보안정책의 개념

1. 보안정책의 개념과 수립 시 주의사항
2. 보안정책의 성공도 사람에서 출발
3. 기업의 손실을 보호하는 보안정책
4. 보안정책 내용의 비밀유지가 가장 중요

4. 보안정책 내용의 비밀유지가 가장 중요

기업의 보안정책의 생명은 보안정책 내용의 비밀유지이다. 기업이 어떤 보안시스템을 가지고 있고, 어떻게 운용되고 있는지, 시스템의 약점은 무엇인지, 보안요원은 어떻게 근무하는지 등에 대한 내용은 철저하게 비밀로 보호돼야 한다. 기업의 보안정책을 내·외부인이 알 경우 취약점을 찾아내 기만할 수 있다.

물리적 보안의 예를 들어 보자. CCTV가 설치되지 않은 지역이 어디인지, 조명이 어두운 지역이 어디인지, 경비원의 순찰시간과 경로 등을 파악한다면 침입은 의외로 쉽다. 보안취약성이 누설될 경우 값비싼 보안시스템은 무용지물이 된다.

보안정책이 완벽하지 않다면 보안책임자는 항상 취약점을 보완할 수 있도록 대책을 세워둬야 한다. 기업의 보안정책은 보안책임자의 책임하에 관리되어야 하며, 보안부서의 실무진이나 기타 다른 부서의 책임자에게도 비밀로 유지돼야 한다. 경비원의 순찰시간과 경로는 비정기적으로 변경돼야 하며, 심지어 경비원에게조차 변경되는 이유와 변경 내용을 알려줘서는 안 된다. 다만, 순찰강화계획에 따라 어떤 점을 주의해야 하는지만 통지해주면 된다.

그러나 화재예방이나 응급조치 등에 관한 정책은 기업보안에서 핵심적이기는 하지만 비밀스러운 내용이 아니므로 최대한 홍보해 직원에게 알려줘야 한다. 비상대피로의 위치와 운영실태는 교육을 통해서 고지한다. 일부 기업에서는 비상대피로의 관리가 제대로 되지 않아 보안의 사각지대로 되기도 한다.

또한 주기적으로 진행되는 화재 대피훈련과 같은 훈련상황도 보안점검이 취약하기 때문에 보안사고의 기회로 작용하기도 한다. 영리한 범법자는 아주 조그마한 허점도 놓치지 않고 치밀하게 활용한다. 대피훈련 시간도 비정기적으로 정하고 변경내용을 고지하는 데 주의를 기울여야 한다.

- 이하 생략 -

(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p62)