보안 폴리시
보안 폴리시란 보안과 관련된 기본적인 방침을 말합니다.
즉, 보완과 관련된 구체적인 대응책이나 절차 등을 검토하려면 그 전에 보안 폴리시를 정해 두어야 한다는 것입니다.
보안 폴리시란 보안과 관련된 기본적인 방침을 말합니다.
즉, 보완과 관련된 구체적인 대응책이나 절차 등을 검토하려면 그 전에 보안 폴리시를 정해 두어야 한다는 것입니다.
보안 폴리시를 정하기 위해 필요한 것
- 조직의 목적이나 목표를 명확히 한다.
- 조직의 목적이나 목표를 명확히 한다.
스탠다드와 프로시저
- 작성과 개정
폴리시를 바탕으로 스탠다드, 프로시저 순으로 작성하고, 정기적으로 개정합니다.
스탠다드의 경우 ISMS(정보보안관리시스템)의 지시 항목을 사용하는 경우가 많습니다.
- 작성과 개정
폴리시를 바탕으로 스탠다드, 프로시저 순으로 작성하고, 정기적으로 개정합니다.
스탠다드의 경우 ISMS(정보보안관리시스템)의 지시 항목을 사용하는 경우가 많습니다.
폴리시 : 조직의 목적이나 목표에 맞춰 기본적인 방침을 설정한다. 필요에 따라 개정한다.
스탠다드 : 고려해야 할 항목을 파악하여 항목별로 실시 및 준수해야 할 항목을 기술한다. 핗요에 따라 개정한다.
프로시저 : 스탠다드에 기술된 항목을 구체적으로 실현하기 위해 필요한 ‘절차’를 기술한다. 실제사정에 맞춰 자주 개정한다.
스탠다드 : 고려해야 할 항목을 파악하여 항목별로 실시 및 준수해야 할 항목을 기술한다. 핗요에 따라 개정한다.
프로시저 : 스탠다드에 기술된 항목을 구체적으로 실현하기 위해 필요한 ‘절차’를 기술한다. 실제사정에 맞춰 자주 개정한다.
[운용 예]
예를 들어 고객정보와 기밀 정보를 적절히 다루고 싶은 경우에는 다음과 같은 운용을 생각할 수 있습니다.
예를 들어 고객정보와 기밀 정보를 적절히 다루고 싶은 경우에는 다음과 같은 운용을 생각할 수 있습니다.
폴리시 : 사업을 위해 고객 정보 및 기밀 정보를 적절히 다룬다.
스탠다드 : 기밀 정보를 취급하는 사용자를 최소한으로 한다.
사용자 인증에는 원칙적으로 ID와 비밀번호를 사용한다.
시스템에 따라서는 이중 인증도 검토한다.
기밀 정보에 대한 액세스를 시스템에서 적절히 제한한다.
사용자 인증에는 원칙적으로 ID와 비밀번호를 사용한다.
시스템에 따라서는 이중 인증도 검토한다.
기밀 정보에 대한 액세스를 시스템에서 적절히 제한한다.
프로시저 : 채용할 시스템 플랫폼의 선정 절차
시스템별 사용자 관리절차
시스템별 액세스 제한 실시 절차
시스템별 사용자 관리절차
시스템별 액세스 제한 실시 절차
출처 : 그림 설명으로 한 번에 이해할 수 있는 보안의 기본(저자 Miyamoto Kunio, Okubo Takao / 출판 위즈플래닛)