1. 정보 보호 정책 수립하기
1-1. 정보 보호 정책 요구사항 도출
1) 정보 보호 정책 수립을 위한 내부 환경 분석
① 기업의 비전, 미션
② 정보화 전략 계획(ISP)
③ 기업이 수행하는 사업 분야
④ 사업의 추진 방향
⑤ 미래 기업의 사업 계획
⑥ 기업의 사업 수행의 향후 주요 업무 기능
⑦ 사업 수행을 위한 기업의 필수적인 데이터
⑧ 사업 수행을 위한 기업의 책임 조직 체계
⑨ 기업의 자산
2) 정보 보호 정책 수립을 위한 환경 분석
기업이 추구하여야할 정보보호 요구사항을 도출하는 작업이 필요하다. 기업 내부의 자원을 충분히 분석하고 정보 보호 정책 방향을 수립할 수 있는 기반을 갖추어야 한다. 현재의 업무 체계와 미래의 업무 체계에 대한 요건을 고려하여, 장기적 관점에서 기업의 비전과 방향을 제시하는 경영 전략의 이해 및 분석을 선행하여야 한다. 이를 위해서는 정보 보호에 대한 참조 문서를 철저히 분석하여 기업이 추구하여야 하는 정보보호 요구사항을 정확하게 도출하는 작업이 필요하다.
특히, 기업 내부의 자원을 충분히 분석하고 정보 보호 정책 방향을 수립할 수 있는 기반을 갖추어야 한다.
① 정보 보호 관계 법령
| 구분 | 법 | 시행령 | 시행 규칙 |
| 정보 보호 관계 법령 |
정보통신망 이용촉진 및 정보 보호 등에 관한 법률 |
정보 통신망 이용 촉진 및 정보 보호 등에 관한 법률 시행 |
정보 통신망 이용 촉진 및 정보 보호 등에 관한 법률 시행 규칙 |
| 정보 통신 기반 보호법 | 정보 통신 기반 보호법 시행령 | 정보 통신 기반 보호법 시행규칙 |
|
| 국가 정보화 기본법 | 국가 정보화 기본법 시행령 | 국가 정보화 기본법 시행 규칙 |
|
| 전자 정부법 | 전자 정부법 시행령 | - | |
| 신용 정보의 이용 및 보호에 관한 법률 |
신용 정보의 이용 및 보호에 관한 법률 시행령 |
신용 정보의 이용 및 보호에 관한 법률 시행 규칙 |
② 개인 정보 관계 법령
| 구분 | 법 | 시행령 | 시행 규칙 |
| 개인 정보 보호 관계 법령 |
개인 정보 보호법 | 개인 정보 보호법 시행령 | 개인 정보 보호법 시행 규칙 |
| 정보 통신망 이용 촉진 및 정보 보호 등에 관한 법률 | 정보통신망 이용 촉진 및 정보 보호 등에 관한 법률 시행령 |
정보통신망 이용 촉진 및 정보 보호 등에 관한 법률 시행규칙 |
|
| 위치 정보의 보호 및 이용 등에 관한 법률 | 위치 정보의 보호 및 이용 등에 관한 법률 시행령 |
- |
③ 벤치 마킹 절차
| 벤치 마킹의 정확한 목적 수립 및 인식 |
벤치 마킹 요소 도출 |
벤치 마킹 대상 선정 및 방향 설정 |
벤치 마킹 자료 분석 및 도출 |
벤치 마킹 요소 적용 |
- 직접적 벤치마킹 절차
(가) 벤치마킹 목적 수립
(나) 벤치마킹 요소 도출
(다) 벤치마킹 대상 선정 및 기준 설정
(라) 벤치마킹 분석 및 선정
(마) 벤치마킹 적용
3) 정보 보호 표준 개념
| 표준 | 개념 |
| ISO 27001 | - ISO 27001은 정보 보호 관리 체계 (ISMS : Information Security Management System)에 대한 국제적인 표준으로서 해당 조직 정보 보호 경영을 실행하기 위한 프레임 워크/지침 - 정보 보안 경영 시스템에 대한 규격을 제시를 통한 기업의 정보 보안 경영 시스템 평가/인증 |
| COBIT (Control objectives for Information and related Technology) | - 효과적인 IT 거버넌스 실현 및 IT 통제 수준 진단을 위한 통제 프레임 워크 - De-facto, Best Practice 제공을 통한 참조 프레임워크 제공 |
