폭발적인 정보 증가는 현 시대를 정의하는 가장 중요한 특징입니다. 정보 시대에는 데이터의 양, 데이터의 사용, 데이터 소스 수, 데이터 이동 경로 등이 급속도로 증가하고 있습니다. 그 결과 정보를 정의, 수집, 액세스, 처리, 체계화하기 위한 새로운 산업이 창출되고 있습니다.
이러한 환경에서 모든 사람들이 정보 거버넌스의 중요성을 인식하고는 있지만 이러한 거대한 작업을 수행하는 방법에 대해서는 제대로 알지 못합니다.
오늘날 기업은 자체적으로 수집, 처리, 저장하는 데이터의 양과 그 유형이 폭발적으로 증가하는 상황에 직면해 있습니다. 게다가 본인들이 처리하는 데이터의 유형과 그 가치를 제대로 파악하지 못하고 있는 실정입니다. 즉 데이터를 제대로 사용하거나 관리할 수 없다는 의미입니다. 그 결과, 기업은 데이터를 제대로 관리했을 때 누릴 수 있는 혜택을 누리지 못하고 있습니다.
이들은 또한 데이터 관리 미흡으로 인해 심각한 재정적, 법적인 문제에 직면하고 부정적 평판을 얻게 될 수 있습니다. 정보 거버넌스를 활용하면 이러한 문제를 해결할 수 있습니다.
그렇다면 정보 거버넌스(IG)란 무엇이고, 현재 비즈니스 환경에서 어떤 역할을 수행하고 있을까요? 이 가이드는 비즈니스 프로세스 및 컴플라이언스에 중점을 두는 새로운 데이터 관리 영역으로서의 정보 거버넌스에 대해 설명합니다.
IG는 엔터프라이즈 정보의 생성, 사용, 공유와 관련된 리스크를 줄이고 데이터의 가치를 극대화하는 전략적 접근 방식을 가리킵니다. IG는 정보를 기업의 자산으로 인식하며, 이러한 엔터프라이즈 정보의 책임, 보호, 무결성, 적절한 보존 등을 확보하기 위해 수준 높은 감시와 조율 작업이 필요합니다.
IG의 목표는 정보 관리상의 사일로를 없애고 파편화를 방지하는 것으로, 이는 안정성을 유지하면서 기업이 정보 관리에 사용하는 프로세스, 기술, 인력 측면에서 ROI를 거둘 수 있게 하기 위한 것입니다.
정보 거버넌스를 설명하는 공식적인 정의는 많지만, Gartner의 정의가 가장 널리 통용됩니다. Gartner는 IG를 정보의 생성, 평가, 사용, 아카이빙, 삭제, 저장에 있어 적절한 행위를 수행하도록 하는 업무 프레임워크로 정의합니다. 여기에는 효과적이고 효율적인 정보의 사용을 보장하고 기업이 관련 목표를 달성하는 데 필요한 프로세스, 표준, 메트릭, 역할, 정책이 포함됩니다.
IG 프로세스를 통해 고객 정보, 직원 기록, 의료 기록, 지적 재산권과 같은 정보 레코드의 사용을 관리할 수 있습니다. 기업의 IG 전문가는 경영진 및 기타 관계자들과 협업하면서 직원이 모든 회사 정보 자산을 어떻게 다루어야 하는지 정의하는 정책을 만들어야 합니다.
정보 거버넌스의 중요 목표는 다음과 같습니다.
정보 거버넌스의 목표 및 프로세스를 명확하게 정의하기 위해 기업의 접근 방식을 공식적으로 설명하는 프레임워크를 개발할 수 있습니다. 이 프레임워크는 누가, 무엇을, 왜, 언제, 어떻게, 어디서에 해당하는 질문을 설명하고 이에 답변합니다.
기업은 고유한 니즈에 따라 프레임워크를 조정해야 하지만, 무엇보다 아래 설명된 영역을 정의해야 합니다.
