정보보호 정책
From CS Wiki
- 정보보호 정책은 문서화된 사업 규칙의 특수한 형태로서 정보보호에 관한 경영진의 목표와 방향을 제시하는 것
정보보호 정책은 아래의 특징을 가진다.
- 정보보호에 대한 상위 수준의 목표 및 방향을 제시
- 조직의 경영목표를 반영하고 정보보호 관련 상위 정책과 일관성을 유지
- 정보보호를 위해 관련된 모든 사람이 반드시 지켜야 할 요구사항을 전반적이며 개략적으로 규정
표준, 지침, 절차
- 정보보호 표준
- 정보보호 정책의 하위의 개념으로 정책 목적을 달성하기 위하여 세부적인 사항을 사규 또는 내규 등으로 정형화하여 조직 내에서 일률적으로 준수하도록 하는 강제성이 있는 규정
- 정보보호 지침
- 정보보호 정책 또는 표준처럼 강제적이지는 않지만, 정보보호의 정책을 달성하기 위해 도움이 될 수 있는 구체적인 사항을 설명한 권고 사항
- 정보보호 절차
- 정책을 달성하기 위한 단계적 방안을 구체적으로 기술한 것으로, 누가 무엇을 어떻게 해야 하는지 세부적으로 규정하며 정책, 표준과 마찬가지로 필수적으로 준수해야 하는 사항
정보보호 정책의 일반 원칙
- 개인적 측면
- 개인의 프라이버시가 침해되지 말아야 하며, 정보보호의 목적을 달성하기 위하여 IT부서 또는 정보보호 담당자의 편의 중심으로 개발되어서는 안 된다.
- 사회적 측면
- 도덕적 판단기준, 사회적 측면에서 일반적이고 보편타당 하여야 한다.
- 법률적인 측면
- 다른 사람의 법적인 권리를 보장할 수 있는 바탕에서 개발되어야 하며, 정보보호의 법률 및 규제 등의 요구사항이 반영되어야 한다.
출처
- 조직의 정보보호 정책 수립 가이드, TTA