728x90
ESG(환경(Environment)·사회(Social)·지배구조(Governance)) 경영관리에서 평가항목은 표준화된 틀은 없지만, 주요 ESG 평가 기관 및 국내 가이드라인들을 참고하면 공통적으로 사용되는 핵심 항목들이 있습니다. 아래에 ESG 경영관리에서 자주 쓰이는 평가축과 세부항목들을 개념, 점검 포인트, 활용 사례입니다.
ESG 평가체계의 기본 구조 및 배경
- ESG는 비재무 요소를 기업의 지속가능성과 리스크 관리 관점에서 점검하는 틀입니다.
- 다양한 ESG 평가 기관(예: MSCI, Sustainalytics, 국내 한국기업평가, KCGS 등)의 모델이 있으나, 각 기관마다 가중치, 세부지표, 정성평가 방식 등이 다릅니다.
- 국내에서는 K-ESG 자가진단 가이드라인 등도 제시되어 있으며, 27개 사회가치 항목과 61개 진단항목 수준으로 구성되어 있습니다.
- 한국기업평가의 ESG 평가모형은 환경, 사회, 지배구조를 기준으로 6개 카테고리씩, 총 18개 카테고리를 대상으로 평가하는 구조를 사용합니다.
- 일부 기관은 지배구조(G)의 비중을 상대적으로 높게 배치하여, ESG 활동이 조직의 구조와 제도 안에서 제대로 작동하고 있는지를 중점적으로 본다는 평가 철학을 갖기도 합니다.
주요 평가영역과 세부 항목 (평가지표)
아래는 환경·사회·지배구조 각 영역에서 자주 등장하는 평가항목과 점검 포인트입니다.
| 영역 | 주요 평가 카테고리 | 대표 항목 / 점검 포인트 | 내부 관리 또는 점검 시 고려사항 |
|---|---|---|---|
| 환경 (E) | 기후변화 / 온실가스 | Scope 1, 2, 3 배출량, 배출량 변화율, 목표 설정 & 감축 계획 | 배출원 식별, 배출 계측·검증 시스템 구축 |
| 에너지 / 자원 효율 | 에너지 소비량, 재생에너지 사용 비율, 전력·용수 이용 효율성 | 에너지 관리 시스템(EMS) 도입, 절감 프로젝트 | |
| 수자원 / 오염배출 | 용수 사용량, 폐수 배출 및 처리, 수질오염 물질 배출량 | 폐수처리 시설, 배출허용 기준 준수 여부 | |
| 폐기물 / 자원순환 | 폐기물 발생량, 재활용율, 유해폐기물 관리 | 분리수거 체계, 순환자원 활용 계획 | |
| 친환경 제품 / 기술 | 친환경 제품 매출 비중, 녹색기술 개발, 인증 (예: 친환경 인증) | 제품 설계 단계부터 지속가능성 고려, R&D 투자 | |
| 환경 거버넌스 / 전략 | 환경 리스크 관리 시스템, 환경 경영 정책, 관련 조직/책임자 | 환경위원회 구성, 내부 책임체계 수립 | |
| 사회 (S) | 고용 / 인적자본 | 정규직 비율, 직원 다양성(성별·연령·장애인 등), 이직률, 근속연수 | 인사 정책, 다양성 전략, 복지 프로그램 |
| 안전 / 보건 | 산업재해율, 사고 건수, 안전 교육 시간, 보건 인증 (예: ISO 45001) | 안전관리 시스템, 예방 체계, 사고 대응 매뉴얼 | |
| 인권 / 노동권 | 노동조합 활동, 차별금지 정책, 아동/강제노동 금지, 노동시간 준수 | 인권 정책 수립, 내부 고충처리 절차 | |
| 제품 / 소비자 책임 | 제품 안전성, 리콜 실적, 고객 불만/민원 건수, 보증 서비스 | 품질 관리 시스템(QM), 고객 대응 체계 | |
