[현직 컨설턴트 견해]

정보보호정책은 고객사 컨설팅을 하게 되면 정보보호정책이 수립된 경우와 안 된 경우 두 가지입니다. ISMS 인증 컨설팅의 경우 정보보호정책은 정보보호 관련 법, 규제를 만족하고 개정이 될 경우 정책 제·개정해야 하며, 범위설정은중요한 업무, 서비스에 따른 조직, 정보자산 등을 포함하는 정보보호 관리체계 범위를 설정하여 범위 안의 모든 자산을 식별하여 문서화해야 합니다.

정보보호정책이 수립된 경우는 기존 정보보호컨설팅을 받아서 정보보호정책을 수립한 경우가 대부분이며 정책/지침/절차와의 일관성 및 상위법에 대한 준용여부 확인을 위한 정보보호현황분석(GAP 분석)을 통해 정책 제·개정안과 기존 정보보호관리체계 범위에서 누락된 자산 및 기존 자산에 대해 정보자산을 확인하여 업데이트 된 자산목록을 정리하여 정보보호담당자 및 정보자산운영자를 통한 정보자산 중요도 평가 후 최종 업데이트 된 자산목록을 만들게 됩니다.

정보보호정책이 수립되지 않은 경우 정보보호담당자와 고객사의 기업 정보보호 수준 및 실제 정책에 영향을 받는 부서 및 인력과 커뮤니케이션을 통해 기업의 정보보호 수준에 맞는 최적화된 정보보호정책 수립 및 범위설정은 사업(서비스)와 관련된 임직원, 정보시스템, 정보, 시설 등 유 ∙ 무형의 핵심자산 포함 및 정보보호 관리체계의 범위 내 서비스, 업무, 조직, 정보시스템, 설비 등을 명확하게 정의하여 정보보호 관리체계 범위를 충분하게 설명해야 하므로 보안컨설턴트의 정보보호현황분석 및 고객사에 적용되는 관련법 이해 그리고 원활한 커뮤니케이션 능력이 필요합니다.

이제 정보보호관리 5단계 중 “정보보호 정책수립 및 범위설정 단계(1~2단계)”에 대해 알아보도록 하겠습니다.

[ISMS 본문]

(1단계) 정보보호정책의 수립

정보보호정책수립

<출처: KISA ISMS구축 및 운영교육-실무자 과정.pdf>

▶ 정보보호정책 수립단계(정보보호정책의 수립)의 요구사항

▶ 정보보호정책 수립의 목적

- 정보보호 관리체계를 구축하는 기업 내의 정보보호에 대한 사고방식이나 대처를 명확하게 하는 것으로, 정보보호 관리체계를 확립하는 동시에 이 정보보호정책을 반드시 수립되어야 한다.

- 전체 정보보호 관리체계 수립의 기초가 되는 최상위의 정보보호정책으로서 기업이 보유하는 정보자산과 그것을 보유해야 할 목적이 명시되어야 한다.

▶ 정보보호정책 필수조건

- 한 번 만들고 끝나는 것이 아니라 관리과정 5단계를 통해서 지속적으로 검토 및 개선이 필요하다.

- 위험관리 단계가 아닌 운영 중에라도 새로운 업무상의 필요가 나타날 경우 해당 정책을 새로이 작성할 수 있어야 한다.

▶ 정보보호정책 포함 내용

- 대상범위: 정책의 적용범위를 명시한다. 전 조직을 대상으로 하며 정보자산에 접근하는 외부인을 포함하는 것이 가장 일반적이고 바람직하다.

- 정보정책의 내용: 정책의 내용은 “정보가 비인가 된 접근으로부터 보호되어야 한다.”는 정도로 간단하고 명료하게 작성하고, 지침에서 다시 만들어 질 수 있도록 한다.

- 책임: 정책을 수행하기 위해서는 기본적으로 책임사항을 정의한다.

- 문서의 승인: 조직의 최고책임자가 정책을 승인하고 지원의지를 알려야 한다.

최상위 규정 정보보호정책뿐만 아니라 정보보호 관리체계를 운용하기 위해서 기존 정책 및 정보보호 관리체계 전체의 보안사항을 정의하는 문서로 정보보호정책 및 정보보호규정 등이 있으며, 지침은 정보보호 관리체계에 있어서 지켜야 할 규칙을 규정하는 문서로 예를 들어 문서보안관리지침, 외주용역관리지침, 정보자산관리지침, 정보시스템관리지침,네트워크관리지침 등이 있다. 그리고 절차는 규칙을 지키기 위해서 구체적인 순서 등을 규정한 문서이며, 문서를 사용하는 대상이 누구인가를 고려할 필요가 있다.

정보보호정책 예시

<출처: KISA ISMS구축 및 운영교육-실무자 과정.pdf>

(2단계) 정보보호 관리체계 범위설정

정보보호 관리체계 범위설정

<출처: KISA ISMS구축 및 운영교육-실무자 과정.pdf>

▶ 정보보호범위설정 단계(정보보호 관리체계 범위설정)의 요구사항

▶ 적용범위의 중요성

- 정의한 내용에 따라 향후 실시하는 정보보호 관리체계 구축에 영향을 끼치게 된다.

- 정보자산의 규명 및 위험관리 그리고 관리방안의 적용이나 운영관리 등 적용대상의 정보보호 수준을 유지하는 활동전반에 영향을 주게 된다.

▶ 정보보호 관리체계 범위서 필수조건

- 사업내용, 조직구조, 물리적 위치, 대상 정보자산 및 기술 요소의 다양한 측면에서 관리체계의 범위를 명확히 하고 범위 내/외부 분명하게 구분하여 명세하여야 한다.

- 범위 외의 다른 시스템, 조직, 제3자와의 관계 등 다른 부분과의 관계를 반드시 명시해야 한다. (ISMS 인증 심사 과정에서 문서검토 시 정책에서의 예외가 정보보호 관리체계 범위가 아니기 때문에 조직 내에서 정보보호 관리체계의 범위에 포함되지 않는 부서, 인력, 사업, 정보자산 등이 있다면 이러한 제외 이유를 명확하고 타당성 있게 설명해야 한다.)

▶ 정보보호 관리체계 범위 결정 후 할 일

- 해당 범위 내의 정보자산을 식별하고, 이를 정보자산의 형태, 소유자, 관리자, 특성 등을 포함하여 목록을 만들어야 하며, 정보자산 목록은 범위확정과 위험분석 평가에 활용되는 것으로 보호해야 할 가치가 있는 주요 자산은 반드시 정보자산목록에 포함시켜 관리해야 한다.

- 정보자산 목록에는 정보자산의 관리책임자, 자산의 형태, 보관형태, 장소, 업무상 가치를 포함하여 재해를 복구하기 위해 필요한 모든 정보를 기재하여 관리한다.

#stage