정보보안 - 정보보호 정책 및 조직
정보보호 정책 및 조직
정보보호 정책
- 정보보호 정책 수립의 중요성
- 정보화 사회, 지식기반사회 : 기업의 업무처리 정보 및 경영전략, 재무정보, 기밀자료등이 전자화된 형태로 정보시스템을 통해 처리
- 핵심 정보의 변조, 누출, 파괴로 인한 주요 업무의 중단, 대외 신뢰성의 훼손, 법적 금전적 손실의 위험
- 국방, 통신, 금융, 의료, 에너지, 정부행정 등 국가 주요정보통신기반시설에 대한 침해사고 발생 가능성
- 정보통신기반보호법, 정보통신 기반시설에 대한 취약성 분석을 의무적으로 실시
- 정보보호의 중요성 인식, 정보보호 투자도 증가하였으나 정보보호 수립, 관리하기 위한 방법에 대한 이해는 부족한 실정임
- 정보보호를 기술적인 측면만으로 이해, 보안시스템 도입만으로 정보보호 문제를 해결할 수 있다고 믿음
- 정보보호 책임을 전산실의 실무자에게 일임하는 것
- 정보보호는 기술적인 문제 뿌만 아니라 사람과 정보에 관한 경영상의 문제
- 경영진이 책임을 지고 방향을 제시, 지속적으로 달성목표를 관리
- 경영진이 정보관리 실무자에게 정보보호에 대한 책임만을 지우고, 어떻게 보호할 것인지 방침을 제시하지 않고 정보보호를 위한 인적, 물적 자원의 지원없이 방침의 실행 여부를 정기적으로 검토하지 않음 > 정보보호 목표 달성 불가
- 경영진이 정보보호 정책의 수립에 참여해야 함
- 경영진은 전반적인 목표와 방침을 모든 직원들에게 제시해야 함 > 정보보호 정책
- 정보보호 정책을 달성하기 위해 무엇을 어떻게 해야 할지 계획하고 구현하는 것은 실무자의 책임
- 정보보호 정책이란?
- 경영진의 정보보호에 관한 목표와 방향을 제시
- 기업 또는 조직의 정보보호에 대한 방향, 전략 그리고 주요 내용들을 문서화시켜 놓은 것
- 정보보호관리를 위해 가장 먼저하는 정책수립에 해당하는 결과물
- 포함되어야 할 사항들
- 정책의 범위와 목적, 법적/규정적 의무사항과의 관계
- 자산의 분류
- 비인가자의 접근 원칙
- 기밀성, 무결성, 가용성, 책임추적성 보장
- 법 준거성
- 개발 및 유지방법
- 비상대책 계획 수립 : 연속성 및 업무연속성계획(BCP)
- 교육 및 훈련 / 징계와 처벌
- 보안사고 보고 및 조사
- 기타 관련 정책
- 정책의 역할
- 임직원 책임 할당 / 책임 추적성 제공
- 임직원 가치판단의 기준
- 모든 직원에게 경영진의 목표 공유
- 기업의 비밀, 지적재산권 보호
- 기업의 컴퓨팅 자원 낭비 방지
- 정보보호 정책의 구분, 정의 및 특성
- 정책 (Policy)
- 정보보호에 대한 상위 수준의 목표 및 방향을 제시
- 조직의 경영목표를 반영하고 정보보호 관련 상위 정책과 일관성을 유지
- 정보보호를 위해 관련된 모든 사람이 반드시 지켜야 할 요구사항을 전반적이며 개략적으로 규정
- 표준 (Standard)
- 정보보호 정책과 마찬가지로 반드시 지켜야하는 요구사항에 대한 규정이지만, 정책의 만족을 위해 반드시 준수해야 할 구체적인 사항이나 양식을 규정
- 조직의 환경 또는 요구사항에 따라 관련된 모든 사용자들이 준수하도록 요구되는 규정
- 지침 (Guidelines)
- 반드시 지켜야 하는 것이 아니라 선택 가능하거나 권고적인 내용이며 융통성있게 적용할수 있는 사항을 설명
- 정보보호 정책에 따라 특정 시스템 또는 특정 분야별로 정보보호 활동에 필요하거나 도움이 되는 세부 정보를 설명
- 절차 (Procedures)
- 정책을 만족하기 위하여 수행하여야 하는 사항을 순서에 따라 단계적으로 설명
- 정보보호 활동의 구체적 적용을 위해 필요한 적용 절차 등의 구체적이고 세부적인 방법을 기술
- 정보보호 정책 개발의 원칙
- 개인적 측면 : 개인의 프라이버시가 침해되지 말아야 하며, 정보보호의 목적을 달성하기 위하여 IT부서 또는 정보보호 담당자의 편의 중심으로 개발되어서는 안된다.
