[보안맨] 정보보호 정책 재개정 관리 및 운영 방안

안녕하세요, 보안맨 입니다.

이번에 소개해 드릴 주제는 ‘정보보안 정책 제/개정 및 운영 방안’ 인데요. 

정보보안 정책이 필요한 당위성은 크게 법적 준거성 (e.g. 개인정보보호법 하위 내부관리계획 마련), ISMS (정보보안 관리체계) 통제 항목 등 대외적 측면과, 회사 내 규정/규칙 등을 마련하기 위한 내부적 측면이 있습니다.

회사별, 업권 별 정보보안 정책/지침 등을 규정하는 형태나 수준이 다양하고 광범위한 주제 입니다. 하지만 반드시 톺아보아야 하는 주제이기도 하죠. 

따라서, 본 기고글이 해당 주제에 대한 모든 내용을 담기에는 한계가 일정 부분 존재하며, 필자의 경험을 토대로 작성되었음을 미리 양해 부탁 드립니다.

정보보안 정책은 일반적으로 ‘정책/지침/절차/매뉴얼 등’으로 구분하는데요. 

반드시 해당 구조를 따를 필요는 없죠. 필자의 이전 회사에서는, 정책/지침서가 통합된 개념으로 존재하였으며, 하위에 절차서가 있었습니다. 

일종의 2 Level 문서 구조 형태죠. 매뉴얼은 강제 사항은 아니며, 필요에 따라 만들어졌습니다. 결론적으로 각 회사별 준법 관련 부서 또는 준법 담당자가 제시하는 정책/지침 문서 형태를 준용하면 무리 없으실 것 같아요.

1. 정보보안 정책/지침서 제정

보통 정책서를 제정하시는 경우, 회사 초기 설립에 따라 관련 정보보안 정책/지침서가 전무한 상태인 경우가 많으실 것 같은데요.

어떤 주제/통제 영역에 대해, 정보보안 정책 제정이 필요하신 경우, 결론적으로 잘 정립되어 있는 타 공공기관 등 보안 정책서 관련 내용(또는 문서 틀) 활용하시되, 조직 형태, 회사 법적 요구사항 등을 적절히 반영하시는 것을 추천해 드립니다.

Figure 1. KISA 정보보안 기본 지침

• -관련링크: https://www.kisa.or.kr/public/laws/laws4.jsp

기업 내 보안 예산이 뒷받침 되신다면, ISMS (정보보안 관리체계) 사전 컨설팅 등을 통해 보안 컨설턴트와 긴밀히 협조하여 정보보호 정책서 문서 체계를 구성하시는 것도 좋을 것 같습니다.

또한, 정보보안 정책서를 신규 생성하실 때, 아래와 같은 사항을 고려하시면 좋을 것 같습니다.

• 적용 범위

• 이 문서의 제정 목적

• 용어

• 연관 규정

• 제/개정 이력
  
  
  
  

2. 정보보안 절차서 제정

정보보안 절차서는 보통 상위 정책/지침간의 연계성을 고려해 구체적인 프로세스를 명시하고 구성원간 이를 준수하기 위해 만들어 지는데요. 

예를 들어, IT 부서 내 DB 이관에 관한 사항, 전 직원 대상 PC 반출입 관련 사항 등 다양한 IT보안 통제 사항에 대한 관련 세부적인 절차를 마련하죠.

정보보안 절차서를 신규 생성하실 때, 아래와 같은 사항을 고려하시면 좋을 것 같습니다.

.

Figure2. 관리자 권한 점검 주기적 검토 中 일부 발췌

• 절차서가 필요한 목적

• 내부적으로 연계(또는 상위)되는 규정은 무엇인지?

• 외부 법령 (e.g. 전자금융감독규정, 개인정보보호법)과 연관된 항목이 있는지? -

• 적용 범위

• 세부 프로세스는 무엇인지? – 가능하면 Flow Chart 등 도식화로 표현

• 담당자 또는 부서간 R&R은 어떻게 정의하는지?

• 용어 정의

• 제/개정 이력
  
  

3. 정보보안 정책/절차서 개정 관리

이전 회사의 경우, 정책/지침서 약 60여종, 절차서 약 30개 여종이 존재했는데요. 

절차서의 경우 보통 IT 내부감사, ISMS 인증 심사, 법에서 정하는 기준, 또는 기타 내부 필요 등에 따라 만들어졌습니다. 

하지만 일정 기간이 지난 후, 규정이 필요한 명분이 소멸될 수도 있는데요. (e.g. 보안 인증심사 연장 철회에 따른 관련 규정 재검토 필요 등) 따라서 IT (보안) 규정을 주기적으로 검토해야 할 필요성이 있습니다.

Figure3. 연간 IT 정책서/절차서 검토표 – 일부 발췌

연결 지어 생각해 보면, IT (보안) 규정을 주기적으로 검토/관리하는 별도의 규정(절차서)을 마련할 필요가 있는데요. 아래와 같은 사항을 고려하시면 좋을 것 같습니다.

• 일년 중 언제 수행하는가?

• 규정 관련 R&R은 어떻게 구성되어 있는가? – 예를 들어, 직무 관련 각 담당자가 현황 분석을 통해 개정 필요 여부를 1차 판단하고, 이를 부서장이 최종 승인하는 형태의 문서 구성 고려

• 어떤 근거로 개정 필요 또는 문서 폐기 등을 판단할 것인가?

각 회사는 연관되어 있는 관련 법령/행정규칙/고시, 또는 본사에서 요구하는 업데이트 사항, 기타 현황, 조직변화, 사업 변화, 취약점 교정 사항 등 에 따라 적절한 내용을 업데이트할 필요성이 있습니다. 

필자의 경우, 준법감시팀에서 금융감독원 또는 여신금융협회에서 법령이 개정된 사항을 정기적으로 공유해 주었죠. 

그렇지 않은 경우, 미리 각 담당자가 필요한 부분을 잘 메모해 놓은 후, 시기에 맞게 적절히 개정하는 부지런함이 필요합니다.

4. 그 외

단순히 IT (정보보안) 부서 내부적으로 정책/절차서로 그치면 안 되겠죠. 

다들 아시겠지만, 정보보안은 정보보안부서만이 하는 업무가 아닙니다. 전 임직원의 보안 의식 촉구 및 실제 행동 강령을 안내하기 위해 이해하기 쉬운 수준의 매뉴얼, 교육자료 배포/ 관련 교육이 필요합니다. 

또한 임직원들이 쉽게 접근할 수 있는 경로 (e.g. 책자, 그룹웨어 게시판 등)에 게시해야 합니다.

Figure 4. A 회사 그룹웨어의 보안 게시판

예를 들어, ‘문서의 안전한 관리’에 대한 상위 정책서가 있다면, 실질적으로 임직원들이 어떤 부분을 주의해야 할지, 일상 업무에서 기밀 문서는 어떻게 암호화 처리해야 할지를 자세하게 안내해야 합니다.

기고글이 도움 되셨으면 좋겠습니다.

궁금하신 사항은 댓글 남겨주세요. 감사합니다. J

더 많은 정보보호 /개인정보보호에 관한 유용한 정보는,

https://cafe.naver.com/allaboutpriprotect 를 방문해 주세요 :) 

감사합니다.