09. 보안 폴리시 - 보안의 기본

* 보안 폴리시란?

보안과 관련된 기본적인 방침을 말한다.

어떤 절차를 정하려면 기준이 필요하며, 기준을 정하기 위해서는 방침이 필요하다.

이 방침에 해당하는 것이 보안 폴리시이다.

보안 폴리시를 정하기 위해서는 다음의 두 가지가 필요하다.

1. 조직의 목적이나 목표를 명확히 할 것

2. 경영진의 관여 및 승인

* 스탠다드와 프로시저

보안 폴리시는 매우 중요하지만 그것만 가지고 현장에서 운용할 수는 없다.

실제로는 보안 폴리시와 함께 스탠다드(기준)와 프로시저(절차)가 필요하다.

정하는 순서는 보안 폴리시 -> 스탠다드 -> 프로시저가 된다.

보안 폴리시와 스탠다드를 묶어서 보안 폴리시라고 부르는 경우도 있다.

스탠다드의 경우 ISMS(정보보안관리시스템)의 지시 항목을 사용하는 경우가 많다.

폴리시 : 조직의 목적이나 목표에 맞춰 기본적인 방침을 설정

스탠다드 : 고려해야 할 항목을 파악하여 항목별로 실시 및 준수해야 할 항목을 기술

프로시저 : 스탠다드에 기술된 항목을 구체적으로 실현하기 위해 필요한 ‘절차’를 기술한다.