⑦ 보안정책 관리
정기적으로 보안정책 및 지침, 절차, 매뉴얼의 “타당성을 검토”하고 “보안정책에 미치는 영향을 분석”하여 필요한 경우 제·개정하여야 한다. “중대한 보안사고 발생”, “정보보호, 개인정보 및 관련 법률 제·개정”, “새로운 위협 또는 취약점 발견”, “비즈니스 환경 변화”, “정보보호 및 IT 환경의 중대한 변화” 등의 상황이 발생한 경우 보안정책 및 지침, 절차, 매뉴얼 등에 미치는 영향을 분석하고 해당 문서에 반영하여야 한다. 보안 정책과 관련된 문서는 최신 본을 유지하여야 하며 제·개정 시에는 경영자와 정보보호 책임자의 승인받고 공표하여야 한다.
관련표준 및 지침
| K-ISMS | 1.3.1 정책의 검토 1.3.2 정책문서 관리 |
| ISO/IEC 27002:2013 | A.5.1.2 Review of the policies for information security |
| NIST SP 800-53 | PM-1 |
2) 보안 교육 및 훈련
내부자의 보안에 대한 의식을 고취하기 위하여 보안 교육 및 훈련을 실시하여야 한다. 보안 교육은 보안 교육 계획을 수립 및 시행하고 보안 교육 결과를 평가함으로써 이루어진다. 훈련은 보안사고 대응 훈련을 통하여 보안사고 발생 시 효과적이고 신속한 대응이 가능하며, 내부자의 보안 사고의 위험성을 알리는 데 효과적이다. 모든 보안 교육 및 훈련은 경영진의 사전 승인이 필요하며 경영진의 적극적인 지원과 참여가 중요하다.
① 보안 교육 계획 수립
내부자의 보안 의식을 고취하기 위하여 “보안 교육 계획”을 수립하여야 한다. 경영진은 보안 교육 계획을 검토 및 승인하고 계획에 따른 보안 교육이 수행될 수 있도록 적극적으로 지원하고 참여하여야 한다. 보안 교육 계획에는 “교육 주기”, “교육 기간”, “교육 대상”, “교육 내용”, “교육 방법”을 정의하여야 한다. 또한 “교육 대상”에는 광의의 내부자를 모두 포함하여야 한다.
관련표준 및 지침
| K-ISMS | 5.1.1 교육 계획 5.1.2 교육 대상 5.1.3 교육 내용 및 방법 |
| ISO/IEC 27002:2013 | A.7.2.2 Information security awareness, education and training |
| NIST SP 800-53 | PM-13, PM-14, AT-2, AT-3, CP-3, IR-2, SA-16 |
② 보안 교육 시행 및 평가
내부자를 대상으로 연 1회 이상 보안 교육을 시행하고 평가하여야 한다. 보안 교육은 “기본 보안 교육”과 보안 관련 업무 담당자에게 수행하는 “직무별 보안 교육”으로 분리하여 수행하며, “정보보호 및 개인정보 관련 법률 변경”, “조직 내 보안정책 및 절차 변경”, “조직 내·외부 보안사고 발생”, “업무 환경의 중대한 변화 발생” 시에는 추가적인 보안 교육을 수행하여야 한다. 모든 보안 교육의 시행은 기록으로 남겨야 하며 교육 시행 후 평가 기준에 따라 “설문” 또는 “테스트” 등을 통하여 “교육 내용의 적절성과 효과성을 평가”하여 향후 교육계획 수립에 반영하여야 한다.
관련표준 및 지침
| K-ISMS | 5.2.1 교육 시행 및 평가 |
| ISO/IEC 27002:2013 | A.7.2.2 Information security awareness, education and training |
| NIST SP 800-53 | PM-13, PM-14, AT-2, AT-3, CP-3, IR-2, SA-16 |
③ 보안사고 대응 훈련
내부자를 대상으로 보안사고 대응 절차에 따라 연 1회 이상 보안사고 대응 훈련을 실시하여야 한다. 보안사고 대응 훈련의 목적은 내부자가 보안사고 대응 절차를 숙지하고 보안사고 발생 시 대응 절차에 따라 신속히 대응하기 위함이다. 따라서 보안사고 대응 절차에 대한 “적정성”과 “효과성”을 평가하기 위하여 “주기적”으로 “보안사고 대응 훈련”을 수행하여야 한다.
관련표준 및 지침
| K-ISMS | 12.2.1 침해사고 훈련 |
| ISO/IEC 27002:2013 | N/A |
| NIST SP 800-53 | N/A |
3) 법규준수
① 법규준수
보안조직 및 담당자는 보안과 관련된 법률의 제·개정 추이를 면밀히 파악하여 “경영자에게 보고”하고 법적 요구사항에 대한 조언이 필요할 경우 “조직의 법률고문” 또는 “자격을 갖춘 변호사”를 통해야 한다. 법의 보호를 받기 위해서는 “법에게 요구하는 조치를 이행”하여야 한다. 국내 보안 관련 법률은 산업기술 보호 관련 법률과 정보보안 및 개인정보보호 관련 법률에 기술하였다.
관련표준 및 지침
| K-ISMS | N/A |
| ISO/IEC 27002:2013 | A.18.1.1 Identification of applicable legislation and contractual requirements A.18.1.2 Intellectual property rights A.18.1.3 Protection of records A.18.1.4 Privacy and protection of personally identifiable information A.18.1.5 Regulation of cryptographic controls |
| NIST SP 800-53 | CM-10 AC-3, AU-9, AU-11, CP-9, MP-4, SA-5, SI-12 SI-12 IA-7, SC-13 |
'보안(Security)' 카테고리의 다른 글
| 단계별 내부통제항목 - 예방(2) (0) | 2022.07.17 |
|---|---|
| 단계별 내부통제항목 - 예방(1) (0) | 2022.07.16 |
| 단계별 내부통제항목 - 억제(1) (0) | 2022.07.14 |
| 내부자 위협에 대한 내부통제 강화 전략 (0) | 2022.07.13 |
| 내부자에 의한 보안사고 사례 - 부정(Fraud) (0) | 2022.07.12 |
댓글