정보보호 정책 재개정 관리 및 운영 방안

정보보호 정책 재개정 관리 및 운영 방안

안녕하세요보안맨 입니다.

이번에 소개해 드릴 주제는 정보보안 정책 제/개정 및 운영 방안’ 인데요

정보보안 정책이 필요한 당위성은 크게 법적 준거성 (e.g. 개인정보보호법 하위 내부관리계획 마련), ISMS (정보보안 관리체계통제 항목 등 대외적 측면과회사 내 규정/규칙 등을 마련하기 위한 내부적 측면이 있습니다.

회사별업권 별 정보보안 정책/지침 등을 규정하는 형태나 수준이 다양하고 광범위한 주제 입니다하지만 반드시 톺아보아야 하는 주제이기도 하죠

따라서본 기고글이 해당 주제에 대한 모든 내용을 담기에는 한계가 일정 부분 존재하며필자의 경험을 토대로 작성되었음을 미리 양해 부탁 드립니다.

정보보안 정책은 일반적으로 정책/지침/절차/매뉴얼 등으로 구분하는데요

반드시 해당 구조를 따를 필요는 없죠필자의 이전 회사에서는정책/지침서가 통합된 개념으로 존재하였으며하위에 절차서가 있었습니다

일종의 2 Level 문서 구조 형태죠매뉴얼은 강제 사항은 아니며필요에 따라 만들어졌습니다결론적으로 각 회사별 준법 관련 부서 또는 준법 담당자가 제시하는 정책/지침 문서 형태를 준용하면 무리 없으실 것 같아요.


1. 정보보안 정책/지침서 제정

보통 정책서를 제정하시는 경우회사 초기 설립에 따라 관련 정보보안 정책/지침서가 전무한 상태인 경우가 많으실 것 같은데요.

어떤 주제/통제 영역에 대해정보보안 정책 제정이 필요하신 경우결론적으로 잘 정립되어 있는 타 공공기관 등 보안 정책서 관련 내용(또는 문서 틀활용하시되조직 형태회사 법적 요구사항 등을 적절히 반영하시는 것을 추천해 드립니다.

Figure 1. KISA 정보보안 기본 지침

  • -관련링크: https://www.kisa.or.kr/public/laws/laws4.jsp

기업 내 보안 예산이 뒷받침 되신다면, ISMS (정보보안 관리체계사전 컨설팅 등을 통해 보안 컨설턴트와 긴밀히 협조하여 정보보호 정책서 문서 체계를 구성하시는 것도 좋을 것 같습니다.

또한정보보안 정책서를 신규 생성하실 때아래와 같은 사항을 고려하시면 좋을 것 같습니다.

  • 적용 범위

  • 이 문서의 제정 목적

  • 용어

  • 연관 규정

  • /개정 이력




2. 정보보안 절차서 제정

정보보안 절차서는 보통 상위 정책/지침간의 연계성을 고려해 구체적인 프로세스를 명시하고 구성원간 이를 준수하기 위해 만들어 지는데요

예를 들어, IT 부서 내 DB 이관에 관한 사항전 직원 대상 PC 반출입 관련 사항 등 다양한 IT보안 통제 사항에 대한 관련 세부적인 절차를 마련하죠.

정보보안 절차서를 신규 생성하실 때아래와 같은 사항을 고려하시면 좋을 것 같습니다.

.

Figure2. 관리자 권한 점검 주기적 검토 中 일부 발췌

  • 절차서가 필요한 목적

  • 내부적으로 연계(또는 상위)되는 규정은 무엇인지?

  • 외부 법령 (e.g. 전자금융감독규정개인정보보호법)과 연관된 항목이 있는지? -

  • 적용 범위

  • 세부 프로세스는 무엇인지? – 가능하면 Flow Chart 등 도식화로 표현

  • 담당자 또는 부서간 R&R은 어떻게 정의하는지?

  • 용어 정의

  • /개정 이력


3. 정보보안 정책/절차서 개정 관리

이전 회사의 경우정책/지침서 약 60여종절차서 약 30개 여종이 존재했는데요

절차서의 경우 보통 IT 내부감사, ISMS 인증 심사법에서 정하는 기준또는 기타 내부 필요 등에 따라 만들어졌습니다

하지만 일정 기간이 지난 후규정이 필요한 명분이 소멸될 수도 있는데요. (e.g. 보안 인증심사 연장 철회에 따른 관련 규정 재검토 필요 등따라서 IT (보안규정을 주기적으로 검토해야 할 필요성이 있습니다.

Figure3. 연간 IT 정책서/절차서 검토표 – 일부 발췌

연결 지어 생각해 보면, IT (보안규정을 주기적으로 검토/관리하는 별도의 규정(절차서)을 마련할 필요가 있는데요아래와 같은 사항을 고려하시면 좋을 것 같습니다.

  • 일년 중 언제 수행하는가?

  • 규정 관련 R&R은 어떻게 구성되어 있는가? – 예를 들어직무 관련 각 담당자가 현황 분석을 통해 개정 필요 여부를 1차 판단하고이를 부서장이 최종 승인하는 형태의 문서 구성 고려

  • 어떤 근거로 개정 필요 또는 문서 폐기 등을 판단할 것인가?

각 회사는 연관되어 있는 관련 법령/행정규칙/고시또는 본사에서 요구하는 업데이트 사항기타 현황조직변화사업 변화취약점 교정 사항 등 에 따라 적절한 내용을 업데이트할 필요성이 있습니다

필자의 경우준법감시팀에서 금융감독원 또는 여신금융협회에서 법령이 개정된 사항을 정기적으로 공유해 주었죠

그렇지 않은 경우미리 각 담당자가 필요한 부분을 잘 메모해 놓은 후시기에 맞게 적절히 개정하는 부지런함이 필요합니다.




4. 그 외

단순히 IT (정보보안부서 내부적으로 정책/절차서로 그치면 안 되겠죠

다들 아시겠지만정보보안은 정보보안부서만이 하는 업무가 아닙니다전 임직원의 보안 의식 촉구 및 실제 행동 강령을 안내하기 위해 이해하기 쉬운 수준의 매뉴얼교육자료 배포관련 교육이 필요합니다

또한 임직원들이 쉽게 접근할 수 있는 경로 (e.g. 책자그룹웨어 게시판 등)에 게시해야 합니다.

Figure 4. A 회사 그룹웨어의 보안 게시판

예를 들어, ‘문서의 안전한 관리에 대한 상위 정책서가 있다면실질적으로 임직원들이 어떤 부분을 주의해야 할지일상 업무에서 기밀 문서는 어떻게 암호화 처리해야 할지를 자세하게 안내해야 합니다.


기고글이 도움 되셨으면 좋겠습니다.

궁금하신 사항은 댓글 남겨주세요감사합니다J

태그가 없습니다.

7개의 댓글이 있습니다.

2일 전

잘 봤습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

2일 전

좋은정보 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

2일 전

좋은 자료네요 보안 규정 새로 만드는 분들은 도움 많이 될것 같습니다

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

3일 전

잘 보았습니다~

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

3일 전

좋은 정보 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4일 전

정보보안기사 시험에 나오겠네요 ㅋ
정보 감사합니다

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

9일 전

감사합니다~

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입