| 정보보호 / 프라이버시 | 개인정보 유출 건수, 정보보호 인증 (ISO 27001 등), 보안 침해 사고 대응 | 보안 조직/정책/기술, 사고 대응 및 복구 체계 | |
| 공급망 책임 / 윤리경영 | 협력업체 ESG 평가, 반부패 계약 조항, 윤리강령 준수 | 공급망 실사, 윤리 교육, 모니터링 | |
| 지역사회 / 사회공헌 | 기부금액, 봉사활동 참여 시간, 지역사회 개발 프로젝트 | 전략적 CSR 계획, 이해관계자 소통 | |
| 지배구조 (G) | 이사회 구성 / 운영 | 사외이사 비율, 독립성, 다양성, 전문성, 위원회 구성 | 이사회 리스크 관리 구조, 위원회 역할 명확화 |
| 임원 보상 / 인센티브 | 보상 구조의 투명성, 성과 연계 여부, 장기 인센티브 제도 | 성과지표 연계 계획, 보상위원회 절차 | |
| 주주권리 / 주주소통 | 전자투표제, 의결권 행사 지원, 소수주주 보호 제도 | 주주총회 운영 체계, 의결권 행사 절차 | |
| 내부통제 / 리스크 관리 | 내부감사 조직, 내부통제 제도, 리스크 식별·관리체계 | 리스크 매핑, 내부감사 주기, 통제 점검 | |
| 윤리 / 반부패 | 내부 고발 제도, 부패 사건 이력, 윤리강령 및 교육 | 익명신고 시스템, 감시·처벌 체계 | |
| 공시 투명성 / 보고 | 회계 투명성 (회계기준 위반 이력 등), 공시 지연/불성실 여부, ESG 보고서 수준 | 보고 체계 정비, 외부 검증 또는 감사 |
참고: 한국기업평가는 위 항목을 카테고리화하여 환경 6개 / 사회 6개 / 지배구조 6개로 나누고, 각 카테고리마다 다수의 세부지표로 평가합니다.
평가항목 선정 시 유의사항 및 실제 적용 시점의 체크포인트
ESG 경영관리를 위해 평가항목을 조직 내부에 적용할 때는 다음과 같은 관점에서 설계하고 점검하는 것이 중요합니다.
| 고려 관점 | 주요 체크포인트 | 내부 가이드 / 점검 포인트 |
|---|---|---|
| 산업 특성 반영 | 업종별로 중요성이 다른 ESG 이슈가 있음 | 예: 제조업은 배출/폐기물 관리, 서비스업은 개인정보보호 등이 더 중요 |
| 정량 vs 정성 균형 | 정량지표가 가능하면 수치로, 정성 평가도 병행 | 정량은 배출량, 이직률 등; 정성은 정책의 질, 거버넌스문화 등 |
| 데이터의 신뢰성 | 데이터를 수집/보관/검증할 수 있어야 함 | 외부 검증, 내부 감사 체계, 데이터 수집 프로세스 |
| 투입 대비 유용성 | 모든 지표를 다 측정하기보다, 핵심 지표 위주로 정의 | KPI를 중심으로 핵심지표 선정 |
| 내재화 가능성 | 조직 문화나 제도로 뒷받침되어야 지속 가능 | 책임 주체 명확화, 인사/성과 체계에 반영 |
| 공시 및 외부 평가 연계 | 외부 ESG 평가 기관 기준과 연계 고려 | MSCI, S&P, 국내 ESG 등급 모델 비교 분석 |
| 피드백 및 개선 루프 구성 | 단순 지표 측정보다 개선과 재점검이 중요 | 연간 리뷰, 내부 감사, 개선 계획 수립 및 실행 |
내부 사용자/조직에게 제시할 수 있는 보안 관점 가이드 및 점검포인트
특히 ESG의 “사회(S)” 영역과 “지배구조(G)” 영역에서는 보안 및 정보 보호가 중요한 요소로 다뤄지기 때문에, 보안팀 관점에서는 다음과 같은 가이드가 유용합니다.
