정보보호 정책

■ 정보보호 정책

 - 정보보호 정책이란 조직의 정보보호에 대한 방향과 전략 그리고 정보보호체계의 근거를 제시하는 매우 중요한 문서로 최고 경영자 등 경영진의 정보보호에 대한 의지 및 방향, 조직의 정보보호 목적, 조직의 정보보호 범위, 조직의 정보보호 책임과 더불어 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거가 된다

 

1) 정보보호 정책

 - 정보보호 정책이란 어떤 조직이 기술과 정보자산에 접근하려는 사람이 따라야 하는 규칙의 형식적인 진술이다

 - 정보보호 정책의 목표를 결정하지 않고서는 보안에 관하여 적절한 결정을 할 수 없다

 - 정보보호관리자는 시스템의 안전성과 사용의 용이성을 동시에 고려하여 우선과제를 선정해야 한다

 - 정보보호 정책의 내용에는 필요한 보호의 수준에 따른 자산의 분류를 포함하여야 한다

 - 정보보호 정책은 정보보호 기반 구조의 기초를 이루는 것으로 주기적으로 검토되고 변경되어야 한다

 

2) 정보보호 구현

 - 정보보호 구현을 위해서는 사람, 프로세스, 기술 (People, Process, Technology) 등 3가지 요소의 상호작용이 필요하다

 - 3요소 중 가장 중요한 것은 프로세스이다

 - 사람, 프로세스, 기술 중 가장 중요하지 않은 요소는 기술이다

 - 사람이라는 요소를 위해서는 정보보호에 대한 교육 및 훈련이 필요하다

 

3) 정보보호의 보안 서비스

 ① 가용성

    - 정보시스템은 적절한 방법으로 주어진 사용자에게 정보 서비스를 제공해야 한다

 ② 기밀성 (Confidentiality)

    - 허락되지 않은 사용자 또는 객체가 정보의 내용을 알 수 없도록 하는 것으로, 원치 않는 정보의 공개를 막는다는 의미에서 프라이버시 보호와 밀접한 관계가 있다

 ③ 무결성 (Integrity)

    - 허락되지 않은 사용자 또는 객체가 정보를 함부로 수정할 수 없도록 하는 것으로, 다시 말하면 수신자가 정보를 수신했을 때 보관되어 있던 정보를 꺼내 보았을 때 그 정보가 중간에 수정, 첨삭되지 않았음을 확인할 수 있도록 하는 것

 ④ 부인방지 (Non-Repudiation)

    - 부인봉쇄라고도 하며, 정보를 보낸 사람이 나중에 정보를 보냈다는 것을 부인하지 못하도록 하는 것

 

4) 정보보호 대책

 - 전사적 정보보호 관리를 위해 가장 중요한 근본적인 성공요소는 최고 경영진의 적극적인 참여와 지원이다

 

5) 정보보호기술

 ① 관리적 보호기술

   - 정보보호 정책, 지침, 절차, 가이드라인, 문서처리 순서의 표준화 등의 대책을 수립한다

   - 법ㆍ제도ㆍ규정ㆍ교육 등을 확립하고, 보안계획을 수립하여 이를 운영(보안등급, Access)하고, 위험분석 및 보안감사를 시행하여 정보시스템의 안전성과 신뢰성을 확보하기 위한 대책

   - 조직체의 정보보호를 효과적으로 보장하기 위해서는 다양한 기술적인 보호대책뿐만 아니라 이들을 계획하고 설계하며 관리하기 위한 제도, 정책 및 절차 등의 관리적 보호대책이 중요하다

 

 ② 기술적 보호기술

   - 안전한 패스워드 사용을 강제하고, 침입차단시스템을 이용하여 접속을 통제하며, 가상 사설망을 이용하여 안전한 통신환경을 구현한다. 그리고 보안 솔루션, 보안 모니터링 및 감사 등의 대책을 수립한다

   - 정보 시스템, 통신망, 정보(데이터)를 보호하기 위한 가장 기본적인 대책

   - 접근통제, 암호기술, 백업 체제, 정보시스템 자체에 보안성이 강화된 시스템 소프트웨어를 사용하는 등의 대책이 기술적 보호대책에 속한다

 

 ③ 물리적 보호기술

   - 물리적 접근통제, 제한구역 설정, UPS 및 항온항습 장치 등의 대책을 수립한다

   - 화재, 수해, 지진, 태풍 등과 같은 자연재해로부터 정보시스템이 위치한 정보처리 시설을 보호하기 위한 자연 재해대책이 있다

   - 또한 불순 세력이나 적의 파괴로부터 정보시스템을 보호하기 위한 출입통제, 장치 등의 물리적 보안대책으로 구분된다