2021-06-14 01:55 (월)
정보보호 정책을 가지고 계신가요?
상태바
정보보호 정책을 가지고 계신가요?
  • 최성주
  • 승인 2011.08.18 00:38
이 기사를 공유합니다

경영진의 책임하에 정보보호에 대한방향 제시되어야
당신이 소속된 기관은 정보보호 정책을 가지고 계신가요?
 
만약 이러한 질문을 받는다면 몇 초간 생각을 하지 않으신가요? 사내 정보보호를 위한 가이드 또는 지침이 떠오를 수도 있고 바로 정보보호 정책이 떠오를 수도 있을 것입니다.
 
대부분의 기관(기업) 정보보호정책을 가지고 있으며, 그에 따른 표준, 지침, 절차를 가지고 있습니다.
 
그러면 정보보호 정책이란 무엇인가?
정보통신의 발달로 기업의 전략, 기술, 회계 등 대부분의 주요한 업무가 정보시스템을 통해 처리되고 있으며, 정보시스템으로 인해 기업의 생산성 및 효율성이 향상되고 있다.
그러나, 이와 같은 긍정적인 측면에 비해 매년 기업들은 정보의 유출로 인한 금전적 손실 및 법적 책임, 대외 신뢰도 하락 등의 부정적인 위험이 증가하고 있다.
이러한 역기능은 기업의 경영활동에 있어 위험요소로 자리매김을 하였으며, 이러한 위험이 기업의 문제가 아닌 국가차원의 문제로 인식을 하면서 정보보호의 중요성에 대해 사회적ㆍ국가적 현안으로 대두되었다.
 
정보보호의 중요성을 인식하고 기업들은 매년 정보보호 투자를 증가시키고 있으나, 정보보호를 수립하고 관리하기 위한 방법에 대한 이해는 아직 부족한 실정이며 단적인 예로 정보보호를 기술적 관리로만 인식하여 방화벽, IPS, IDS 등 보안시스템 도입만으로 정보보호를 다 했다고 믿거나,정보보호 책임자를 두었다고 해결될 것이라고 생각을 하고 있으며, 간혹 기업의 정보시스템을 구축하는 경우 개발 프로젝트 팀에게 기업의 정보보호 정책 및 지침 작성을 요구하는 경우가 있다.
 
정보보호는 단순히 기술적인 문제가 아닌 경영상의 문제로, 경영진의 책임하에 정보보호에 대한방향 제시, 지속적인 달성목표 관리 등 정보보호 실무자들에게 어떻게 정보를 보호할 것인지에 대한 방침 및 인적ㆍ물적 지원, 정기적인 검토를 수행하여야만, 실무진들이 자신의 책임을 명확히 알 수 있으면 목표를 달성할 수 있게 된다.
 
따라서, 경영진은 정보보호를 위해 가장 중요한 업무 중 하나인 정책의 수립과 어떠한 정보를 어떤 수준으로 어떤 우선순위로 보호해야 하는지에 대한 전반적인 목표와 방침을 명확하게 제시하는 것이다. 이것이 정보보호 정책이며, 실무자가 이를 달성하기 위해 무엇을 어떻게 해야 할지를 계획하고 구현하는 것이다.
 
정보보호 정책 정의
정보보호 정책은 문서화된 형태로서 정보보호에 관한 경영진의 목표와 방향을 제시하는 것이다.
정보보호 정책은 반드시 충족해야 할 특정 요구사항 또는 규칙에 대한 윤곽을 명시하며, 고위경영진에 의해 생성된 High Level Statement로서 사내의 중요한 정보를 보호ㆍ관리ㆍ배포하기 위한 방법을 규정한다.
또한 조직의 고위경영진이 생각하는 신념과 지향하는 목표 그리고 달성하고자 하는 내용의 성명서(Statement)로 정책은 내용상 간단하나 강력한 시행을 요구하는 의무사항이다.
정책은 문서화되어야만 법률상의 문제 발생 시 법정에서 법적 인정을 받을 수 있으며, 총괄적인 내용을 나타내는 청사진으로 년간 주기로 검토하여 조직 구성이나 책임의 변동에 따른 변화를 반영해야 한다.
 
[표] 정책, 표준, 지침, 절차의 정의 및 특성

구분 정의 및 특성
정책
(Policy)

 • 정보보호에 대한 상위 수준의 목표 및 방향을 제시

 • 조직의 경영목표를 반영하고 정보보호 관련 상위 정책과 일관성을 유지

 • 정보보호를 위해 관련된 모든 사람이 반드시 지켜야 할 요구사항을 전반적이며 개략적으로 규정

표준
(Standard)

 • 정보보호 정책과 마찬가지로 반드시 지켜야 하는 요구사항에 대한 규정이지만, 정책의 만족을 위  해 반드시 준수해야 할 구체적인 사항이나 양식을 규정

 • 조직의 환경 또는 요구사항에 따라 관련된 모든 사용자 들이 준수하도록 요구되는 규정

지침
(Guidelines)

 • 반드시 지켜야 하는 것이 아니라 선택 가능하거나 권고적인 내용이며 융통성 있게 적용할 수 있는 사항을 설명

 •  정보보호 정책에 따라 특정 시스템 또는 특정 분야별로 정보보호 활동에 필요하거나 도움이 되는 세부 정보를 설명

절차
(Procedures)

 • 정책을 만족하기 위하여 수행하여야 하는 사항을 순서에 따라 단계적으로 설명

 • 정보보호 활동의 구체적 적용을 위해 필요한 적용 절차 등의 구체적이고 세부적인 방법을 기술

[출처: 조직의 정보보호 정책 수립 가이드(한국정보통신기술협회)]
 
정보보호 정책 수립 시 중요성
정책은 조직 문화의 방향을 제시하고 무엇을 보호하고 왜 보호하는가를 기술하여야 하며, 무엇을 제일 우선적으로 보호해야 하며 비용을 얼마를 투자해야 하는가에 대한 우선순위를 정해야 한다.
또한, 여러 조직간의 합의를 통해 보안의 가치와 중요성에 대한 이해가 필요하며, 조직원들에게 행위의 기준을 제시하고 관리를 지원해야 한다.
 
