종합적인 보안정책의 필요성[보안정책의 수립][산업보안학 ISS][국가정보전략연구소]

보안정책의 수립

1. 보안정책의 수립

2. 종합적인 보안정책의 필요성

3. 보안정책 집행결과 보고

 

 

2. 종합적인 보안정책의 필요성

 

개별적으로 운영되던 보안시스템을 모두 하나로 통합할 필요성이 높은 것처럼 보안정책도 모든 보안영역을 통합하고 조정할 수 있어야 한다. 직원이 신원과 이력을 관리하는 인사정보시스템, 문서의 등급과 인가자를 관리하는 문서보안시스템, 각종 업무처리와 정보보호를 위한 시스템의 접근과 활용을 제한하는 시스템, 중요 시설과 문서를 보호하기 위한 시스템 등을 종합적으로 운영하고 통제하는 내용이 포함 돼야 한다. 개별 보안영역에서 독립적이거나 분산되어 운영하면 효율성이 떨어진다.

 

보안정책의 통합으로 개별적으로 운영되는 비용과 인력이 절감되고 이동시간의 감소, 개별 시스템의 오작동으로 인한 보안취약성이 감소되어 보안자산의 효율성이 높아진다. 특히 중앙 집중화된 보안정책이 기업의 업무시스템과 유기적으로 연동될 경우 보안사고의 조사나 예방활동은 더욱 쉬워진다. 예를 들어 재고시스템에서 재고불일치를 발견하게 되면, 보관창고나 자재창고의 출입관리시스템을 확인할 수 있어 원인을 파악하기 쉽다. 보안사고 조사는 5장의 ‘보안사고’를 참조하도록 한다.

 

정보보호나 영업비밀보호와 같은 이슈에서도 종합적인 관점이 중요하다. 기술적 보안이나 물리적 보안대책만으로 대응하기 힘든 위협으로부터 보호하기 위한 것이 관리적 보안의 정책이 되어야 한다. 종합적인 관점을 가지고 기업보안 전 영역을 운영하기 위해서도 기업의 보안책임자가 경영진의 일원인 CSO가 돼야 한다. 또한 CSO와 보안과 관련된 부서를 전체적으로 관리하기 위해 보안조직에 대한 체계적인 편성이 중요하다. 보안조직에 관해서는 이 장의 4절 ‘보안조직’을 참조하도록 한다.

 

 

(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p72)

 

 

[출처:산업보안학ISS-민진규저, 국가정보전략연구소]