| ISMS (Information Security Management System)의 정의 | - 정보통신망의 안전성 확보를 위하여 수립 · 운영하고 있는 기술적, 물리적 보호 조치 등 종합적인 관리 체계에 대한 인증 제도(산업통상자원부, 2010.) - 정보 자산의 기밀성, 무결성, 가용성을 실행하기 위한 관리 체계로서 심사 요건을 만족하는 기관에 부여되는 인증 |
| PIMS(Personal Information Management System) | - 이용자의 개인 정보를 안전하게 보호할 수 있는 관리적, 물리적 기술적, 조직적인 다양한 보호 대첵을 구현하고 지속적으로 관리, 운영하는 종합적인 체계 - PIMS 인증이란 기업이 개인 정보 보호 활동을 체계적, 지속적으로 수행하기 위하여 필요한 보호 조치 체계의 구축 여부를 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제 |
1-2. 정보 보호 정책 수립 체계 마련
1) 보안지침 주요내용
| 구분 | 개요 | 포함 내용 |
| 접근 통제 지침 | 사용자 등록 및 주요 자산에 대한 접근 제어에 관한 사항 |
- 사용자 계정 관리 - 패스워드 관리 - 접근 권한 관리 |
| 장비 및 시설물 보안 지침 |
보안이 필요한 시설물 및 장비에 관한 기준 요건 및 절차에 관한 사항 |
- 사무실 / 시설 관리 - 정보 시스템 관리 - 전력 공급 정치 관리 - 케이블 보호 및 기기 유지 보수 - 통제 구역 장비 반출 신청서 |
| 응용 프로그램 보안 지침 |
응용 시스템 개발 및 유지 보수시 보안성 확보를 위한 지침 및 절체에 관한 사항 |
- 요구 분석, 설계, 구현 및 테스트 - 이행 및 유지 보수 - 응용 프로그램 구매 및 외주 개발 |
| 서버 보안 지침 | 서버에 대한 운영시 필요한 보안에 관한 사항 | - 서버 보안 지침서 - 서버별 운영 절차 - 침입 탐지 및 점검 - 로그인 관리 |
| 보안 구역 관리 지침 |
보안 통제 구역 운영 및 관리에 관한 사항 | - 보안 구역 관리, 출입 절차 및 감시 - 외부인 접견 - 출입증 발급 신청서 - 통제 구역별 출입자 명부 - 통제 구역 출입 대장 |
| 네트워크 보안 지침 |
네트워크의 운영 및 관리에 대한 보안 요소의 지침 및 절차에 관한 사항 |
- 네트워크 보안 설정 - 보안 장비의 물리적 논리적 접근 통제 - 네트워크 구성, 변경 및 문서화 절차 |
| 제3자 보안 지침 |
고객 및 외주 업체의 보안 요구 사항에 대한 지침 및 절 | - 제3자와의 계약 - 제3자 비밀 유지 - 제3자에 대한 접근 통제 |
| 성능 및 용량, 관리 지침 |
시스템의 성능 및 용량 관리 지침 및 절차에 관한 사항 | - 용량 산정 기준 - 시스템 도입 절차 |
| 장애 처리 지침 | 정보 시스템의 장애 관리 지침 및 절차에 관한 사항 | - 장애 처리 보고 - 장애 처리 절차 - 장애 처리 보고서 |
| 변경 관리 지침 | 정보 시스템의 변경 관리에 관한 지침 및 절차에 관한 사항 |
- 변경 관리 절차 |
2) 보안 절차의 종류
| 표준 | 작성 내용 |
| 전산 운영실 보안 | - 장비 반출입 절차 - 시스템 도입 · 변경 절차 - 저장 매체 도입 및 폐기 절차 - 사용자 등록 · 변경 · 삭제 절차 - 정보 공개 절차 - 방문증 발급 절차 |
| 개인 컴퓨터 보안 | - 바이러스 대응 절차 - 네트워크 장비 설정 변경 절차 - 네트워크 보안사고 보고 절차 - 비상시 데이터 변경 절차 - 비상 ID 발급 절차 |
| 응용 시스템 보안 | - 사용자 ID 등록 절차 - 접근 권한 부여 및 삭제 절차 - 암호화 키 변경 절차 - 테스터 데이터 삭제 확인 절차 - 분석 · 설계 단계 보안성 검토 절차 - 개발 단계 보안성 검토 절차 |
2. 정보 보호 정책 유지 관리하기
2-1. 정보 보호 정책 이해 관계자 공유하기
1) 정보 보호 정책 승인 절차
① 정책 수립 시 고려 사항
- 사용의 용이성이 떨어지더라도 시스템의 안전을 우선적으로 고려한다.