| 보안관점 항목 | 점검 내용 | 제안 가이드 / 체크리스트 |
|---|---|---|
| 개인정보 보호 및 프라이버시 | 개인정보 유출 사건 여부, 민감정보 취급 체계 | 개인정보 보호 정책, 암호화, 권한 관리, 접근 통제 |
| 정보보안 인증 | ISO 27001, ISMS-P, GDPR 대응 여부 | 인증 획득 추진 및 유지, 내부 감사 |
| 보안 사고 대응 / 침해 관리 | 사고 발생 건수, 대응 체계 | 사고 대응 프로세스, 모의 훈련, 포렌식 대비 |
| 보안 거버넌스 구조 | 보안 조직, 책임자, 위원회 구성 | CISO 역할 정의, 보안 위원회 설치 |
| 협력사 보안 관리 | 공급망 보안 수준, 협력사 보안 평가 | 협력사 보안 기준 제정, 실사, 계약 조항 포함 |
| 내부 통제와 접근 권한 | 내부자 위협, 권한 남용 | 최소 권한 원칙, 권한 점검, 로그 감시 |
| 보안 교육 / 인식 제고 | 임직원 보안 인식도, 교육 참여율 | 정기 보안 교육, 피싱 훈련, 보안 캠페인 |
| 공시 및 투명성 | 보안 관련 사고 및 리스크 공시 | 공개 가능 범위 내 보안 이슈 공시, 경영층 보고 |
예를 들어, ESG 보고서나 지속가능성 보고서 작성 시 보안 사건이 발생한 경우의 대응, 개인정보보호 노력, 내부 보안 거버넌스 현황 등은 평가기관이나 투자자에게 중요한 정보가 됩니다.
적용 예시 흐름 (프로세스)
- 이해관계자 요구 파악
→ 투자자, 규제 기관, 고객, 협력사 등이 중요시하는 ESG 이슈 수집 - 핵심 이슈 선정
→ 업종 특성, 리스크 요인, 전략적 중요도 고려하여 주요 항목 선정 - 지표 및 KPI 정의
→ 정량 지표 (예: 온실가스 배출량, 이직률, 사고율 등) + 정성 지표 (정책의 질, 거버넌스 구조 등) - 데이터 수집 및 관리 체계 구축
→ 데이터베이스, 내부 보고체계, 검증 절차 마련 - 정기 측정 및 모니터링
→ 분기 혹은 반기 단위 측정, KPI 대비 실적 분석 - 분석 및 개선 활동
→ 갭 분석, 이슈 원인 분석, 개선 계획 수립 - 공시 및 외부 보고
→ 지속가능경영 보고서, ESG 보고서, 평가기관 응답 등 - 내부 감사 및 피드백 반영
→ 내부감사 또는 외부 검증, 피드백 바탕 개선 사이클 지속
IT 업종(소프트웨어, 플랫폼, 클라우드, SI/솔루션 기업 등)에서 ESG 경영관리 중 정보보호 / 보안 관점으로 평가할 수 있는 항목들입니다. 특히 보안 리스크가 높은 IT 회사 특성을 반영한 지표와 내부 점검 포인트 중심입니다.
왜 정보보호 / 보안이 IT 업종 ESG에서 중요한가
- IT 기업은 핵심 자산이 대부분 디지털/데이터 기반이므로 보안 사고 시 재무적 손실, 신뢰 손상, 규제 리스크가 크다.
- ESG 평가 기관 및 투자자는 “사회(S)” 또는 “지배구조(G)” 측면에서 보안 사고, 개인정보 유출, 내부통제 실패 등을 중대한 리스크 요인으로 본다.
- 특히 국내에서는 ISMS / ISMS-P 인증 취득이나 정보보호 관리체계 운영 여부 등이 ESG 보고서나 기업공시 자료에서 자주 언급된다 (예: SK D&D는 ISMS 인증을 ESG 항목으로 명시).
- 따라서 IT 업종에서는 보안/정보보호 관련 요소를 ESG 평가 항목에 명시적으로 포함시키는 것이 내부 관리 및 외부 신뢰 확보에 유리하다.
300x250
정보보호 / 보안 관점 ESG 평가영역 & 세부 지표
아래는 IT 업종 맥락에서 고려할 수 있는 정보보호 / 보안 중심 ESG 평가항목 (정량 + 정성) 목록입니다. 각 항목은 실제 점검 또는 보고 시 활용 가능한 체크포인트와 예시를 포함합니다.
