13-1. 보안 정책

목표 

1. 보안 정책의 의미와 그 절차를 이해함

2. 보안 정책서에 포함되어야 할 내용을 살펴봄

3. 보안 정책 서식에 대해서 이해함 (회사마다 비슷할 수도 있음.)

 

보안 정책을 어떻게 세우는가에 따라 회사나 기관 내의 안전성을 높일 수 있음

장비나 시설이 좋아도 보안 정책이 허술하면 위험에 노출될 수 있으므로 정책 수립이 아주 중요함

시스템의 안전성을 보장할 수 있는 정책을 고민해야 할 것

보여주기식 정책이 아닌 실제 자산의 안전성을 높여줄 수 있는 정책이 수립되어야 함

 

보안 정책과 절차

보안 정책

- 회사 내부 업무에 대한 문서화의 수준은 회사의 수준을 반영함

- 보안 정책과 그 절차는 문서화되어야 하고, 작성된 정책과 절차는 조직의 비즈니스적인 목표 또는 운영 목표에 부합해야 하며, 조직의 영업적인 특성이나 존재 목적을 배제한 정책과 절차가 되어서는 안됨.

- 만들어진 정책과 절차는 법규와 규정에 어긋남이 없어야 함.

 

목적과 방향에 따라 정책을 구분

- 규칙으로 지켜져야 할 정책 (Regulatory)

- 하고자 하는 일에 부합하는 정책이 없을 때 참고하거나 지키도록 권유하는 정책 (Advisory)

- 어떠한 정보나 사실을 알리는데 목적이 있는 정책 (Informative)

 

영미권의 보안 정책

Security Policy

: 보안 활동에 대한 일반 사항을 기술한 문서로, 통제보다는 조직의 보안 정책이 어떤 원칙과 목적을 가지고 있는지 밝히는 문서

 

- 조직원들의 공감을 형성할 수 있는 문서. 공감을 시작으로 정책이 지켜지는 것.

 

- 내용 예시

: 보호하고자 하는 자산, 정보의 소유자와 그 역할과 책임, 관리되는 정보의 분류과 기준, 관리에 필요한 기본적 통제 내용

 

Standards

: 소프트웨어나 하드웨어의 사용 등에 관한 일반적인 절차 표준

 

Baselines

: 조직에서 지켜야 할 가장 기본적인 보안 수준 기록

 

Guidelines

: 관리자나 직원이 하고자 하는 일에 부합하는 Standards가 없을 때는 Guidelines를 참고하여 그에 대한 행동을 결정함.

 

- 상황에 대한 충고, 방향 등을 제시

 

Procedures

: 가장 하위의 문서. 각각의 절차에 대한 세부 내용을 담고 있음

 

- 일반적으로 매뉴얼 수준의 내용

 

국내 보안 정책

정보보호 정책서

: Security Policy와 기본적으로 같은 문서로서, 회사에서 보호해야 할 정보자산을 정의하고 정보보호를 실현하기 위한 기본 목표와 방향성을 설정함.

 

정보보호 지침서

: 각 절차서의 기준이 되는 문서로서, 정보보호 조직의 구성과 운영에 대한 내용과 각 지침 절차의 기본 방향 등을 기술함

 

- 정보보호 조직의 조직도와 역할

- 운영해야 할 내용

- 정보보호 관리자, 정보보호 책임자 등의 담당자(실무자)에 대한 업무 내용 등

 

정보자산 분류 절차서

: 보호해야 할 모든 정보자산은 명확하게 구별되고 적절하게 분류되어야하는데 그 관련 내용을 기술함

  ex) 정보자산 관리 체계 : 자산의 식별/분류/등록, 자산의 중요도 평가 기준

        자산의 운용 : 자산 운영 방법, 자산 분류 및 중요도 평가 주기, 자산의 변경 및 폐기 시 절차

 

- 자산 관리 내용의 변경시 바로 업데이트

- 자산을 쉽게 파악할 수 있도록 분류 코드가 명확해야 함

 

네트워크 정보보호 절차서

: 네트워크 장비에 대한 보안 및 운영, 관리 방법에 대한 일괄적인 사항을 기술함

 

ex)