이는 기업이 타사, 이해 관계자, 공급업체 등과 정보를 공유하고 운영하는 방법을 수립하는 데도 필요합니다. 프레임워크는 타사와 정보를 공유하기 위해 수립한 정책 및 절차를 정의해야 하고, 정보 거버넌스 프로세스가 계약 의무 사항에 영향을 주는 방식과 파트너 및 타사가 기업의 IG 목표를 충족하는지 여부를 결정하는 방식에 대해서도 정의해야 합니다.
아울러 프레임워크는 데이터 유출 발생 관련 절차를 명확하게 설명해야 하는데, 여기에는 위반 및 정보 유출 리포팅 방법, 재해 복구 프로세스, 인시던트 관리 세부 사항, 비즈니스 연속성 전략, 관련 재해 복구 및 비즈니스 연속성 프로세스 감사 방식 등이 포함됩니다.
마지막으로, 프레임워크는 지속적인 모니터링 프로세스에 대해서도 설명해야 합니다. 또한 정보 액세스 모니터링, 규정 준수 여부 측정, 리스크 평가 수행, 적절한 보안 유지, IG 프로그램 전반 검토 등 IG 프로세스의 품질 보증을 위한 계획을 포함해야 합니다.
많은 사람들과 기업들이 IG와 데이터 거버넌스를 동일한 것으로 간주합니다. 물론 두 가지 모두 기업이 비즈니스 목표를 달성하는 데 있어 필수불가결하고, 몇 가지 겹치는 요소가 있지만 완전히 동일하지는 않습니다.
정보 거버넌스는 기업이 데이터 자산으로부터 비즈니스 가치를 얻도록 지원합니다. 즉 기업이 정보 가치를 극대화하면서 관련 비용 및 리스크를 최소화하도록 도와주는 기술 및 활동에 해당합니다.
반면, 데이터 거버넌스는 비즈니스 단위 레벨에서 정보의 정확성과 신뢰성을 제어하는 것을 의미합니다. 이 프로그램에는 데이터 활용성, 가용성, 무결성, 보안을 관리하는 절차가 포함됩니다.
요약하면, 데이터 거버넌스는 쓸모없는 정보가 유입되지 않도록 차단하는 것이고, IG는 데이터 사용 관련 의사 결정을 의미합니다.
그 차이는 두 영역과 관련된 활동 유형에 대한 예를 통해 확인할 수 있습니다.
데이터 거버넌스는 IT의 책임이지만, IG는 더 광범위합니다. IG를 사용하면 데이터의 사용 및 보존에 관한 비즈니스와 컴플라이언스 니즈를 충족할 수 있으며, 그 결과 회사 거버넌스의 중요 부분을 담당하는 전략적 규범을 수립할 수 있습니다.
IG와 데이터 거버넌스를 모두 적용하는 경우 정보 관리 프랙티스를 통해 비즈니스 가치를 실현하는 데 도움이 됩니다.
정보는 모든 기업에 꼭 필요한 리소스입니다. 정보 없이 비즈니스를 운영할 수는 없습니다. 따라서 기업은 정보 관련 프로세스, 기술, 인력에 투자를 아끼지 않습니다.
정보의 생성, 사용, 보호, 공유에 이르기까지 정보 관련 투자가 상당하므로 기업은 정보를 비즈니스 운영에 필요한 장비, 건물, 금융 관련 리소스와 동일한 비즈니스 자산의 한 유형으로 간주합니다.
리소스 또는 자산에 대한 감독 및 관리는 모든 비즈니스 거버넌스에 있어 일차적인 목표에 해당합니다. 다른 자산과 마찬가지로, 정보의 가치 및 관련 리스크를 책임지고 해결하기 위해서는 반드시 정보를 관리해야 합니다.
기업은 정보 거버넌스를 통해 정보와 연관된 리스크 및 가치를 관리하는 제대로 된 접근 방식을 확보할 수 있습니다.
물론 IG가 새롭게 등장한 영역이라는 점에서 비즈니스 프로세스에서 그 역할과 관련된 수많은 질문이 있는 것도 사실입니다. 기업은 제대로 구현된 IG 프로그램을 통해 아래와 같은 작업을 수행할 수 있습니다.