1. 거버넌스 & 조직 구조
| 항목 | 설명 / 평가 포인트 | 점검 포인트 / 내부 가이드 |
|---|---|---|
| 최고 보안책임자(CISO 또는 동등 직책) 배치 여부 | 조직 수준에서 보안 책임자 역할이 경영층에 연결되는지 평가 | CISO 직급 및 권한, CEO/이사회와의 보고 구조 |
| 보안 위원회 / 보안 거버넌스 기구 | 보안 관련 의사결정을 담당하거나 검토하는 조직 존재 여부 | 정보보안위원회 구성, 정기 회의 빈도, 회의록 기록 여부 |
| 보안 정책 및 프레임워크 체계화 | 전사 보안 정책, 표준, 절차 등이 문서화되어 체계적으로 관리되는지 | 보안 정책 버전 관리, 내부 승인 프로세스, 정책 배포 및 공지 |
| 예산 / 자원 배정 | 보안 조직 및 프로그램 운영을 위한 예산 규모 및 안정성 | 연간 보안 예산 비중, 보안 인력 충원 현황 |
| 내부 감사 및 모니터링 | 보안 통제에 대한 주기적 감사 및 모니터링 프로세스 존재 여부 | 내부감사 계획, 감사 결과 처리 및 개선 조치 이행 여부 |
| 리스크 관리 연계 | 전사 리스크 매핑과 보안 리스크가 통합 관리되는 체계 여부 | 리스크 식별 및 평가 프로세스, 보안 리스크 우선순위 체계 |
2. 보안 관리체계 및 인증
| 항목 | 설명 / 평가 포인트 | 점검 포인트 / 내부 가이드 |
|---|---|---|
| ISMS / ISMS-P / ISO 27001 등 보안 인증 보유 여부 | 인증 자체가 외부 신뢰성과 안정성의 지표가 될 수 있음 | 인증 만료일, 갱신 여부, 감사 결과 요약 |
| 인증 범위 및 적용 영역 | 인증 대상 시스템/사업부, 범위 명확성 | 인증 대상 시스템 리스트, 범위 제외 시스템 명시 |
| 보안 통제 도입 현황 | 인증 기준(예: 접근 통제, 암호화, 로그 관리 등) 대비 통제 적용 수준 | 주요 통제 항목별 적용 여부 및 통제 수준 점검 |
| 보안 운영 및 점검 빈도 | 주기적 취약점 점검, 모의침투(Penetration Test), 보안 스캔 수행 여부 | 연간 점검 계획, 취약점 발견 건수 및 조치율 |
| 보안 정책 준수율 및 위반 건수 | 정책 위반 로그, 보안 규정 위반 사례 분석 | 내부 위반 건수, 제재 내역, 위반 유형 분석 |
3. 접근 제어, 인증 & 권한 관리
| 항목 | 설명 / 평가 포인트 | 점검 포인트 / 내부 가이드 |
|---|---|---|
| 최소 권한 원칙 (Least Privilege) 적용 | 사용자 및 시스템 계정에 최소 권한만 부여하는지 평가 | 권한 분리 정책 존재, 권한 재검토 주기 |
| 권한 변경 및 감사 절차 | 권한 부여/변경/철회 절차 문서화 및 감사 가능성 | 권한 요청 기록, 변경 이력 로그 유지 |
| 다중 인증 (MFA / 2FA) 도입 | 중요 시스템, 원격 접속에 대한 MFA 적용 여부 | MFA 적용 대상 시스템 목록, 실패율/우회 가능성 점검 |
| 접근 로그 및 감사 로그 관리 | 시스템/네트워크 접근 이력, 감사 로그 수집 및 분석 여부 | 로그 보존 기간, 로그 위변조 방지, 중앙 로그 시스템 |
| 비인가 접근 탐지/차단 체계 | 침입 탐지 시스템(IDS/IPS), WAF, UTM 등 차단 계층 존재 여부 | 탐지/차단 룰 관리, false positive 조정 프로세스 |