- 사회적 측면 : 도덕적 판단기준, 사회적 측면에서 일반적이고 보편타당하여야 한다.
- 법률적인 측면 : 다른 사람의 법적인 권리를 보장할 수 있는 바탕에서 개발되어야 하며, 정보보호의 법률 및 규제 등의 요구사항이 반영되어야 한다.
- 정보보호 정책 요소
- 경영진의 참여와 지원
- 법적 요구사항 처리(관계 법령 고려)
- 상위 정책과의 일관성 유지
- 정보보호 구성 체계
- 정보보호 정책 개발 절차
- 준비
- 참조문서 수집 및 요구분석 : 관련 참조문서의 수집, 요구사항 수렴, 경영목표 관련 자료, 기존 정책서 등
- 경영목표정보 / 정보전략계획(ISP)
- 최근 위험평가자료
- 전체 조직구성도
- 정보시스템 아키텍처 문서
- 정보보안 아키텍처 문서
- 최근 침해사고 기록 및 장애 대응 정보
- 내부/외부 감사결과
- 정책의 구조 결정 : 정책의 내용, 서술방식, 우선순위 및 대상의 정의
- 작성 및 검토
- 정책 초안 작성 : 정보보호 정책서의 초안 작성
- 검토 및 조정 : 정책의 주요 적용 대상자를 대상으로 적합성 및 실행가능성 검토 및 조정
- 승인
- 경영진의 검토 및 승인 : 경영진의 검토 및 이행에 대한 지원을 약속
- 정보보호위원회에서 최종 검토 및 승인이 바람직함
- 임시적인 정책 개발 검토위원회 (경영진 참여) 를 구성해서 승인할 수도 있음
정보보호조직
- 정보보호조직 구성 시 고려사항
- 정보보호에 관련된 역할과 책임을 명확히 정의
- 정보보호 책임자를 지정
- 책임을 할당받은 경영진 또는 관리자들은 정보보호 업무를 위임할 수 있으나 최종책임은 여전히 그들에게 남아있음.
- 위임한 업무가 모두 올바르게 수행되었는지 확인해야함
- 대부분이 정보보호 관리자 및 실무자를 지정하여 실제 업무를 수행함
- 각 부서의 정보보호에 대한 책임은 각 부서의 관리자들에게 남아있음
- 각 자산에 대해 소유자를 지정하고 그 자산의 보호 책임을 지도록 해야 한다.
- 자산의 소유자는 정보보호 관리자와 협력하여 자산의 보호방법을 결정, 방법을 구현하기 위한 자원 조달을 해야 한다.
- 정보보호 조직체계 구성 시 고려해야 할 사항
- 조직의 규모(크기 및 인력), 조직 관리구조, 운영사이트의 수와 위치, 사이트간 상호 연결형태, 정보화 및 IT 예산, 시스템 운영환경 등을 고려
- 보호해야 할 정보자산의 유형, 규모 및 가치 등을 고려 (자산식별) 하여 이에 적합한 수준으로 인원과 예산을 배정해야 함
- 조직의 모든 부서에서 해당 업무 수행에 필요한 정보보호책임이 할당되어야 함.
- 정보보호 전담조직은 이를 기획, 조정, 통합하고 이행을 모니터링하며 정보보호 사고 등 위반에 대응하는 역할을 수행
- 정보보호 전담 인력이 아닌 일반 직원이라 하더라도 업무 수행 과정에서 정보를 보호할 책임이 있음
- 직무분리의 원칙을 적용해야 함.
