[ISMS] 정보보호 정책 (개인공부)

요약

• 조직이 만들어지고, 정보 자산이 분류가 되면, 모두가 동의하고 따를 수 있는 정책과 메뉴얼이 필요하다.
• 최대한 구체적으로 정리하고, 경영진의 승인이 있어서 문제가 발생하면 그냥 무지성으로 실행할 수 있게 하는 것이 좋다.
• 위협 문제에 대해서 지속적으로 확인하고, 정책을 성립하고, 구성원에게 공유해서 정책 및 위협 문제에 대한 대응안을 관리하고 운영해야 한다.

내용

• 필요한 ISMS 정보보호대책 목록은 아래와 같다. (많다...)
  • 정보자산 분류 → 인증 범위 산정, 자산 데이터 정리, 현황 및 흐름 분석, 자산 재사용 및 폐기
  • 정보보호 정책 → 정보보호 정책 설정 및 위험 평가, 보호대책 선정/구현/공유, 정책 유지관리
  • 정보보호 조직 → 관리 체계 조직 마련 (회의록, 관리자 선정)
  • 외부자 보안
  • 인적 보안
  • 물리적 보안
  • 운영 보안
  • 시스템 개발 보안
  • 암호 통제 → 암호키 관리, 계정 관리
  • 접근 통제
  • 침해사고 관리
  • IT 재해복구

메뉴얼 기반으로 내가 이해한 내용 기반으로 정리한 것은 아래와 같다.

• 정보보호 관련 정책 및 시행 문서를 작성해야 한다.
  • 단, 조치 및 방향을 명확하게 제시해야 한다.
• 정책 및 시행 문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.
• 참고 목차

1. 총 칙
2. 내부 관리계획 수립 및 시행
3. 보안 책임자의 역할 및 책임 정의
4. 개인정보 보호 교육
5. 기술적 안전조치
6. 관리적 안전조치
7. 물리적 안전조치
8. 기타

• 위험 평가 방법을 선정하여, 정보자산 전체에 대해 연 1회 이상 위험 평가를 수행하고, 경영진 승인을 통해 위험을 관리하여 대책을 수립 해야 한다.
• 참고 목차

1. 서론
2. 정보자산의 식별 및 평가
3. 위협 식별 및 평가
4. 취약점 진단 및 평가
5. 위험도 산정 및 보호 대책 수립

• 보호 대책은 우선순위와 일정,담당자,예산 등을 포함한 구체적인 이행 계획과 정확성과 효과성에 대한 계획 평가 내용이 있어야 한다.
• 해당 내용을 제대로 공유 및 교육하여 지속적으로 운영하도록 해야 한다.

배울 점 및 생각

• 정책 부분은 및에 통제 및 보안 부분에서 실행하게 될 모든 내용을 일종의 백과사전으로 정리해서 모두가 볼 수 있는 일종의 위키피디아를 만든 것 (결국 논리 싸움이 되는 부분 같다)
  • 검사관 입장에서는 가장 이것 저것 책 잡을 곳이 많을 것으로 예상 되는 부분
• 발생할 수 있는 위협 사항에 대해서 분석을 하고, 추후 발생할 수 있는 문제에 대해서 일종의 메뉴얼을 작성한다.
• 정책 및 메뉴얼을 유지해서 담당자에게 공유를 해서 지속적으로 정보보안 정책을 세우고, 유지 및 관리하고, 모두에게 교육하고 있다라는 것을 어필 하는 게 중요한 것 같다.

추후 해야할 것

• 외부자 보안 방법에 대해서 정리해 볼 것