4. 네트워크 / 인프라 보안
| 항목 | 설명 / 평가 포인트 | 점검 포인트 / 내부 가이드 |
|---|---|---|
| 네트워크 분리 및 망 구분 | 내부망 / 외부망 / 관리망 등의 분리 수준 | DMZ 구성 여부, VLAN 분리, 관리망 접근 제어 |
| 경계 보안 장비 운용 | 방화벽, IDS/IPS, 침입 방어 체계 여부 | 룰셋 관리, 업데이트 주기, 로그 분석 |
| 암호화 전송 및 저장 | 전송계층 암호화(TLS 등), 저장 데이터 암호화 여부 | TLS 버전 점검, DB 암호화, 키 관리 정책 |
| 취약점 스캔 및 패치 관리 | 정기적인 취약점 탐지 및 패치 적용 여부 | 취약점 스캔 주기, 발견 건수 및 패치율, 무중단 패치 전략 |
| 악성코드/랜섬웨어 대응 | 엔드포인트 보안 솔루션, 백신, 행위 기반 탐지 체계 여부 | EDR 도입 여부, 샌드박스 분석, 의심 파일 탐지 로그 |
| 재해 복구 및 백업 보안 | 백업 주기, 보안 백업 저장소, 복구 절차 | 백업 암호화, 오프사이트 백업, 복구 테스트 주기 |
5. 애플리케이션 / 소프트웨어 보안
| 항목 | 설명 / 평가 포인트 | 점검 포인트 / 내부 가이드 |
|---|---|---|
| 보안 설계 / 보안 중심 개발 (Secure by Design) | 초기 설계 단계부터 보안 고려 여부 | Threat Modeling 수행 여부, 보안 아키텍처 설계 문서 |
| 코드 보안 검사 / 정적 분석 / 동적 분석 | 자동 도구/수작업 기반 코드 보안 점검 여부 | SAST/DAST 도구 도입, 정기 점검 및 취약점 추적 |
| OWASP Top 10 대응 수준 | 일반적인 웹 취약점(예: SQL 인젝션, XSS 등)에 대응 여부 | 테스트 케이스 보유 여부, 취약점 발견 및 조치 이력 |
| 입력 검증, 인자 검증, 출력 처리 | 사용자/외부 입력 값 처리 절차 | 입력 필터링, 검증 로직, 출력 이스케이프 처리 |
| 라이브러리 / 패키지 관리 보안 | 외부 라이브러리 취약점 관리 여부 | 종속성 취약점 점검 (예: SCA 도구), 라이브러리 버전 관리 |
| API 보안 | API 인증/인가, 토큰 만료, 리미트 제어 등 | OAuth/JWT 사용 여부, API 호출 제한, 로그 감사 |
| 보안 테스트 및 펜테스트 | 정기적 외부/내부 침투 테스트 수행 여부 | 펜테스트 보고서 및 취약점 대응 이력, 재테스트 여부 |
6. 모니터링 / 탐지 / 사고 대응
| 항목 | 설명 / 평가 포인트 | 점검 포인트 / 내부 가이드 |
|---|---|---|
| 보안 모니터링 체계 | SIEM, 로그 분석 시스템, 이상 탐지 체계 사용 여부 | 이벤트 수집 범위, 경보 규칙, 탐지율/오탐율 관리 |
| 이상 징후 탐지 및 대응 프로세스 | 비정상 패턴 감지 → 조사 → 대응 절차 | 탐지 알람 기준, Triage 절차, 인시던트 대응 매뉴얼 |
| 사고 대응 / 침해 대응 계획 | 사고 유형별 대응 시나리오 및 매뉴얼 보유 여부 | IR(Incident Response) 계획, 역할/책임 정의, 외부 통보 절차 |
