정보보호 정책: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
Line 1: | Line 1: | ||
[[분류:보안]][[분류:컴플라이언스]][[분류:정보보안기사]] | [[분류:보안]] | ||
[[분류:컴플라이언스]] | |||
[[분류:정보보안기사]] | |||
;정보보호 정책은 문서화된 사업 규칙의 특수한 형태로서 정보보호에 관한 경영진의 목표와 방향을 제시하는 것이다. | |||
;* 문언적으론 가장 상위 규정이나, 실무적으론 그 하위의 지침등을 모두 포괄한 표현으로 사용되기도 한다. | |||
* | ;[[파일:정보보호 정책 개념도.png|400x400픽셀]]<br /> | ||
==특징 및 조건== | |||
*정보보호에 대한 상위 수준의 목표 및 방향을 제시 | |||
* | *조직의 경영목표를 반영하고 정보보호 관련 상위 정책과 일관성을 유지 | ||
* | *정보보호를 위해 관련된 모든 사람이 반드시 지켜야 할 요구사항을 전반적이며 개략적으로 규정 | ||
* | *한 번 만들고 끝나는 것이 아니라 관리과정 5단계를 통해서 지속적으로 검토 및 개선 | ||
*위험관리 단계가 아닌 운영 중에라도 새로운 업무상의 필요가 나타날 경우 해당 정책을 새로이 작성 필요 | |||
* | |||
* | |||
== | == 필요 조건 및 주요 내용 == | ||
* '''목적 및 목표''': 중요한 정보자산이 무엇인지 식별하여 선언하고 정보의 특성이 만족되어야 하는지를 선언한다. | |||
* '''대상범위''': 정책의 적용범위를 명시한다. 전 조직을 대상으로 하며 정보자산에 접근하는 외부인을 포함하는 것이 가장 일반적이고 바람직하다. | |||
* '''정보정책의 내용''': 정책의 내용은 "정보가 비인가 된 접근으로부터 보호되어야 한다."라는 정도로 간단하고 명료하게 작성하고, 지침에서 다시 만들어 질 수 있도록 한다. | |||
* '''책임 및 거버넌스:''' 정책을 수행하기 위해서는 기본적으로 책임사항을 정의한다. | |||
* '''문서의 승인''': 조직의 최고책임자가 정책을 승인하고 지원의지를 알려야 한다. | |||
== 출처 == | == 하위 규정 == | ||
* 조직의 정보보호 정책 수립 가이드, TTA | 정보보호 정책은 하위 규정 및 지침으로 분리되어 관리되기도 한다. | ||
'''정보보호 정책 및 지침 예시''' | |||
{| class="wikitable" | |||
!정책 | |||
!구분 | |||
!하위 규정·지침 | |||
|- | |||
| rowspan="9" |'''정보보호 정책''' | |||
| rowspan="4" |관리적 보안 | |||
|보안조직 관리지침 | |||
|- | |||
|외주인력 관리지침 | |||
|- | |||
|보안감사 관리지침 | |||
|- | |||
|침해사고 대응지침 | |||
|- | |||
| rowspan="3" |기술적 보안 | |||
|서버 보안 관리지침 | |||
|- | |||
|네트워크 보안 관리지침 | |||
|- | |||
|단말 보안 지침 | |||
|- | |||
| rowspan="2" |물리적 보안 | |||
|시설 보안 관리지침 | |||
|- | |||
|사무실 보안 관리지침 | |||
|} | |||
<br /> | |||
==(참고) 표준, 지침, 절차== | |||
*'''정보보호 표준''' | |||
**정보보호 정책의 하위의 개념으로 정책 목적을 달성하기 위하여 세부적인 사항을 사규 또는 내규 등으로 정형화하여 조직 내에서 일률적으로 준수하도록 하는 강제성이 있는 규정 | |||
*'''정보보호 지침''' | |||
**정보보호 정책 또는 표준처럼 강제적이지는 않지만, 정보보호의 정책을 달성하기 위해 도움이 될 수 있는 구체적인 사항을 설명한 권고 사항 | |||
*'''정보보호 절차''' | |||
**정책을 달성하기 위한 단계적 방안을 구체적으로 기술한 것으로, 누가 무엇을 어떻게 해야 하는지 세부적으로 규정하며 정책, 표준과 마찬가지로 필수적으로 준수해야 하는 사항 | |||
==정보보호 정책의 일반 원칙== | |||
*'''개인적 측면''' | |||
**개인의 프라이버시가 침해되지 말아야 하며, 정보보호의 목적을 달성하기 위하여 IT부서 또는 정보보호 담당자의 편의 중심으로 개발되어서는 안 된다. | |||
*'''사회적 측면''' | |||
**도덕적 판단기준, 사회적 측면에서 일반적이고 보편타당 하여야 한다. | |||
*'''법률적인 측면''' | |||
**다른 사람의 법적인 권리를 보장할 수 있는 바탕에서 개발되어야 하며, 정보보호의 법률 및 규제 등의 요구사항이 반영되어야 한다. | |||
==출처== | |||
*조직의 정보보호 정책 수립 가이드, TTA | |||
*ISMS 구축 및 운영 교육 - 실무자 과정, 2011, KISA |
Latest revision as of 14:26, 16 May 2022
- 정보보호 정책은 문서화된 사업 규칙의 특수한 형태로서 정보보호에 관한 경영진의 목표와 방향을 제시하는 것이다.