네트워크 장비 운용 : 네트워크 장비의 설치, 유지보수, 장애 관리, 백업 및 매체 관리, 철수 및 폐끼

네트워크 장비 보안 사항 적용 : 접근 통제, 패스워드 생성 및 관리, ISO 업그레이드

네트워크 모니터링 : 모니터링, 로그 관리

 

보안 시스템 정보보호 절차서

: 방화벽, 침입탐지 시스템, VPN 등과 같은 보안 시스템에 대한 운영사항 기술함

 

ex)

정보보호 시스템 운용 : 정보보호 시스템 도입, 백업 및 매체 관리, 철수 및 폐기

정보보호 시스템 보안 사항 적용 : 네트워크 접근 제어, 사용자 관리

정보보호 시스템 모니터링 : 모니터링, 로그 관리

 

개발 보안 절차서

: 응용 프로그램의 개발, 유지보수 및 운영에 있어서 필요한 보안 관련 활동들을 기술함

 

ex)

응용 프로그램 환경 구성 : 개발자가 임의로 운영(Production) 환경에 접근하여 프로그램을 변경할 수 없도록 개발 환경과 서비스를 제공하는 운영 환경이 분리되어야 함

응용 프로그램 개발 : 보안 요구사항 분석, 보안 기능의 설계, 프로그래밍 시 주의사항, 응용프로그램 테스트

응용 프로그램 운영 : 소스 라이브러리 변경 이력 및 접근 권한 관리 및 통제, 백업

 

전산센터 운영 절차서

: 전산실 운영에 관한 내용을 기술함

  * 출입 관리 : 전산실 출입을 위한 권한 신청 절차 및 출입자에 대한 인증 방식, 모니터링 수단

  * 방화 관리 : 소화기 성능 검사 및 배치, 화재 발생 시 대응 절차

  * 전산실 근무자 인수인계 : 전산실 상주 모니터링 직원이 있을 때, 이에 대한 인수인계 절차

  * 보고 및 조치 체계 : 시스템 및 네트워크상의 보안문제 또는 운영상의 문제 발생 시 보고 절차

  * 반출입 관리 : 화물 및 장비의 출입 절차로 출입문 통제 절차 및 화물 검사 등록

 

시스템 보안 절차서

: 서버와 기타 운영 시스템의 보안 및 운영, 관리 방법에 대한 일괄적인 사항을 기술함.

 

일반 사용자 정보보호 절차서

: PC 등을 통해서 일반 업무를 보는 내부 구성원에 대한 보안 관련 활동을 기술함

  * 내부 또는 외부로 전송되는 메일과 관련된 보안 사항

  * 개인 패스워드 관리

  * 책상 위 정리, 화면 보호기 설정

  * PC에 대한 일반적인 보안 관리 사항 및 웜, 바이러스에 대한 대응

 

침해사고 및 장애대응 절차서

: 침해사고나 장애가 발생했을 때 이에 대응하는 절차를 기술

  * 침해사고 대응 절차

  * 장애 대응 절차

  * 스팸 메일 처리

  * 웜/바이러스 대응

  * 시스템 복구 및 분석 절차

 

정보보안 교육 훈련 절차서

: 조직원의 정보보호에 대한 인식 향상 및 관련 지식을 습득하기 위한 교육에 관련된 내용을 기술함

  * 교육 시기, 내용

  * 정보보호 관련 교육기관 선정 방침

 

제3자 및 아웃소싱 보안 절차서

: 외주 업체를 통해 업무를 수행할 때, 외주 업체와 관련하여 지켜야 할 보안 사항과 관련된 내용을 기술함.

  * 외주 계약 시 계약서에 포함되어야 할 보안과 관련된 사항 및 책임

  * 외주 인력의 통제 범위

 

보안 정책서 서식

정보보안 교육 훈련 절차서

- 다음의 내용이 포함되어 있어야 함

  * 정책서의 개정 이력

  * 정책서의 목적

  * 정책서의 적용 범위

  * 역할 및 책임

  * 주요 용어에 대한 설명

 

 

 

정보보호 관리체계 관련하여 문서가 구비되어 있기는 하나 회사에 맞게 구성되어 있지 않고 형식적 평가를 받기 위해서만 구성됨.

회사가 작으면 정보보호를 전담하는 부서를 따로 구성하는 것은 어려우나 그래야 함.

 

정보보호 관리체계를 따르는 것으로 리스크를 최소화할 수 있는 방향을 추구해야 함.