IT 보안 정책이란 무엇인가요?
정보 기술 (IT) Information Technology (IT) 보안 정책 은 조직의 IT 자산 및 리소스에 액세스하고 사용하는 모든 개인에 대한 규칙과 절차를 식별합니다. 효과적인 IT 보안 정책은 직원들의 정보와 업무에 대한 접근 방식에 따라 규칙과 절차가 결정되는 조직 문화의 모델입니다. 따라서 효과적인 IT 보안 정책은 각 조직마다 고유한 문서로, 위험 허용 범위, 정보를 보고 가치를 부여하는 방식, 결과적으로 해당 정보의 가용성을 유지하는 방식에 대한 직원들의 관점을 바탕으로 만들어집니다. 이러한 이유로 많은 기업에서 조직 구성원들이 실제로 정보를 어떻게 사용하고 공유할지에 대한 고려가 부족하여 보일러플레이트 IT 보안 정책은 부적절하다고 판단할 것입니다.
IT 보안 정책의 목표는 조직 구성원이 사용하는 시스템과 정보의 기밀성, 무결성, 가용성을 보존하는 것입니다. 이 세 가지 원칙이 CIA 트라이어드를 구성합니다:
- 기밀 유지( )는 권한이 없는 주체로부터 자산을 보호하는 것을 포함합니다.
- Integrity 는 자산 수정이 지정되고 승인된 방식으로 처리되도록 보장합니다.
- 가용성 권한이 부여된 사용자가 해당 자산에 지속적으로 액세스할 수 있는 시스템 상태입니다.
IT 보안 정책은 진화하는 비즈니스 및 IT 요구 사항에 맞춰 지속적으로 업데이트되는 살아있는 문서입니다. 국제표준화기구(ISO) 및 미국 국립표준기술연구소(NIST)와 같은 기관에서는 보안 정책 수립을 위한 표준 및 모범 사례를 발표했습니다. 미국 국립연구위원회(NRC)에서 규정하는 대로 모든 회사 정책의 사양은 다음과 같은 내용을 다루어야 합니다:
- 목표
- 범위
- 구체적인 목표
- 규정 준수에 대한 책임과 규정 미준수 시 취해야 할 조치.
또한 모든 IT 보안 정책에는 조직의 산업에 적용되는 규정 준수에 관한 섹션이 필수적으로 포함되어 있습니다. 전 세계적으로는 PCI 데이터 보안 표준과 바젤 협정, 미국의 도드-프랭크 월가 개혁, 소비자 보호법, 건강보험 이동성 및 책임에 관한 법률, 금융 산업 규제 당국 등이 대표적인 예입니다. 이러한 규제 기관 중 상당수는 자체적으로 IT 보안 정책을 문서화하도록 요구합니다.
조직의 보안 정책은 조직의 결정과 방향에 큰 영향을 미치지만, 보안 정책이 조직의 전략이나 사명을 변경해서는 안 됩니다. 따라서 조직과 구성원이 미션과 목표를 달성하는 데 방해가 되는 일반적인 정책이 아니라 조직의 기존 문화와 구조적 틀에서 도출된 정책을 작성하여 우수한 생산성과 혁신의 지속성을 지원하는 것이 중요합니다.
