이 글에서는 효과적인 정보 보안 정책 관리 프로그램의 7가지 핵심 특징을 살펴봅니다. 이러한 요소는 당사의 선도적 관행, 정보 보안 및 개인정보 보호 프레임워크, 정보 보안 정책과 관련된 사고에서 발췌한 것입니다. 조직은 이 체크리스트를 사용하여 기존 정보 보안 정책의 성숙도를 평가할 수 있습니다.
1. 버전 제어가 포함된 서면 정보 보안 정책 문서
당연한 것처럼 보이지만, 거의 모든 정보 보안 표준과 프레임워크는 정보 보안 정책을 구체적으로 작성하도록 요구합니다. 서면 정보 보안 정책은 경영진의 기대와 정보 보호에 대한 명시된 목표를 정의하기 때문에 정책은 “암시”될 수 없으며 문서화되어야 합니다. “서면 보안 정책 문서”를 갖는 것은 국제 표준 ISO/IEC 1-7799:2005(ISO 27002) 내에서 확립된 첫 번째 핵심 통제이며, 내부 및 외부 감사를 수행하는 데 중요합니다. 하지만 효과적으로 작성된 정책 문서를 만드는 몇 가지 특징은 무엇일까요?
2. 정의된 정책 문서 소유권
각 서면 정보 보안 정책 문서에는 정의된 소유자 또는 작성자가 있어야 합니다. 이 소유권 진술은 서면 정책과 정보 보안 정책을 업데이트하고 유지 관리하는 경영진의 책임에 대한 인정 사이의 연결 고리입니다. 작성자는 또한 조직 내 누군가가 각 정책의 특정 요구 사항에 대해 질문이 있는 경우 연락처를 제공합니다. 일부 조직은 작성자가 더 이상 조직에 고용되지 않을 정도로 오래된 서면 정보 보안 정책을 가지고 있습니다.
3. 각 보안 정책에 대한 대상 사용자 그룹
모든 정보 보안 정책이 회사의 모든 역할에 적합한 것은 아닙니다. 따라서 서면 정보 보안 정책 문서는 조직의 특정 대상을 대상으로 해야 합니다. 이상적으로는 이러한 대상은 조직 내의 기능적 사용자 역할과 일치해야 합니다.
예를 들어, 모든 사용자는 인터넷 허용 사용 정책을 검토하고 확인해야 할 수 있습니다. 그러나 일부 사용자만 재택근무나 출장 중에 필요한 통제를 정의하는 모바일 컴퓨팅 정책을 읽고 확인해야 할 수도 있습니다. 직원들은 이미 정보 과부하에 직면해 있습니다. 모든 정보 보안 정책을 인트라넷에 게시하고 사람들에게 읽도록 요청하는 것만으로는 실제로는 아무에게도 읽지 말라고 요청하는 것과 마찬가지입니다.
4. 포괄적인 정보 보안 주제 범위
서면 정보 보안 정책은 전체 보안 프로그램에 대한 청사진을 제공하므로 조직의 위험을 줄이는 데 필요한 주요 논리적, 기술적 및 관리적 통제를 다루는 것이 중요합니다. 액세스 제어, 사용자 인증, 네트워크 보안, 미디어 제어, 물리적 보안, 사고 대응 및 비즈니스 연속성을 예로 들 수 있습니다. 각 조직의 정확한 프로필은 다르지만 많은 조직은 규정 요구 사항을 참조하여 조직의 보안 정책 주제 범위를 정의할 수 있습니다. 예를 들어, 미국 내 의료 회사는 HIPAA 요구 사항을 다루어야 하고, 금융 서비스 회사는 Gramm-Leach-Bliley Act(GLBA)를 다루어야 하며, 신용 카드를 저장하고 처리하는 조직은 PCI-DSS 요구 사항을 따라야 합니다.
5. 검증된 정책 인식 및 감사 추적
보안 정책 문서는 각 문서의 대상 청중 모두가 읽고 이해하지 못하면 효과가 없습니다. 인터넷 허용 사용 정책이나 행동 강령과 같은 일부 문서의 경우 대상 청중은 전체 조직일 가능성이 높습니다. 각 보안 정책 문서에는 문서를 읽고 승인한 사용자와 승인 날짜를 포함하여 해당 “감사 추적”이 있어야 합니다. 이 감사 추적은 정책의 특정 버전을 참조하여 어떤 정책이 어떤 기간 동안 시행되었는지 기록해야 합니다.