정보보호 정책 및 조직

* 정보보호 정책 이란? 

기업 또는 조직의 정보보호에 대한 방향, 전략 그리고 주요 내용들을 문서화 시켜놓은 것을 말한다.

정보보호관리를 위해서 가장 먼저하는 정책수립에 해당하는 결과물이다.

정책은 2가지 유형이 있다.

 

- 하향식 유형 (Top-down) : 상위 정책에서 하위 정책을 도출.

- 상향식 유형 (Bottom-up) : 기업의 기존 정책들을 종합하여 도출

 

정책을 도출해내는 유형은 위와같이 두가지가 있고, 이들은 모두 일관성이 있어야 하고,

정책간의 연관성 그리고 최상위 정책은 하위 정책을 모두 포괄해야 한다.

그렇기에 몇가지 조건이 있다.

 

1. 간결, 명확해야 한다.

2. 정보보호의 목표, 회사의 비전을 포함

3. 정책에 영향을 받는 임직원들에게 정책에 대한 설명을 해야함.

4. 난해한 표현을 쓰지 않고 쉽게 쓴다.

 

정보보호정책에는 아래와 같은 사항들이 반드시 포함되어야 한다.

- 자산의 분류

- 비인가자의 접근 원칙

- 기밀성, 무결성, 가용성 보장

- 법 준거성

- 개발 및 유지 방법

- 비상대책 계획 수립

- 교육 및 훈련 / 징계와 처벌

- 보안사고 보고 및 조사

- 기타 관련 정책

 

 

* 정보보호정책서

정보보호 정책을 담아 문서화 시킨 것을 정보보호정책서 라고 한다.

정책서에는 아래와 같은 내용들을 보고 작성한다.

- 목적 : 우리가 지켜야 할건 뭔가?

- 범위 : 정책 적용 범위는?

- 내용 : 간단명료하게 중요한 내용만

- 책임 : 책임져야 하는 부분들

- 문서승인 : 대장이 승인했니?

- 정보보호위원회 : 가능하면 위원회를 만들어 관리.

 

이번에는 정보보호조직의 조직체계의 역할과 책임에 대해 알아보자.

 

* 정보보호조직 구성

정보보호관리를 위해서 체계적으로 조직구성을 먼저 해야겠지요.

 

- 정보보호책임자 : 조직의 구성 및 운영 총괄

- 정보보호관리자 : 정보보호 활동의 계획 및 관리

- 정보보호담당자 : 실무자. 계획한 정책 이행

- 정보보호위원회 : 활동계획 및 예산심의. 정책과 규정 최종 심의 (대표이사, 책임자, 관리자로 구성)

 

간단하게 저사람들이 뭐하는 사람인지 알아봤다. 그럼 좀더 상세하게 위 사람들이 하는 일을 알아보자.

* 정보보호책임자

1. 기본 역할

- 정책 수립과 실행

- 위험분석 수립과 실행

- 위원회 소집 및 의장 역할

- 정책서, 계획서, 관련규정 승인

- 현황 감독

 

2. 정보자산관련 책임

- 정보자산 평가 및 선정등급 승인

- 정보자산 보호대책의 주기적 검토

 

3. 교육훈련 관련 책임

- 정보보호 관련 교육, 훈련 계획서 승인

- 교육 실적 검토

 

4. 보안사고 발생시 책임

- 사고 처리계획 승인 및 처리결과 확인

- 보안사고시 위원회 소집 결정

- 보안사고를 외부기관에 보고해야할 경우, 대표의 인가를 받음

 

5. 시스템 개발 및 유지보수 시 책임

- 정보시스템의 개발, 운영 및 유지보수 계획 승인

 

6. 감사 및 점검 책임

- 최소 연 1회이상 보안진단 또는 감사의 보장 및 지원

 

* 정보보호관리자

1. 기본역할

- 정보보호를 위한 전반적인 관리 정책과 계획과 규정 수립

- 위원회 간사 역할

- 정보보호관련 사내 홍보

 

2. 교육훈련

- 년간 정보보호교육 계획 수립 및 실행

 

3. 정보보호 계획 및 정책 

- 정보보호 계획/정책/규정 수립 및 이행 상태 감독

- 정보자산 취약성 평가

- 정보자산 책임자, 사용자 관리 및 검토

 

4. 점검 및 감독

- 정보보호 실태 점검 및 시정조치

- 보안취약성 검토 및 대책 수립

- 보안사고 예방 및 위험 이슈 보고

 

5. 보안사고 대응

- 보안사고시 조사, 보고, 조치계획 수립

 

6. 보안 감사

- 감사 계획 수립 및 시행

 

* 정보보호담당자

1. 기본역할

- 구체적이며 기술적인 보안관리 업무 수행

 

2. 교육훈련

- 교육훈련 실시

- 교육훈련 기록관리

 

3. 보안사고대응

- 사고 목록 유지 / 사고 감시

- 처리현황 감독, 분석보고서 작성 및 보고

- 사고 예방을 위해 대책 수립

- 취약성 조사, 분석, 문제제기

 

4. 정보자산 관리

- 접근 로그 관리, 검토

- 자산의 폐기/삭제

- 비인가 접근 통제 대책 수립

- 정보시스템 개발/운영/유지보수

 

5. 감사 및 점검시 확인

- 기술적 보안감사

- 감사 지적사항의 처리 현황 확인

 

대충 쉽게 생각하면 이러하다.

책임자는 승인/검토 하는 사람들이고

관리자는 계획/정책수립 같은 일을 하는 사람들

담당자는 말그대로 계획대로 시행하는 실무자들