최신판 |
당신의 편집 |
1번째 줄: |
1번째 줄: |
| [[분류:보안]] | | [[분류:보안]][[분류:컴플라이언스]][[분류:정보보안기사]] |
| [[분류:컴플라이언스]] | | ;정보보호 정책은 문서화된 사업 규칙의 특수한 형태로서 정보보호에 관한 경영진의 목표와 방향을 제시하는 것 |
| [[분류:정보보안기사]] | |
|
| |
|
| ;정보보호 정책은 문서화된 사업 규칙의 특수한 형태로서 정보보호에 관한 경영진의 목표와 방향을 제시하는 것이다.
| | == 특징 == |
| ;* 문언적으론 가장 상위 규정이나, 실무적으론 그 하위의 지침등을 모두 포괄한 표현으로 사용되기도 한다.
| | * 정보보호에 대한 상위 수준의 목표 및 방향을 제시 |
| ;[[파일:정보보호 정책 개념도.png|400x400픽셀]]<br />
| | * 조직의 경영목표를 반영하고 정보보호 관련 상위 정책과 일관성을 유지 |
| | * 정보보호를 위해 관련된 모든 사람이 반드시 지켜야 할 요구사항을 전반적이며 개략적으로 규정 |
|
| |
|
| ==특징 및 조건==
| |
|
| |
|
| *정보보호에 대한 상위 수준의 목표 및 방향을 제시 | | == 표준, 지침, 절차 == |
| *조직의 경영목표를 반영하고 정보보호 관련 상위 정책과 일관성을 유지 | | * '''정보보호 표준''' |
| *정보보호를 위해 관련된 모든 사람이 반드시 지켜야 할 요구사항을 전반적이며 개략적으로 규정 | | ** 정보보호 정책의 하위의 개념으로 정책 목적을 달성하기 위하여 세부적인 사항을 사규 또는 내규 등으로 정형화하여 조직 내에서 일률적으로 준수하도록 하는 강제성이 있는 규정 |
| *한 번 만들고 끝나는 것이 아니라 관리과정 5단계를 통해서 지속적으로 검토 및 개선 | | * '''정보보호 지침''' |
| *위험관리 단계가 아닌 운영 중에라도 새로운 업무상의 필요가 나타날 경우 해당 정책을 새로이 작성 필요 | | ** 정보보호 정책 또는 표준처럼 강제적이지는 않지만, 정보보호의 정책을 달성하기 위해 도움이 될 수 있는 구체적인 사항을 설명한 권고 사항 |
| | * '''정보보호 절차''' |
| | ** 정책을 달성하기 위한 단계적 방안을 구체적으로 기술한 것으로, 누가 무엇을 어떻게 해야 하는지 세부적으로 규정하며 정책, 표준과 마찬가지로 필수적으로 준수해야 하는 사항 |
|
| |
|
| == 필요 조건 및 주요 내용 == | | == 정보보호 정책의 일반 원칙 == |
| | * '''개인적 측면''' |
| | ** 개인의 프라이버시가 침해되지 말아야 하며, 정보보호의 목적을 달성하기 위하여 IT부서 또는 정보보호 담당자의 편의 중심으로 개발되어서는 안 된다. |
| | * '''사회적 측면''' |
| | ** 도덕적 판단기준, 사회적 측면에서 일반적이고 보편타당 하여야 한다. |
| | * '''법률적인 측면''' |
| | ** 다른 사람의 법적인 권리를 보장할 수 있는 바탕에서 개발되어야 하며, 정보보호의 법률 및 규제 등의 요구사항이 반영되어야 한다. |
|
| |
|
| * '''목적 및 목표''': 중요한 정보자산이 무엇인지 식별하여 선언하고 정보의 특성이 만족되어야 하는지를 선언한다.
| |
| * '''대상범위''': 정책의 적용범위를 명시한다. 전 조직을 대상으로 하며 정보자산에 접근하는 외부인을 포함하는 것이 가장 일반적이고 바람직하다.
| |
| * '''정보정책의 내용''': 정책의 내용은 "정보가 비인가 된 접근으로부터 보호되어야 한다."라는 정도로 간단하고 명료하게 작성하고, 지침에서 다시 만들어 질 수 있도록 한다.
| |
| * '''책임 및 거버넌스:''' 정책을 수행하기 위해서는 기본적으로 책임사항을 정의한다.
| |
| * '''문서의 승인''': 조직의 최고책임자가 정책을 승인하고 지원의지를 알려야 한다.
| |
|
| |
|
| == 하위 규정 ==
| | == 출처 == |
| 정보보호 정책은 하위 규정 및 지침으로 분리되어 관리되기도 한다.
| | * 조직의 정보보호 정책 수립 가이드, TTA |
| | |
| '''정보보호 정책 및 지침 예시'''
| |
| {| class="wikitable"
| |
| !정책
| |
| !구분
| |
| !하위 규정·지침
| |
| |-
| |
| | rowspan="9" |'''정보보호 정책'''
| |
| | rowspan="4" |관리적 보안
| |
| |보안조직 관리지침
| |
| |-
| |
| |외주인력 관리지침
| |
| |-
| |
| |보안감사 관리지침
| |
| |-
| |
| |침해사고 대응지침
| |
| |-
| |
| | rowspan="3" |기술적 보안
| |
| |서버 보안 관리지침
| |
| |-
| |
| |네트워크 보안 관리지침
| |
| |-
| |
| |단말 보안 지침
| |
| |-
| |
| | rowspan="2" |물리적 보안
| |
| |시설 보안 관리지침
| |
| |-
| |
| |사무실 보안 관리지침
| |
| |}
| |
| <br />
| |
| ==(참고) 표준, 지침, 절차==
| |
| | |
| *'''정보보호 표준'''
| |
| **정보보호 정책의 하위의 개념으로 정책 목적을 달성하기 위하여 세부적인 사항을 사규 또는 내규 등으로 정형화하여 조직 내에서 일률적으로 준수하도록 하는 강제성이 있는 규정
| |
| *'''정보보호 지침'''
| |
| **정보보호 정책 또는 표준처럼 강제적이지는 않지만, 정보보호의 정책을 달성하기 위해 도움이 될 수 있는 구체적인 사항을 설명한 권고 사항
| |
| *'''정보보호 절차'''
| |
| **정책을 달성하기 위한 단계적 방안을 구체적으로 기술한 것으로, 누가 무엇을 어떻게 해야 하는지 세부적으로 규정하며 정책, 표준과 마찬가지로 필수적으로 준수해야 하는 사항
| |
| | |
| ==정보보호 정책의 일반 원칙==
| |
| | |
| *'''개인적 측면'''
| |
| **개인의 프라이버시가 침해되지 말아야 하며, 정보보호의 목적을 달성하기 위하여 IT부서 또는 정보보호 담당자의 편의 중심으로 개발되어서는 안 된다.
| |
| *'''사회적 측면'''
| |
| **도덕적 판단기준, 사회적 측면에서 일반적이고 보편타당 하여야 한다.
| |
| *'''법률적인 측면'''
| |
| **다른 사람의 법적인 권리를 보장할 수 있는 바탕에서 개발되어야 하며, 정보보호의 법률 및 규제 등의 요구사항이 반영되어야 한다.
| |
| | |
| ==출처== | |
| | |
| *조직의 정보보호 정책 수립 가이드, TTA | |
| *ISMS 구축 및 운영 교육 - 실무자 과정, 2011, KISA
| |