정보보호 정책 개발의 원칙
정보보호 정책 개발은 보편 타당한 정보보호 원칙을 지키면서 도덕적 판단기준에 적합하고, 개인의 목적과 조직의 목표가 조화를 이룰 수 있도록, 정보보호 관련 법률 및 규정을 준수하는 것이다.

[표] 정보보호 정책의 일반 원칙

구분 설명
개인적 측면

 • 개인의 프라이버시가 침해되지 않아야 함

 • IT부서 또는 정보보호 담당자의 편의 중심으로 개발되어서는 안됨

사회적 측면

 • 사회적, 일반적 보편타당 해야 함.

법률적인 측면

 • 타인의 법적인 권리를 침해해서는 안됨

 • 법률 및 규제 등의 요구사항이 반영되어야 함

[출처: 조직의 정보보호 정책 수립 가이드(한국정보통신기술협회)]
 
정보보호 정책 요소
[그림] 정보보호 정책 요소
경영진의 참여와 지원
성공적인 정보보호 실천을 위해서 정보보호 정책이 최고경영자 및 경영진에 대한 참여를 통하여 제정되고, 승인되며 직원들에게 정보보호가 중요하다는 것을 보여줄 수 있으며, 모든 사람들에게 경영진이 정보보호에 대한 확신할 실행의지와 지원이 약속되었다는 것을 보여줄 수 있다.
 
관계 법령의 고려
정보보호 정책은 조직 내에서 정보보호 실천을 위한 최상위의 규정이지만 조직의 사업 목적과 관계법령에 종속된다. 정보보호는 한 조직만의 문제는 아니며 국가의 안전과 시민의 권리와도 관련되어 있다. 따라서 정보보호 정책은 제반 법적 요구사항을 만족하여야 할 뿐만 아니라 적극적으로 정보보호에 관련된 법적 요구사항을 달성하도록 명시하여야 한다
 
상위 정책과의 일관성 유지
정보보호 정책의 체계를 수립하는 것은 경영전략, 정보기술전략(ISP) 등의 상위 정책과의 일관성을 유지하는 것과 정책, 표준, 지침, 절차 등의 정보보호 관련 문서의 유형을 조직에 맞도록 정형화하는 것을 의미한다.
상위 정책과의 일관성을 유지하기 위해서는 정보보호 정책을 새롭게 개발하거나 개정하는 경우에는 경영전략, 사업목표 등의 상위 문서를 개발의 초기단계에서 우선적으로 검토하여 필요한 사항을 적절하게 반영하여야 한다
 
정보보호 정책 구성 체계
정보보호에 관련된 문서 체계는 상위의 정보보호 정책과 중간의 절차, 표준 지침, 그리고 하위의 정보보호관리체계를 운영하면서 발생하는 기록 등으로 분류하여 관리한다. 하위의 문서는 상위의 문서를 구체화하며 상위 문서에 종속된다.
또한, 정보보호 정책 역시 목적, 적용 대상과 범위에 따라 계층화될 수 있으며, 전 조직에 적용되는 최상위의 정보보호 정책이 존재하고 이를 달성하기 위해 각 부서별로 업무에 관련된 정보보호 정책이 존재할 수 있다.
 
정보보호 정책 절차
정보보호 정책은 문서화된 사업 규칙의 특수한 형태로서 정보보호에 관한 경영진의 목표와 방향을 제시하는 것으로 논리적으로는 목표와 방향을 먼저 제시하고 이에 따라 정보보호 노력을 진행하는 것이 올바른 순서이다. 그러나 실제로는 많은 조직에서 명시적인 정보보호 정책이 만들어지기 전에 정보보호 업무가 이미 진행되고 있으며 이를 체계적으로 수행하고자 노력하는 과정에서 정보보호 정책의 필요성이 제기되는 것이 일반적이다.
 
[그림]정보보호 개발 절차
정보보호 정책 개발 절차는 크게 준비, 작성 및 검토, 승인의 3단계로 나눌 수 있으며,
①준비 단계는 참조문서 수집 및 분석, 조직의 정보보호 요구사항 확인, 정책의 초안 구조 결정
②작성 및 검토 단계는 정책 초안 작성, 내용 검토 및 조정
③승인 단계는 정보보호 위원회 등을 통해 경영진 검토, 공식적 승인 및 정책 개발 완료
 
이와 같이 정보보호 정책은 최고경영진의 승인 및 지원, 직원들의 필요성 인지, 책임의 할당을 통해 정보보호 정책이 개발 될 수 있으며, 개발 된 정책으로 기업 보안의 초석을 마련할 수 있게 된다.
 

참고자료 및 출처 
- IT 거버넌스 프레임워크 코빗 – COBIT 4.1 – 조희준
- 조직의 정보보호 정책 수립 가이드– 한국정보통신기술협회(2008)
- 정보보호 전문가의 CISSP 노트 - 조희준 외 공저
- http://www.kisa.or.kr 

[(주)키삭 최성주 handchoi@hotmail.com]