정보보호 정책

IT 위키


정보보호 정책은 문서화된 사업 규칙의 특수한 형태로서 정보보호에 관한 경영진의 목표와 방향을 제시하는 것이다.
  • 문언적으론 가장 상위 규정이나, 실무적으론 그 하위의 지침등을 모두 포괄한 표현으로 사용되기도 한다.
정보보호 정책 개념도.png

특징 및 조건[편집 | 원본 편집]

  • 정보보호에 대한 상위 수준의 목표 및 방향을 제시
  • 조직의 경영목표를 반영하고 정보보호 관련 상위 정책과 일관성을 유지
  • 정보보호를 위해 관련된 모든 사람이 반드시 지켜야 할 요구사항을 전반적이며 개략적으로 규정
  • 한 번 만들고 끝나는 것이 아니라 관리과정 5단계를 통해서 지속적으로 검토 및 개선
  • 위험관리 단계가 아닌 운영 중에라도 새로운 업무상의 필요가 나타날 경우 해당 정책을 새로이 작성 필요

필요 조건 및 주요 내용[편집 | 원본 편집]

  • 목적 및 목표: 중요한 정보자산이 무엇인지 식별하여 선언하고 정보의 특성이 만족되어야 하는지를 선언한다.
  • 대상범위: 정책의 적용범위를 명시한다. 전 조직을 대상으로 하며 정보자산에 접근하는 외부인을 포함하는 것이 가장 일반적이고 바람직하다.
  • 정보정책의 내용: 정책의 내용은 "정보가 비인가 된 접근으로부터 보호되어야 한다."라는 정도로 간단하고 명료하게 작성하고, 지침에서 다시 만들어 질 수 있도록 한다.
  • 책임 및 거버넌스: 정책을 수행하기 위해서는 기본적으로 책임사항을 정의한다.
  • 문서의 승인: 조직의 최고책임자가 정책을 승인하고 지원의지를 알려야 한다.

하위 규정[편집 | 원본 편집]

정보보호 정책은 하위 규정 및 지침으로 분리되어 관리되기도 한다.

정보보호 정책 및 지침 예시

정책 구분 하위 규정·지침
정보보호 정책 관리적 보안 보안조직 관리지침
외주인력 관리지침
보안감사 관리지침
침해사고 대응지침
기술적 보안 서버 보안 관리지침
네트워크 보안 관리지침
단말 보안 지침
물리적 보안 시설 보안 관리지침
사무실 보안 관리지침


(참고) 표준, 지침, 절차[편집 | 원본 편집]

  • 정보보호 표준
    • 정보보호 정책의 하위의 개념으로 정책 목적을 달성하기 위하여 세부적인 사항을 사규 또는 내규 등으로 정형화하여 조직 내에서 일률적으로 준수하도록 하는 강제성이 있는 규정
  • 정보보호 지침
    • 정보보호 정책 또는 표준처럼 강제적이지는 않지만, 정보보호의 정책을 달성하기 위해 도움이 될 수 있는 구체적인 사항을 설명한 권고 사항
  • 정보보호 절차
    • 정책을 달성하기 위한 단계적 방안을 구체적으로 기술한 것으로, 누가 무엇을 어떻게 해야 하는지 세부적으로 규정하며 정책, 표준과 마찬가지로 필수적으로 준수해야 하는 사항

정보보호 정책의 일반 원칙[편집 | 원본 편집]

  • 개인적 측면
    • 개인의 프라이버시가 침해되지 말아야 하며, 정보보호의 목적을 달성하기 위하여 IT부서 또는 정보보호 담당자의 편의 중심으로 개발되어서는 안 된다.
  • 사회적 측면
    • 도덕적 판단기준, 사회적 측면에서 일반적이고 보편타당 하여야 한다.
  • 법률적인 측면
    • 다른 사람의 법적인 권리를 보장할 수 있는 바탕에서 개발되어야 하며, 정보보호의 법률 및 규제 등의 요구사항이 반영되어야 한다.

출처[편집 | 원본 편집]

  • 조직의 정보보호 정책 수립 가이드, TTA
  • ISMS 구축 및 운영 교육 - 실무자 과정, 2011, KISA