IT 위험 관리(IT Risk Management)
-> IT에 다양한 위험을 감소시키거나 전가하거나 수용하기 위한 위험 관리가 필요 4) 성과 모니터링
-> IT부분의 성과를 KPI(Key Performance Indicator), KGI(Key Goal Indicator) 등으로 측정하여, IT 프로세스 그 자체의 성과 및 경영적인 성과를 측정하고, BSC(Balanced Scorecard) 등의 기법을 통해서 조직 전반적으로 IT의 성과를 모니터링 하는 것이 필요
IT Governance
5. IT Governance 체계의 구성요소
- IT Governance의 체계를 수립하기 위해서는: IT 프로세스, 조직/제도, 인력, 도구 및 시스템(기술), 가치관/문화 다섯 가지 요소를 구축해야 함
1) IT 프로세스 : 여러 가지로 분류 가능, (예; Cobit의 프로세스, ITIL의 프로세스 등) 2) 인력 : 최적의 IT 서비스를 제공하는데 필요한 기술과 능력을 갖춘 인력을 양성하고
확보하는 것이 필요함
3) 조직/제도 : 최적의 IT 서비스를 제공할 수 있는 구조로 구성된 조직을 구성하고, 적절한 제도를 도입하여 시행해야 함
4) 도구 및 시스템
-> IT 프로세스를 자동화하고, 최적의 IT 서비스를 제공하는데 필요한 도구 및 솔루션 -> 이 요소가 있어야 ITSM의 효과를 제대로 실현할 수 있음
-> 최근 많은 솔루션 업체들이 ITSM에 관련된 솔루션을 출시하고 있음 5) 가치관/문화
-> IT Governance의 필요성 및 중요성에 대한 인식, 정해진 IT 프로세스의 준수 등에 대해서 조직이 공유하는 가치관을 말함
-> 조직의 문화는 IT 거버넌스에 매우 큰 영향을 미침(Applegate, et. al., 1996) -> 이러한 문화를 조직에 정착시키는 것은 매우 어렵고 시간이 많이 소요되는
일이지만, 진정한 효과를 실현하기 위해서는 반드시 확보되어야 할 요소임
IT Governance
6. IT Governance 국제표준화 및 정보시스템 감사의 역할
1) 국제 표준화 현황
○ ISO : ‘ISO/IEC 38500: 전사적 IT 거버넌스 (Corporate Governance of IT)’라는 국제
표준을 발표(2008) -> 이 표준의 유지관리는 ISO/IEC JTC1 산하의 WG6에서 담당 -> 조직의 이사진이 IT의 활용을 평가하고, 감독하고, 지휘하는데 활용할 수 있는
프레임워크를 제시하기 위한 목적으로 개발 - 주요내용
-> IT 거버넌스에 관련된 주요 정의 : IT 거버넌스(현재/미래의 IT 활용에 대한 방향을 제시하고 통제하는 체계로서, 여기에는 이사진이 조직을 지원할 수 있도록 IT 활용을 평가/지휘/계획 달성할 수 있도록 IT 활용을 감독하는 것이 포함된다고 정의), 이사진(조직의 최상위 거버넌스 기구에 속하는 사람으로, 소유자/이사회/파트너/고위경영자/법률의 승인을 받은 공무원이 포함된다고 정의)
-> IT 거버넌스 모델 : 현재 및 미래의 IT 활용을 평가하고, IT 활용이 경영목적을 충족시킬 수 있도록 계획과 정책의 수립 및 구현을 지휘하고, 정책의 준수, 계획 대비 성과를 감독하는 체계를 제시함
IT Governance
6. IT Governance 국제표준화 및 정보시스템 감사의 역할
1) 국제 표준화 현황
○ ISO : ‘ISO/IEC 38500: 전사적 IT 거버넌스 (Corporate Governance of IT)’라는 국제 표준을 발표(2008)
- 주요내용
-> IT 거버넌스를 위한 원칙
(1) 책임(Responsibility) : 조직원들의 IT 수요/공급에 관련된 책임을 이해하고 수용 (2) 전략(Strategy) : IT 전략계획은 조직 경영전략의 현재/미래의 니즈를
충족시켜야 함
(3) 획득(Acquisition) : IT 구매의 적절/지속 분석, 명확/투명 의사결정 바탕 수행 (4) 성과(Performance) : IT가 조직 목적 부합하도록 서비스/서비스수준/품질 제공 (5) 준수(Conformance) : IT가 모든 법규를 준수해야 함
(6) 인간 본위(Human Behavior) : IT 정책, 프랙티스, 의사결정 등은 인간 본위로 이루어져야 함
-> 원칙 실행을 위한 활동 : 6가지 원칙 각각에 대해 이사진이 수행해야 할 활동을 예시적으로 제시하고 있음
IT Governance
6. IT Governance 국제표준화 및 정보시스템 감사의 역할
2) 국제 표준화 발전 방향 및 향후 전망
- ISO에서 상기 표준 에 대해 추가적인 표준의 개발을 추진중
- 장기적으로 IT 거버넌스 국제표준은 현재 제정되어 있는 원칙 기반의 표준에서 인증 규격으로 진화할 가능성이 높음-> 조직의 IT 거버넌스 체계를 평가하여 적격성 여부를
인증해 주는 표준이 제정될 수 있음 3) IT 거버넌스 체계에서 IS 감사의 역할
- IT 거버넌스를 위해 조직의 거버넌스 기구가 조직의 IT 활용을 평가/지휘/감독해야 함 - 대표적 거버넌스 기구 : 이사회, 이사회 산하 위원회, 감사위원회
-> 이사회 : IT에 대한 세부/운영 사항 보다는 전략 사항, 대규모 투자 사항에 초점 -> 감사위원회 : 이사회에 비해 IT에 대한 보다 세부적이고, 운영적인 측면을 다룸
(예, 대형 IT 프로젝트의 실행을 감독, IT 관련 내부통제와 보안의 적절성 문제를 다룸) -> 이사진들이 대개 IT(범위/복잡성 높음) 관련 전문성을 갖추지 못함
-> 이사회와 감사위원회가 전문성 확보 보완 수단으로 IS 감사를 가장 많이 활용 -> IS 감사 : 이사진이 IT 거버넌스를 수행하는 것을 도와 줄 수 있음 (How?)