- 적정 인력 확보가 어려운 경우 외부 전문업체에 위탁할 수 있으나, 책임을 져야 하는 정보보호책임자, 정보보호관리자는 내부인력으로 임명해야 함. 실무를 수행하는 정보보호담당자는 외부 인력을 활용할 수 있다.
- 외부 전문업체 인력 활용 시 해당인력의 책임 및 역할, 자격요건 등을 문서화하고 계약인력과 수행인력이 실제 일치하는지에 대해서도 확인 필요
- 정보보호 책임 할당
- 정보보호위원회 구성 : 전 조직에 걸친 정보보호 의사결정을 위해 모든 부서의 임원진 등 경영층이 참여
- 보안담당자 지정 : 각 부서별로 정보보호 활동 지원
- 정보보호 실무협의회 구성 : 정보보호 실무의 구체적인 사항을 협의
- 조직구성도
- CEO - 정보보호책임자 - 정보보호관리자 / 각부서 팀장 - 정보보호담당자
- (정보보호책임자 - 정보보호관리자 / 각부서 팀장) : 보안심의위원회
- (정보보호관리자 - 정보보호담당자 / 각부서 담당자) : 보안실무위원회
- 정보보호위원회
- 정보보호관리체계의 효과적인 운영을 위해 정보보호 관련 사안에 대한 심의 책임을 갖는 기구(위원회)를 구성해야 함.
- 일반적으로 정보보호책임자를 위원장으로 함. 정보보호에 관련된 각 부서의 장을 위원으로 함. 정보보호 관리자가 간사 역할.
- 주요 정보보호 관련 사안에 대한 검토와 승인이 가능하다고 판단되는 인원을 포함
- 정보보호위원회 구성 및 정기 운영에 관한 사항을 별도 규정으로 수립하여 적용할 수 있음.
- 정보보호위원회에서는 아래와 같은 주요 정보보호 활동을 심의/의결할 수 있으며, 의사결정 기록을 남겨야 함.
- 정보보호정책의 심의 및 승인
- 정보보호 활동 계획의 심의 및 승인
- 정보보호 예산 심의 및 승인
- 보안사고의 심의, 위규자 징계, 우수자 포상 심의 및 승인
- 위험평가 결과 검토 및 승인
- 정보통신망 신. 증설에 따른 자체 보안성 검토
- 정보보호 관련 장비 및 프로그램 도입 검토
- 정보보호 정책 및 지침의 재/개정에 관한 사항
- 연간 정보보호계획 수립과 집행에 관한 사항
- 내부감사 실시 및 결과에 관한 사항
- 기타 의장 또는 정보보호책임자가 필요하다고 인정하는 사항
- 정보보호실무협의회
- 정보보호위원회 심의/의결사항에 대한 실무적인 검토, 세부 이행방안 수립, 원할한 정보보호 관리활동의 조정 등의 업무를 수행
- 정보보호실무협의회는 정보보호관리자가 주관하고, 정보보호담당자가 간사 역할을 수행, 다루는 사안에 따라 관련 부서의 정보보호담당자가 참여
- 정보보호에 관련하여 부서간 협의가 필요한 사항이 발생하는 경우 수시로 협의회를 소집할 수 있음
- 정보보호위원회의 의사결정을 지원하기 위하여 아래와 같은 구체적인 사항을 협의함
- 정보보호 정책 및 지침 안 작성 및 검토
- 정보보호 활동 계획안 수립
- 정보보호 예산안 수립
- 위험평가 수행, 위험평가 결과의 실무 검토 및 해결 방안 협의
- 정보통신망 신/증설에 따른 자체 보안 방안
- 분야별 정보보호대책의 수립과 집행에 관한 사항
- 자산에 대한 위험분석 평가에 관한 사항
- 내부감사 지원, 그 결과의 실무 검토 및 해결 방안 협의
- 기타 정보보호 관리자 및 부서별 정보보호 담당자가 요청하는 사항
- 정보보호 전담 조직
- 정보보호팀
- 정보보호 관련 업무를 기획하고 시행하기 위한 세부계획을 마련, 각종 보안통제 사항을 관리
- 자산에 대한 위협 및 위험분석, 주기적인 모니터링을 통해 평시 정보보호 관리를 이행
- 조직 임직원의 정보보호에 대한 인식 및 기술 수준을 제고하기 위해 교육 계획을 수립하고 시행
- 주요 시스템에 대한 침해사고 등 긴급 상황에 대처하기 위한 비상계획의 수립과 운영을 지원
- 침해사고대응팀 (CERT : Computer Emergency Response Team)
- 정보통신망의 침해사고 등 사이버 침해로부터의 예방, 대응, 분석 및 복구 등의 활동 수행
- 비상시 조직으로서 침해사고를 비롯한 정보보호 사고가 발생할 경우, 신속하고 효과적인 사고처리 및 복구를 위해 주요 정보보호담당자를 중심으로 침해사고 대응팀을 구성하여 운영한다.