| 모의 훈련 / 침투 연습 | 모의 침해 사고 훈련 또는 레드팀/블루팀 실습 여부 | 모의 훈련 주기, 보고 및 개선 조치 이행 |
| 포렌식 / 로그 보존 / 증거 확보 | 사고 시 포렌식 대응 가능 여부, 로그 보존 정책 | 로그 보존 기간, 원본 보존, 포렌식 툴 준비 여부 |
| 복구 및 사후 대응 | 사고 후 시스템 복구 및 재발 방지 절차 | 복구 시나리오, 교훈 정리 및 재발 방지 계획 이행 여부 |
7. 개인정보 보호 / 프라이버시
| 항목 | 설명 / 평가 포인트 | 점검 포인트 / 내부 가이드 |
|---|---|---|
| 개인정보 수집 / 이용 / 파기 절차 | 법정 근거 및 내부 정책 일치 여부 | 수집 동의 절차, 이용 목적 명시, 파기 절차 |
| 민감정보/고유식별정보 보호 수준 | 암호화, 마스킹, 접근 통제 적용 여부 | DB 암호화, 접근 권한 제한, 마스킹 처리 |
| 익명화 / 가명처리 적용 여부 | 분석 목적 등 비식별 처리 방식 준수 여부 | 가명처리 정책, 비식별 처리 점검 결과 |
| 개인정보 영향 평가 / 위험 분석 | 개인정보 처리 시스템에 대한 위험도 평가 여부 | PIA (Privacy Impact Assessment) 수행 내역 |
| 개인정보 침해 사고 대응 | 유출 사고 통지 절차, 대응 매뉴얼 보유 여부 | 유출 통보 절차, 고객 통지 기준, 대응 이력 |
8. 공급망 / 외부 제3자 보안
| 항목 | 설명 / 평가 포인트 | 점검 포인트 / 내부 가이드 |
|---|---|---|
| 제3자 보안 계약 조건 | 협력사 보안 기준, SLA/계약 상 보안 조항 포함 여부 | 보안 수준 요구 조항, 보안 감사 권한 확보 |
| 제3자 감사 / 보안 실사 | 제3자 보안 수준 점검 및 실사 여부 | 협력사 보안 점검 결과, 개선 요구 및 이행 검증 |
| API / 연계 시스템 보안 | 외부 연계 시스템 간 보안 통제 여부 | API 호출 보안, 인증/인가 검증, 암호화 통신 |
| 공급망 공격 대응 대비 | 공급업체 취약점 연계 리스크 분석 | 중요 공급업체 보안 상태, 리스크 평가 및 대응 계획 |
| 클라우드 / 외부 호스팅 보안 | 클라우드 제공업체 보안 수준 및 책임 경계 명확성 | CSP 보안 인증, 책임 분리 명확성, 감사 가능성 |
9. 공시 / 투명성 / 책임
| 항목 | 설명 / 평가 포인트 | 점검 포인트 / 내부 가이드 |
|---|---|---|
| 보안 사고 및 유출 이력 공개 현황 | 과거 사고 여부 및 대응 결과의 공개 정도 | 사고 보고서 요약, 피해 규모, 재발 방지 조치 |
| 보안 리스크 공개 및 설명 | ESG 보고서 또는 기업공시에 보안 위험 요인 공개 여부 | 보안 리스크 목록, 잠재 영향 및 대응 전략 |
| 보안 거버넌스 보고 | 조직 구조, 책임 체계, 위원회 활동 등 공개 | 보안 조직도, 회의 현황, 주요 의사결정 사항 등 |
| 외부 검증 / 감사 보고 | 외부 보안 감사 또는 검토 결과 공개 여부 | 감사 기관, 평가 결과 요약, 개선 조치 보고 |
내부 사용자 보안 체크리스트
아래는 위 항목들을 실제 점검하거나 내부 사용자에게 안내할 수 있는 체크리스트 형태의 포인트입니다.
