보안정책의 개념
1. 보안정책의 개념과 수립 시 주의사항
2. 보안정책의 성공도 사람에서 출발
3. 기업의 손실을 보호하는 보안정책
4. 보안정책 내용의 비밀유지가 가장 중요

1. 보안정책의 개념과 수립 시 주의사항

보안정책(Security Policy)은 기업의 보안, 즉 관리적 보안, 물리적 보안, 기술적 보안 등 전 영역에 적용할 수 있는 정책과 지침을 말한다. 보안정책은 보안관리자가 어떻게 보안을 관리할 것인지에 대해 기업의 모든 이해관계자에게 말하고자 하는 내용을 포함해야 한다.

기업보안이 만약에 일어날 가능이 있는 모든 기업의 보안위협으로부터 보호하는 것을 말하므로, 모든 직원이 준수할 수 잇는 보안정책의 수립이 매우 중요하다. 그럼에도 불구하고 많은 기업이 보안정책에 대해 특별한 기준이나 방향을 설정하지 못할 뿐만 아니라 보안정책을 특정 보안에 한정된 지엽적인 부문으로 이해하고 있어 안타까움을 금할 수 없다.

보안정책을 수립하기 위해서는 보안서비스의 수준, 편리성의 정도, 투자비의 한계 등을 고려해야 한다. 직원이 활용하는 서비스를 늘리게 되면 보안의 취약성은 높아지게 된다. 따라서 업무의 종류와 필요성을 감안해 어느 수준까지 허용할 것인지 판단해야 한다. 다음 직원이 업무를 수행함에 있어서 어느 정도 편리를 봐 줄 것인지도 고민해야 한다.

보안을 위한 제약사항이 하나도 없으면 직원이 업무를 하는 데 있어 제일 편하지만 정보의 유출 가능성이 높아지고 자산이 위험에 처해진다. 그리고 완벽한 보안을 위해 가급적 많은 예산을 투입하면 좋지만 효율성이 떨어지므로 투자대비 효율성을 검토해 한계를 정하는 것이 좋다.

따라서 보안정책은 모든 직원이 지킬 수 있도록 만드는 것이 중요하다. 보안에 대한 최소한의 투자로 최대한의 효과를 얻을 수 있는 최적의 방안을 찾는 과정이 보안정책에 반영돼야 한다. 또한 보안정책은 현재의 위협뿐만 아니라 미래의 위협변화도 대처할 수 있어야 한다. 보안정책은 국가의 헌법과 마찬가지로 가장 기초적이면서 모든 업무에 적용될 수 있도록 수립되어야 한다.

(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p59)