보안정책의 개념

1. 보안정책의 개념과 수립 시 주의사항
2. 보안정책의 성공도 사람에서 출발
3. 기업의 손실을 보호하는 보안정책
4. 보안정책 내용의 비밀유지가 가장 중요

3. 기업의 손실을 보호하는 보안정책

미국의 부정조사자 협회(ACFE : Association of Certified Fraud Examiners)에 의하면 기업매출의 평균 5~6%가 부정행위로 사라진다고 발표했다. 부정행위는 직원의 자금횡령, 주요 물품의 절도, 기물의 파괴 등이 해당된다. 이런 부정행위는 기업의 보안정책에 따라 예방과 통제가 가능하다. 기업이 직원의 부정행위를 감소시키기 위한 보안정책을 수립할 필요성은 높다. 하지만 기업이 보안을 위해 어느 정도의 통제를 가하는 것이 적절한지에 대한 고민이 생긴다.

보안정책을 수립함에 있어 경영진과 직원에게 책임을 묻는 내용이 포함되어야 한다. 오너를 포함한 경영진은 솔선해서 보안정책을 지켜야 하며, 기업의 정상적인 경영활동이 보장될 수 있도록 생산설비, 영업정보, 직원 등 자산을 보호해야 하는 책무를 가진다. 내부의 직원뿐만 아니라 외부의 위협까지 모두 감안한 보안정책을 수립해야 한다. 또한 직원은 기업이 정한 보안정책을 성실히 준수해야 한다. 보안정책에 따르는 것이 직원 자신의 이익과도 부합하기 때문이다.

기업의 보안정책이 근로자의 권리나 자유의사의 행사를 방해하거나 통제하는 도구로 작용하지 않도록 해야 한다. 보안정책은 기업의 잠재적인 내·외부 위협을 최소화하고 위험이 발생했을 경우 충격을 최소화하거나 제거할 수 있어야 한다. 보안 정책은 모든 구성원과 협력사, 고객 등 외부 관련자에게도 동등하게 적용되므로 이해관계자 모두의 적극적인 협력을 이끌어낼 수 있어야 한다. 모두에게 보안정책을 잘 따르겠다는 동기부여가 있어야 성공적인 정책이 될 수 있다. 보안정책을 수립하는 것도 중요하지만, 이에 못지않게 실천하고 지켜지는 것이 더 중요한 일이다.

(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p61)