- 손실 비용에 대하여 신중히 결정한다.
- 조직의 특성(규모, 역할, 정보 시스템 활용 특성)을 고려한다.
- 기존의 상위 정책이나 규칙, 법령 등과 부합되도록 한다.
- 계층 구조를 가지는 경우 상부 조직의 정책을 준수하면서 자신의 환경에 맞도록 세분화한다.
② 정책 개발
- 수용 가능한 지침과 적절한 방법들을 수립한다.
- 시스템 관리 절차를 통하여 구현 가능하여야 하며, 예방이 불가능한 경우 인가된 보안도구 실행이 가능하여야 한다.
- 시스템 관리자, 보안 전문가, 일반 사용자, 감사인, 물리적 보안 요원들과의 협의 절차를 거쳐야 한다.
- 주기적인 위험 분석 결과로 나타난 보안 우선순위를 반영한다.
③ 정책의 해석과 공표
- 정책의 검토, 해석, 개정 등을 수행할 담당자나 전담 부서가 충분히 결정권을 반영한다.
- 전체 직원 및 사용자에게 알리고 이해시켜야 한다.
- 토론회, 홍보, 온라인 공개, 외부 전문가 초청 강연회 등을 개최한다.
- 계속적인 인식 유지를 위하여 주기적으로 재교육을 시행하고 서약서를 작성한다.
④ 정책의 구현
- 보안 정책은 ‘무엇’을 보호할 것인가에 대한 기술로 ‘어떻게’ 보호할 것인지에 대한 내용은 없다.
- 구체적인 방법은 언제라도 변경될 수 있다.
- 실현 가능한 형태로 구현되어야 한다.
⑤ 정책의 위반에 대한 대처
- 위반자의 태만, 우연한 실수 등 정책에 대한 충분한 이해가 부족한 경우 발생한다.
- 위반 행위의 방법과 원인 조사, 적절한 원상 복구 조치에 대하여 언급한다.
⑥ 정책 비용
- 보안 정책 수립 과정에 소요되는 비용과 물리적 시스템, 기술적 지원을 위한 모든 비용을 총괄하여 산정한다.
2) 정보 보호 관련 법령
| 전자 금융 거래법 | 신용 정보법 | 정보 통신망법 | 개인 정보 보호법 | 금융 실명 거래법 | |
| 보호 대상 |
전자 금융 거래의 안전성 및 신뢰성, 이용자 보호 |
신용 정보 및 개인 식별 정보 | 개인 정보 | 개인정보, 개인 정보 파일 |
거래 정보 등 |
| 준수 주체 |
금융 기관, 전자 금융 업자 |
신용 정보 제공, 이용자 |
정보 통신 서비스 제공 업체 |
개인 정보 처리자 | 금융 회사 등에 종사하는 자 |
'민간 자격증 > 정보보호관리사' 카테고리의 다른 글
| 4. 개인 정보 보호 기획 (1) | 2024.07.05 |
|---|---|
| 2. 개인 정보 보호 거버넌스 구현 (0) | 2024.07.02 |
| 1. 정보 보호 거버넌스 구현 (0) | 2024.07.01 |
댓글