정보보호 정책
From CS Wiki
- 정보보호 정책은 문서화된 사업 규칙의 특수한 형태로서 정보보호에 관한 경영진의 목표와 방향을 제시하는 것이다.
- 문언적으론 가장 상위 규정이나, 실무적으론 그 하위의 지침등을 모두 포괄한 표현으로 사용되기도 한다.
특징 및 조건[edit | edit source]
- 정보보호에 대한 상위 수준의 목표 및 방향을 제시
- 조직의 경영목표를 반영하고 정보보호 관련 상위 정책과 일관성을 유지
- 정보보호를 위해 관련된 모든 사람이 반드시 지켜야 할 요구사항을 전반적이며 개략적으로 규정
- 한 번 만들고 끝나는 것이 아니라 관리과정 5단계를 통해서 지속적으로 검토 및 개선
- 위험관리 단계가 아닌 운영 중에라도 새로운 업무상의 필요가 나타날 경우 해당 정책을 새로이 작성 필요
필요 조건 및 주요 내용[edit | edit source]
- 목적 및 목표: 중요한 정보자산이 무엇인지 식별하여 선언하고 정보의 특성이 만족되어야 하는지를 선언한다.
- 대상범위: 정책의 적용범위를 명시한다. 전 조직을 대상으로 하며 정보자산에 접근하는 외부인을 포함하는 것이 가장 일반적이고 바람직하다.
- 정보정책의 내용: 정책의 내용은 "정보가 비인가 된 접근으로부터 보호되어야 한다."라는 정도로 간단하고 명료하게 작성하고, 지침에서 다시 만들어 질 수 있도록 한다.
- 책임 및 거버넌스: 정책을 수행하기 위해서는 기본적으로 책임사항을 정의한다.
- 문서의 승인: 조직의 최고책임자가 정책을 승인하고 지원의지를 알려야 한다.
하위 규정[edit | edit source]
정보보호 정책은 하위 규정 및 지침으로 분리되어 관리되기도 한다.
정보보호 정책 및 지침 예시
정책 | 구분 | 하위 규정·지침 |
---|---|---|
정보보호 정책 | 관리적 보안 | 보안조직 관리지침 |
외주인력 관리지침 | ||
보안감사 관리지침 | ||
침해사고 대응지침 | ||
기술적 보안 | 서버 보안 관리지침 | |
네트워크 보안 관리지침 | ||
단말 보안 지침 | ||
물리적 보안 | 시설 보안 관리지침 | |
사무실 보안 관리지침 |
(참고) 표준, 지침, 절차[edit | edit source]
- 정보보호 표준
- 정보보호 정책의 하위의 개념으로 정책 목적을 달성하기 위하여 세부적인 사항을 사규 또는 내규 등으로 정형화하여 조직 내에서 일률적으로 준수하도록 하는 강제성이 있는 규정
- 정보보호 지침
- 정보보호 정책 또는 표준처럼 강제적이지는 않지만, 정보보호의 정책을 달성하기 위해 도움이 될 수 있는 구체적인 사항을 설명한 권고 사항
- 정보보호 절차
- 정책을 달성하기 위한 단계적 방안을 구체적으로 기술한 것으로, 누가 무엇을 어떻게 해야 하는지 세부적으로 규정하며 정책, 표준과 마찬가지로 필수적으로 준수해야 하는 사항
정보보호 정책의 일반 원칙[edit | edit source]
- 개인적 측면
- 개인의 프라이버시가 침해되지 말아야 하며, 정보보호의 목적을 달성하기 위하여 IT부서 또는 정보보호 담당자의 편의 중심으로 개발되어서는 안 된다.
- 사회적 측면
- 도덕적 판단기준, 사회적 측면에서 일반적이고 보편타당 하여야 한다.
- 법률적인 측면
- 다른 사람의 법적인 권리를 보장할 수 있는 바탕에서 개발되어야 하며, 정보보호의 법률 및 규제 등의 요구사항이 반영되어야 한다.
출처[edit | edit source]
- 조직의 정보보호 정책 수립 가이드, TTA
- ISMS 구축 및 운영 교육 - 실무자 과정, 2011, KISA