예를 들어 의료, 결제 모델, 파트너십 요건 관련 변경 사항을 비롯해 신규 고객의 기대치, 기술, 규제 증가 등 현재 의료 업계가 직면한 문제로 인해 정보 거버넌스가 그 어느 때보다 중요한 상황입니다. 최선의 방안은 의료 및 관련 기업이 해당 정보의 신뢰성을 확보하고 다양한 니즈를 모두 충족할 수 있다는 점을 보장하는 것입니다.
기업은 IG를 통해 기술이 아닌 기업의 니즈에 따라 의사 결정을 수행할 수 있습니다. 이때 우발적인 의사 결정자(데이터 사이클 도중 우연히 특정 시점에 해당 데이터를 보유하게 된 사용자)는 제외되는데, 이들은 다른 이해 관계자의 니즈에 관계없이 독단적으로 의사 결정을 수행하는 경향이 있기 때문입니다.
IG 이니셔티브를 개시할 최적의 위치를 파악하려면 먼저 믿을 만한 정보 및 데이터를 활용하여 기업의 전략적 노력을 뒷받침할 방법을 확보해야 합니다.
기업은 일반적으로 목표 달성을 위한 전략을 개발하고 비즈니스 업무를 수행하는 데 있어 견지해야 할 사명과 비전을 보유합니다. 따라서 이러한 비즈니스 전략과 목표에 주의를 기울이면 기업의 IG 이니셔티브를 어디에서 어떻게 시작해야 할지에 대한 힌트를 얻을 수 있습니다.
기업은 유용한 정보 없이 목표를 달성할 수 없으므로 IG 이니셔티브를 개시할 최적의 시점은 정보를 사용하여 해결해야 하는 문제(고민 사항)나 비용을 줄이고 수익을 증대시킬 비즈니스 기회를 파악하는 것입니다.
이러한 전략적 연계는 기업의 목표 달성을 지원하는 광범위한 전략의 일환으로 IG의 니즈를 설정해야 한다는 것을 의미합니다. 기업의 목표는 공간(부동산)의 효율적 관리, 타사 인수 및 통합을 통한 서비스 제공 확장, 신규 고객 서비스 프로토콜 작성, 비용 절감 등 광범위하고 다양할 수 있습니다.
IG가 정보의 다양한 측면이 적절하게 기능할 수 있도록 설정한 일련의 책임 및 권리 요건이라는 점에서, 의사 결정 권리 관련 프로비저닝은 데이터 소유권과 관련 의사 결정을 수행할 권리가 누구에게 있는지를 판별하는 것입니다.
이에 따라 기업은 소유자와 의사 결정자를 정의하는 방법으로 데이터 관련 의사 결정에 대한 책임과 의무를 지정할 수 있으며, 이는 IG 정책 생성 시 구현할 수 있는 가장 중요한 개념일 수 있습니다. 데이터 의존성 증가에 따라 책임 여부가 갈수록 중요해지면서, 보통 다른 고려 사항과 별개로 가장 쉬운 경로를 선택하여 비즈니스 결정을 수행할 수 있습니다.
정보 거버넌스 정책을 생성할 때는 아래 주요 영역을 고려해야 합니다.
사용 정책: 누가 데이터에 액세스할 수 있는지와 어떤 상황에서 액세스할 수 있는지 세부적으로 정의하는 사용 정책을 통해 보안 리스크를 대폭 억제할 수 있습니다.
책임: 최고 데이터 책임자와 같은 직책을 정하거나 표준 정책 작성을 담당하는 전담 분서를 구성하여 기업에서 데이터 처리 정책을 책임지는 담당자를 지정해야 합니다.
레코드 관리: 대규모 조직의 경우 연간 저장하는 정보의 양이 10페타바이트에 달하며, 이를 위해 엄청난 비용이 들 수 있습니다. 하지만 IG를 사용하면 가치 있는 데이터를 식별하고 저장하면서 스토리지 비용을 절감할 수 있습니다.
컴플라이언스: 법률, 비즈니스 니즈, 규정을 통해 기업이 정보를 어떻게 유지하는지 관리합니다. 이후에는 법률, 규정, 비즈니스 니즈에 따라 설정한 라이프사이클 일정에 맞춰 정보를 삭제해야 합니다.