- 문언적으론 가장 상위 규정이나, 실무적으론 그 하위의 지침등을 모두 포괄한 표현으로 사용되기도 한다.
특징 및 조건[edit | edit source]
- 정보보호에 대한 상위 수준의 목표 및 방향을 제시
- 조직의 경영목표를 반영하고 정보보호 관련 상위 정책과 일관성을 유지
- 정보보호를 위해 관련된 모든 사람이 반드시 지켜야 할 요구사항을 전반적이며 개략적으로 규정
- 한 번 만들고 끝나는 것이 아니라 관리과정 5단계를 통해서 지속적으로 검토 및 개선
- 위험관리 단계가 아닌 운영 중에라도 새로운 업무상의 필요가 나타날 경우 해당 정책을 새로이 작성 필요
필요 조건 및 주요 내용[edit | edit source]
- 목적 및 목표: 중요한 정보자산이 무엇인지 식별하여 선언하고 정보의 특성이 만족되어야 하는지를 선언한다.
- 대상범위: 정책의 적용범위를 명시한다. 전 조직을 대상으로 하며 정보자산에 접근하는 외부인을 포함하는 것이 가장 일반적이고 바람직하다.
- 정보정책의 내용: 정책의 내용은 "정보가 비인가 된 접근으로부터 보호되어야 한다."라는 정도로 간단하고 명료하게 작성하고, 지침에서 다시 만들어 질 수 있도록 한다.
- 책임 및 거버넌스: 정책을 수행하기 위해서는 기본적으로 책임사항을 정의한다.
- 문서의 승인: 조직의 최고책임자가 정책을 승인하고 지원의지를 알려야 한다.
하위 규정[edit | edit source]
정보보호 정책은 하위 규정 및 지침으로 분리되어 관리되기도 한다.
정보보호 정책 및 지침 예시
정책 | 구분 | 하위 규정·지침 |
---|---|---|
정보보호 정책 | 관리적 보안 | 보안조직 관리지침 |
외주인력 관리지침 | ||
보안감사 관리지침 | ||
침해사고 대응지침 | ||
기술적 보안 | 서버 보안 관리지침 | |
네트워크 보안 관리지침 | ||
단말 보안 지침 | ||
물리적 보안 | 시설 보안 관리지침 | |
사무실 보안 관리지침 |
(참고) 표준, 지침, 절차[edit | edit source]
- 정보보호 표준
- 정보보호 정책의 하위의 개념으로 정책 목적을 달성하기 위하여 세부적인 사항을 사규 또는 내규 등으로 정형화하여 조직 내에서 일률적으로 준수하도록 하는 강제성이 있는 규정
- 정보보호 지침
- 정보보호 정책 또는 표준처럼 강제적이지는 않지만, 정보보호의 정책을 달성하기 위해 도움이 될 수 있는 구체적인 사항을 설명한 권고 사항
- 정보보호 절차
- 정책을 달성하기 위한 단계적 방안을 구체적으로 기술한 것으로, 누가 무엇을 어떻게 해야 하는지 세부적으로 규정하며 정책, 표준과 마찬가지로 필수적으로 준수해야 하는 사항
정보보호 정책의 일반 원칙[edit | edit source]
- 개인적 측면
- 개인의 프라이버시가 침해되지 말아야 하며, 정보보호의 목적을 달성하기 위하여 IT부서 또는 정보보호 담당자의 편의 중심으로 개발되어서는 안 된다.
- 사회적 측면
- 도덕적 판단기준, 사회적 측면에서 일반적이고 보편타당 하여야 한다.
- 법률적인 측면
- 다른 사람의 법적인 권리를 보장할 수 있는 바탕에서 개발되어야 하며, 정보보호의 법률 및 규제 등의 요구사항이 반영되어야 한다.
출처[edit | edit source]
- 조직의 정보보호 정책 수립 가이드, TTA
- ISMS 구축 및 운영 교육 - 실무자 과정, 2011, KISA