.svg)
AI 솔루션 문의하기
ISMS-P 인증에서 ‘정보보호 정책 → 정보보호활동 → 정보보호시스템 운영 → 물리 보안’의 과정 중 첫 번째 단계가 바로 정보보호 정책 수립입니다. 정보보호 정책을 관리 및 운영하는 보안 인력의 인식이 가장 중요하다고 전문가들이 입을 모아 말하는 이유입니다.
2023년 11월 개인정보보호위원회와 과학기술정보통신부에서 발행한 최신 인증기준 안내서에 따르면, ISMS-P 인증 기준은 관리체계 수립 및 운영(16개), 보호대책 요구사항(64개), 개인정보 처리단계별 요구사항(21개) 등 총 101가지 기준으로 구성되어 있습니다. 이 중 정보보호 정책 수립은 모든 관리체계의 기반이 되는 출발점입니다.
정보보호 기본 정책(상위 정책), 분야별 세부 정책(하위 정책), 절차서, 가이드라인 순으로 체계적인 문서 구조를 만들어야 합니다. 상위 정책에서는 전사적인 방향성을, 하위 정책에서는 구체적인 실행 방안을 담아야 합니다.
정보통신망법, 개인정보보호법, 클라우드컴퓨팅법 등 관련 법령을 정기적으로 모니터링하고, 법령 변경사항을 정책에 즉시 반영해야 합니다. 특히 암호화 적용 기준은 법령별로 다르므로 주의가 필요합니다.
정책 수립 후 게시판이나 문서관리시스템 등을 통해 모든 직원이 열람할 수 있도록 해야 합니다. 정기적인 교육과 함께 정책 변경사항에 대한 공지도 필수입니다.
기업 규모와 특성에 맞는 정책 수립이 중요합니다. 복잡한 정책보다는 실제로 이행 가능한 수준에서 체계적으로 만드는 것이 더 효과적입니다.
최소 연 1회 이상 정책 적절성을 검토하고, 법령 변경이나 사업 환경 변화 시 즉시 정책을 개정해야 합니다. 정책 이행 현황도 정기적으로 점검해야 합니다.
1단계: 현황 분석 및 범위 설정
2단계: 정책 체계 설계
3단계: 핵심 정책 내용 작성
결함 사례에 따르면 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고 임직원이 열람 할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우가 빈번하게 지적됩니다.
정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우도 주요 결함 사항입니다.
개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나 이러한 변경이 개인 정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정 하지 않은 경우가 있습니다.
보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립· 이행하고 보안시스템별 정책적용 현황을 관리해야 합니다.
보안시스템 운영 정책에는 다음 내용이 포함되어야 합니다.
정책 수립 전 준비사항
정책 작성 시 주의사항
ISMS 보안 정책 수립은 기업의 정보보호 수준을 한 단계 끌어올리는 기반 작업입니다. 법적 요구사항을 정확히 파악하고 기업 환경에 맞는 실행 가능한 정책을 수립하는 것이 중요합니다.
.svg)
.svg)