| 점검 대상 | 체크 질문 / 내부 점검 포인트 |
|---|---|
| 조직 및 거버넌스 | CISO 또는 동급 직책이 존재하는가? 보안 위원회가 구성되어 정기적으로 운영되는가? 보안 정책, 표준, 절차가 문서화되어 있으며 최신 버전이 배포되어 있는가? 보안 예산과 인력이 안정적으로 확보되어 있는가? |
| 인증 및 보안 체계 | ISMS, ISMS-P, ISO 27001 등 인증을 보유하고 있는가? 인증 범위가 시스템 / 서비스 전반을 포괄하는가? 보안 통제 항목들이 실제로 적용되고 있으며, 점검이 이루어지고 있는가? |
| 접근 제어 및 권한 관리 | 사용자 및 시스템 권한이 최소 권한 원칙에 부합하는가? 권한 요청/변경 절차가 문서화되어 있으며, 변경 이력이 남는가? MFA가 중요 시스템, 원격 접속 등에 적용되어 있는가? 접근 로그 및 감사 로그가 중앙 시스템에 저장되고 분석되는가? |
| 인프라 / 네트워크 보안 | 네트워크 분리가 적절히 이루어져 있는가? 방화벽, IPS/IDS, WAF 등의 보안 장비가 운용 중이며 규칙이 정기적으로 업데이트되는가? 취약점 점검이 정기적으로 이루어지고, 발견된 취약점에 대한 패치가 적시에 적용되는가? 백업이 안전하게 이루어지며, 오프사이트 저장 및 복구 테스트가 수행되는가? |
| 애플리케이션 보안 | 보안 중심 설계가 이루어지고 있는가? SAST, DAST 등의 자동 취약점 검사 도구가 도입되어 있는가? 외부 라이브러리/패키지의 취약점을 모니터링하고 대응하고 있는가? API 보안이 강화되어 있으며, 인증/인가/속도 제한 등이 적용되는가? |
| 모니터링 및 사고 대응 | 보안 이벤트가 중앙에서 모니터링되고 있는가? 이상 징후 알람, 대응 절차가 정의되어 있는가? 침해 사고 대응 계획(IR 계획)이 문서화되어 있고 역할/책임이 정의되어 있는가? 모의 훈련이 정기적으로 수행되고 개선 조치가 반영되는가? 포렌식 대응 체계 및 로그 보존 정책이 준비되어 있는가? |
| 개인정보 / 프라이버시 | 개인정보 수집/이용/파기 절차가 정책과 법령에 부합하는가? 암호화, 마스킹, 접근 통제 등이 민감정보에 대해 적용되는가? PIA 또는 위험 분석이 정기적으로 수행되고 있는가? 개인정보 유출 사고 발생 시 대응 매뉴얼과 통지 절차가 마련되어 있는가? |
| 공급망 보안 | 제3자/협력 업체와의 계약에 보안 조항이 포함되어 있는가? 협력사 보안 수준을 평가하고 감사할 권한이 확보되어 있는가? 외부 연계 API/시스템 보안이 적절히 통제되고 있는가? 공급망 공격 리스크를 식별하고 대응 전략을 갖고 있는가? |
| 공시 / 보고 | 보안 사고 및 유출 이력을 ESG 보고서나 기업공시에 공개하고 있는가? 보안 리스크 및 대응 전략을 외부 이해관계자에게 명확히 설명하고 있는가? 보안 거버넌스 조직, 책임 구조, 운영 현황 등을 보고하고 있는가? 외부 감사 또는 보안 평가 결과를 공개하는가? |
평가항목 가중치 및 우선순위 고려
IT 기업이 모든 항목을 동일하게 관리하기는 리소스 측면에서 어렵기 때문에, 실제로는 중요도 (Materiality) 기반으로 우선순위를 정하고 가중치를 배정하는 것이 좋습니다.
- 핵심 시스템 / 서비스에 직결된 영역 (예: 접근 제어, 인증, 네트워크 경계 보안, 애플리케이션 보안)은 상대적으로 높은 가중치를 부여
- 과거 사고 빈도나 리스크 수준을 고려해 모니터링/탐지/사고 대응 항목에도 높은 비중
- 공시 / 투명성 / 보고 항목은 외부 신뢰 확보 측면에서 중요하지만 정량 지표가 적을 수 있으므로 정성 평가 중심
- 제3자 / 공급망 보안은 대외 연계가 많은 경우 중요도가 높아지며, 특히 클라우드 연계 또는 외주 개발이 많은 기업은 가중치를 높일 필요
- 개인정보 보호는 법적 리스크가 크므로 민감한 데이터를 다루는 경우 우선순위가 크고, 특히 국내 개인정보 보호법 및 GDPR 대응 여부가 평가 요소가 됨
728x90
그리드형(광고전용)
댓글