정보보호개론] 18. 정보보호 정책

○ 정보보호정책

 - 조직체 내에서 정보보호 임무를 관리하기 위한 수단

   · 보안프로그램을 생성하고, 그 목표를 설정하며, 책임을 부여하는 등 최고 관리자의 지시 의미

   · 특정한 시스템을 위한 보안 규칙을 의미

○ 정보보호정책의 유형

 • 프로그램 정책

   - 일반적으로 조직의 최고관리자가 수립

   - 상위수준의 정책 : 프로그램의 목적과 적용범위, 관리 및 책임을 부서에 부여

   - 프로그램 정책 구성요소 : 목적, 범위, 책임, 규정준수

 • 문제 지향 정책

   - 특정한 관심분야에 초점을 맞추어 개발되는 정책

   - 최근 법률의 개정처럼 새로운 문제 발생시

   - 프로그램 정책은 광범위하므로 자주 변경하지 않지만, 문제지향정책은 자주

   - 구성요소 : 문제기술, 조직입장, 적용가능서, 역할책임 등등

   - 프로그램정책, 문제지향정책은 전체조직을 고려한 넓은 범위(세부사항 명기하지 않음)

 • 시스템 지향 정책

   - 세부사항에 초점을 맞추어 특정한 하나의 시스템에 대한 보안정책 기술

   - 같은 조직에서도 시스템마다 다를 수 있다

   - 이런 결정은 기술간부가 아니라 고위관리자에 의해 내려져야

   - 일관적이고 포괄적 정보보호 정책을 위해 보안목적부터 보안규칙을 도출하는 관리과정 필요

   - 구성요소 ; 보안목적, 보안규칙, 시스템 지향 정책 구현

○ 정보보호 정책 수립

 - 절차, 표준, 지침은 정책이 조직에서 어떻게 구현되어야 하는지 설명하는 자료

 • 정책 수립시 고려사항

   - 조직 특성 고려

   - 새로 제,개정되는 보안정책은 기존 정책, 규정에 부합되어야

 • 정책개발

   - 기술적 지식을 배경으로 시행가능해야

   - 최고관리자 + 기술요원

   - 주기적 위험분석결과에 따라 제시된 보안우선순위 반영해야

 • 정책의 해석 및 공표

   - 필요시 정책을 검토, 해석할 수 있는 담당자나 위원회가 필요

   - 정책은 직원에게 계속 교육

   - 신규직원에게 서약(정책위반시 법률적 조치에 도움)

 • 정책의 구현

   - 넓은 의미로 보안대책은 보안 정책을 구현하기 위한 것

 • 보안정책의 구현방식

   - 표준 : 조직 전반에 걸쳐 일률적으로 사용하는 대책

   - 지침 : 정채은 “해야만 한다”, 지침은 “할수 있다. 즉 선택적 권고사항

   - 절차 : 보안관련 사안에 대한 상세한 보안조치 기술

 • 정책의 위반

   - 위반 발생시 즉시 대응할수 있는 지침이 사전 마련

   - 지침에는 위반행위의 방법, 원인 조사, 원상복구도 포함

 • 정책비용

   - 정책비용의 대부분은 정책의 구현에 소요되는 비용

   - 이외 비용은 정책에 대한 설계, 검토, 조정 등 정책수립과정에 소요되는 비용