교육: 다른 모든 기업 정책과 마찬가지로 직원, 파트너사, 벤더를 대상으로 IG 프로그램 관련 교육을 완료해야 합니다.
기술: 완벽한 IG를 통해 IT 거버넌스도 해결할 수 있습니다. IT 전문가를 대상으로 스토리지 계층 구조 생성 또는 적절하게 확장된 액세스 계획 수립과 같은 정책을 제공할 수 있습니다.
기업 데이터 볼륨이 증가하고 기술 혁신을 통해 지속적으로 비즈니스 역량이 확장되는 가운데, IG 프로세스에 엄격한 법률 및 명령을 지정하는 규정이 확립되었습니다. 이는 데이터 보안 및 개인 정보 보호 영역에서 두드러지며, 최근 개인 식별 정보(PIN)가 온라인 범죄자들과 해커들에게 대규모의 표적이 되었다는 점으로도 알 수 있습니다.
개인 정보 보호법은 전 세계적으로 확대되고 있으며 그에 따라 새로운 정보 보안 거버넌스 의무가 생성되었습니다. 수많은 업종이 최소 기간 동안 전자 통신 및 레코드 보존을 요구하는 규제를 필요로 하게 되었으며, 이러한 규제에는 법무부 및 환경 보호국 또는 증권 거래 위원회 같은 미연방 정부 기관의 지시 사항도 포함됩니다.
또한 기업은 규정 관련 리포팅 요건에 따라 매년 상세한 컴플라이언스 레코드를 제공해야 합니다. 이때 제대로 된 비즈니스 레코드 관리 프로세스는 컴플라이언스를 입증하는 증거를 제공합니다.
아울러 기업은 해외부패방지법(Foreign Corrupt Practices Act)과 같은 컴플라이언스 규칙에 따라 IG 프로그램과 레코드의 무결성을 입증해야 합니다.
이때 기업의 IG 전략에 영향을 미칠 수 있는 데이터 보안, 레코드 관리, 데이터 보존과 관련된 업종 및 정부 요구 사항은 매우 많습니다. 아래 내용은 미국 내 모든 기업이 알아두어야 할 필수 법률입니다.
기업은 IG 성숙도 모델 및 IG 참조 모델과 같은 평가 툴을 사용하여 정보 거버넌스 진행 상황을 평가할 수 있습니다. 기업, 산업 협회, 분석 기업, 기타 관계자는 IG 참조 모델이 제공하는 툴을 통해 IG 프로그램의 프로세스, 프랙티스, 책임과 관련하여 이해 관계자들과 소통할 수 있습니다.
반면 IG성숙도 모델은 ARMA의 8가지 일반 승인 레코드 보관 원칙(Generally Accepted Recordkeeping Principles)에 따라 구성된 것입니다.성숙도 모델은 표준 이하의 IG부터 트랜스포메이션 IG에 이르기까지 다양한 범위로 레코드 부관 프로그램 레벨의 특징을 정의합니다. 기업의 목표는 IG 전략을 전반적인 기업 인프라스트럭처 또는 비즈니스 프로세스에 통합하여 비용 억제, 클라이언트 서비스, 경쟁력 확보를 장려하는 최상의 트랜스포메이션 레벨에 도달하는 것입니다.
IG는 생성, 가치 평가, 사용, 스토리지, 삭제, 아카이빙에 이르는 다양한 양상의 정보가 올바르게 작동하게 하는 일련의 책임 및 권리 요건입니다. IG에는 데이터를 효과적으로 사용하기 위해 기업의 목표 달성을 지원하는 정책, 목적, 프로세스, 표준이 포함됩니다.
정보 거버넌스는 특히 데이터 수집 및 저장이 증가하고 규제 감독이 강화될 때 기업에 상당한 혜택과 가치를 부여합니다. 기업은 올바른 IG 전략 개발 및 구현을 통해 데이터 가용성을 확보하고 비용을 억제하며 사이버 리스크를 줄이고 규제 관련 어려움을 해결할 수 있습니다. 기업에 보안 침해가 발생하거나 소송에 직면하거나 감사에 실패하거나 평판 관련 문제가 발생하기 전에 바로 시작하십시오.