- 정보보호책임자는 침해사고에 즉각적으로 대응하기 위하여 사전 조직 구성, 대응 절차 및 예방책 수립, 사고 대비 교육 및 훈련 등을 실시하여야 한다.
- 침해사고는 다양한 방식으로 발생할 수 있으므로 일반 직원이 침해사고를 인지하고 신고하기 위한 교육 훈련을 포함해야 한다.
- 개인정보보호팀
- 개인정보를 취급하는 조직에서는 관련 법에 따라 개인정보보호책임자(CPO:Chief Privacy Officer)를 임명해야 함
- CPO 는 개인정보의 취급 및 보호에 관한 총괄책임을 진다.
- 필요한 실무 이행을 위해 개인정보관리자 또는 담당자를 지정하여 업무를 위임한다.
- 개인정보보호 책임자는 개인정보취급자 및 부서별 개인정보 보유현황 및 업무를 파악하고 개인정보의 전체 수명주기에 걸쳐 법적 요건을 만족하기 위한 취급방침 및 방침의 이행을 위한 프로세스를 수립하고 관리하여야 함.
- 개인정보보호책임자는 임원급 이상의 실무에 능통한 사람을 임명하는 것이 필요함.
- 실제 개인정보를 관리하는 부서의 장이 개인정보보호책임자를 맡고 전담하는 실무자 또는 전담 부서를 두는 것이 좋음
- 개인정보보호책임자의 업무
- 개인정보 보호 계획의 수립 및 시행
- 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
- 개인정보 처리와 관련한 불만의 처리 및 피해 구제
- 개인정보 유출 및 오/남용 방지를 위한 내부통제시스템의 구축
- 개인정보 보호 교육 계획의 수립 및 시행
- 개인정보파일의 보호 및 관리/감독
- 개인정보취급자에 대한 감독 및 정기적인 보안 교육
- 위탁업체의 개인정보 관리 상황에 대한 관리 감독
- 이용자의 불만사항 접수 및 처리
- 그 밖에 개인정보의 적절한 처리를 위하여 별도로 정한 사항
- 보안감사팀
- 정보보호방침 혹은 정책에 따라 보안활동이 적절히 이루어지고 있는지를 호가인
- 보안감사는 감사 주체에 따라 내부감사와 외부감사로 구분
- 감사시기에 따라 정기 보안감사와 수시 보안감사로 나뉨. 정기 보안감사는 연간 1회 이상 실시
- 보안감사 수행을 위한 정책과 적용 기준이 명확하게 수립되어야 함 (지나친 감사는 업무에 부담, 자원 낭비)
- 다음 사항을 포함하는 보안감사계획을 수립
- 감사대상 및 영역
- 감사목적
- 감사범위 및 중점감사항목
- 감사일정(기간)
- 참여 감사자
- 감사기법 및 감시기준
- 기타 필요사항 등
- 담당자의 역할
- 정보보호책임자
- 조직의 정보보호 총괄 책임자로서 정보보호의 필요성과 목표에 대한 명확한 인식을 가져야 함
- 효과적인 정보보호 업무 이행을 위해서 임원급에서 지정되어야 함
- 정보보호책임자는 조직의 전반적인 정보보호 관련 업무에 대한 총괄책임을 가지고 의사결정을 내리며 업무이행을 관장하고 준수여부를 감독함
- 정보보호책임자는 정보보호위원회의 의장 역할을 수행하며 주요 업무는 다음과 같음
- 정보보호정책의 수립 및 이행
- 정보보호조직의 구성 및 운영
- 정보보호 정책 및 지침의 승인/승인 획득
