제2항 정보보호 정책, 표준, 지침

 

제2항 정보보호 정책, 표준, 지침

정보보호 정책은 정보보호 활동의 목적, 전략, 목표를 설정하고 책임과 권한을 부여하기 위한 최고 경영진의 의사표현이다. 기업의 전략, 목표를 달성하기 위해 구체적인 정책이 필요하며 정책이 없다면 조직 및 기업은 개인 판단 기준에 의존하여 수행하게 된다.

통제 목표를 달성하기 위해 조직 및 기업은 통제 방법을 만들어야 한다. 이런 통제 방법은 통제 목표를 달성하기 위해 세부적으로 어떻게 이행해야 하는지를 다룬다. 통제 방법이 잘 준수될 수 있도록 그리고 효과적인 모니터링을 하기 위해 정책과 절차가 만들어져야 한다.

조직 및 기업에 관련된 비즈니스 활동 수행을 위한 목표 달성을 위해 관련된 법률을 준수하면서 중요 정보자산을 보호하기 위한 목표를 설정하고, 책임과 권한을 부여하며, 수행 절차를 규정한다.

정책을 수립하기 위해 먼저 정보보호 활동의 목적과 방향을 정의해야 하며, 정의된 정책을 준수하기 위해 도움이 될 수 있는 구체적인 사항을 설명한 지침을 수립한다.

정보보호 활동의 목적을 달성하고, 정책 및 지침을 준수하기 위해 조직 및 기업 내에서 일률적으로 준수해야 하는 사항을 정의한 표준을 정의하고 정책 및 지침을 달성하기 위해 단계적 방안을 구체적으로 기술한 절차를 활용한다.

수립된 정책은 임직원들의 업무활동의 가치 기준을 제공할 수 있도록 게시판, 메일, 교육 등을 통해 공유되어야 한다.

정책을 수립할 때에는 관련된 법령의 법적 요구사항을 만족할 수 있도록 수립되어야 하며, 수립된 정책 및 지침, 표준, 절차 간에 상호 일관된 정책이 규정되도록 관련된 정책의 제∙개정 시 우선적으로 검토되어야 한다. 경영진은 정책 수립과정에서 위원회 등을 통해 중요 사항에 대한 의사결정을 하고 정책을 승인함으로써 임직원들이 경영진의 정보보호에 대한 의도를 명확히 이해하고 준수하도록 해야 한다.

 

[표] 정책, 표준, 지침, 절차의 정의

구분	설명
정책	정보보호 목표, 방향을 제시하는 최상위 문서 경영진의 의지와 지원을 포함
표준	정책 준수를 위해 요구되는 구체적인 사항 반드시 준수하도록 요구되는 규정
지침/가이드라인	정책, 표준에 비해 강제성이 약함 선택적이거나 권고적인 내용, 융통성을 가질 수 있는 규정
절차	사용자들이 정책, 표준, 지침을 준수할 때 구체적으로 수행해야 할 세부 내용을 규정

“정보보호는 기술이 아니라 프로세스이다”, “정보관리체계는 비즈니스이다”라는 말처럼 정보보호는 기업의 업무와 유기적인 관계를 가지고 있어 정보보호가 업무에 내재화 되어야 하며 위험관리, 비즈니스 연속성 고려, IT 거버넌스, 개인정보보호 등 비즈니스 요구사항을 충족할 수 있도록 정보보호 활동을 관리하여야 한다. 100% 완벽한 보안 대책을 추구하기 보다는 효과적인 투자관리가 가능하도록 사고에 의한 손실 가능성과 비용 간의 관계를 고려하여 피해를 최소화할 수 있도록 하여야 한다.

리히비의 ‘최소율 법칙’에 따라 어느 한 분야의 정보보호 수준이 낮으면 전체 정보보호 수준이 낮아질 수 있다. 때문에 정보보호 균형 유지, 비용 대비 높은 효과가 기대되는 투자, 정보자산 식별, 자산에 대한 위험관리가 필요하며 이에 조직 및 기업은 효과적으로 비즈니스 환경에 맞춰 정보보호 관리체계를 수립 활동을 수행하도록 정책, 표준, 지침 및 가이드 수립을 위해 노력하여야 한다.

정책 개발 절차는 크게 4단계로 나눌 수 있다.

첫째 단계에서 조직 및 기업과 관련된 참조 문서, 가이드, 지침, 법률 등을 수집하고 요구사항을 정의한다. 둘째 단계에서는 요구사항이 반영되고 수립된 정책 및 지침 간의 일관성 등을 고려하여 수립 방향을 결정한다. 셋째 단계에서는 수립된 방향에 따라 정책 초안을 작성하고 주요 이해관계자들의 검토 및 조정과정을 거친다. 정책 적성 시 개인의 프라이버시가 침해되지 않아야 하며, 보편 타당성에 기반하여 정보보호 관련 법률의 요구사항이 반영되어 작성될 수 있어야 한다. 넷째 단계에서는 수립된 정책을 경영진의 검토 및 승인을 거쳐 임직원들에게 배포하고 이행하도록 한다.