- 정보보호 활동 및 교육 지휘, 감독
- 정보보호 예산 편성 및 집행
- 정보보호 대책의 수립
- 침해사고대응팀 수립 및 운영
- 정보보호 관련 법, 규정 검토 준수
- 정보보호 현황을 최고경영진에게 정기적으로 보고
- 기타 정보보호 관련 업무 지휘 감독
- 정보보호관리자
- 정보보호관리자는 정보보호책임자의 임무를 위임받아 정보보호 업무를 수행하는 인력을 말함
- 정보보호 전담조직의 관리자로서 다음과 같은 업무를 수행함
- 정보보호 업무 기획 및 정보보호 활동 실무 조정
- 정보보호 정책 및 지침의 수립, 주기적인 검토 및 개정
- 정보보호 계획 수립
- 정보보호 정책 및 지침 준수에 대한 지원 및 관리 감독
- 조직 구성원에 대한 정보보호 교육 및 홍보
- 침해사고 대응체계 수립 및 대응
- 정보보호 감사 계획 수립 및 이행
- 정보보호시스템의 도입 계획 수립 및 운영관리
- 비상대책 및 재난대책 등을 포함한 정보보호 대책 수립
- 정보보호책임자를 보좌
- 정보보호 현황의 정기적인 모니터링
- 정보보호 현황을 정보보호책임자에게 정기적 또는 비정기적으로 보고
- 정보보호담당자
- 조직에서 정보보호 실무 운영을 담당하는 자
- 정보보호관리자의 지시에 따라 일반적으로 다음과 같은 역할 수행
- 정보보호시스템의 운용 및 유지관리
- 인프라, 응용프로그램, 데이터베이스 및 PC 의 보안관리
- 정보보호 점검 및 감사 수행
- 보안 모니터링
- 침해사고 등 비상상황시 대응
- 기타 정보보호관리자의 업무 보조
- 정보통신 분야별 담당자
- 서버, 네트워크, 응용시스템, 데이터베이스 등에 관련된 실무를 담당하는 인력
- 담당 정보자산의 보안을 관리하고 자체점검을 실시하며 보안사고 처리를 지원함
- 시스템(서버 운영)담당자, 네트워크 담당자, 보안시스템 담당자, 데이터베이스 담당자, 시스템 개발 담당자, 전산실 담당자가 포함되며 다음과 같은 정보보호 역할을 수행
- 서버 등 주요 시스템에 대한 정보보호 점검 및 통제
- 네트워크에 대한 정보보호 점검 및 통제
- 어플리케이션 등 주요 응용시스템에 대한 정보보호 점검 및 통제
- 데이터베이스관리시스템(DBMS)에 대한 정보보호 점검 및 통제
- 개인용컴퓨터(PC), 이동형 저장장치 등에 대한 정보보호 점검 및 통제
- 비정보통신 업무부서별 정보보호담당자
- 업무 부서 별 정보보호 책임은 해당 부서장에게 있음
- 업무별 정보보호담당자는 부서장의 지휘를 받아 해당 부서의 정보보호 실무를 이행함
- 조직의 정보보호 정책 준수를 위해 필요한 실무를 이행하며 해당 부서의 정보보호 관련 의견수렴 및 전달을 위한 채널로써 정보보호 전담조직과 협력하여 다음과 같은 업무를 수행함
- 부서 내 주요 정보보호 활동에 대한 기획 및 이행
- 부서 내 정보보호에 대한 의견 수렴 및 정보보호부서에 전달, 협의
- 부서 내 정보보호 현황 점검 및 보고
- 부서 내 보안사고 발생시 정보보호 전담조직(부서)와 협력하여 이를 처리
댓글남기기