2.7 IT 정책 및 절차

정책과 절차에는 정보시스템 및 관련 자원과 정보시스템 부서 프로세스에 대한 경영진의 가이드와 방향이 반영되어 있다.

 

2.7.1 정책(Policies)

정책은 상위 수준의 문서로서 조직의 경영철학을 나타낸다. 정책이 효과적이기 위해서는 간결하고 명확해야 한다. 경영진은 전반적인 목표와 방침을 포함고 있는 일반적인 목표 및 지시사항을 포함하고 있는 정책을 제정, 문서화, 공표 그리고 통제하여 긍정적인 통제 환경이 조성되도록 해야 한다. 경영진은 특정 정책에 영향을 받는 인력들에게 해당 정책에 대해서 충분히 설명하고, 정책의 의도를 이해할 수 있도록 필요한 절차를 밟아야 한다. 아울러, 정책은 계약 또는 과업명세서(SOW: Statements of Work)에 따라 해당 정책을 준수해야 하는 외부업체에도 또한 적용될 수 있다.

 

기업풍토를 조성하는 전체로서의 상위 정책 외에 개별 사업 부분 및 부서는 하위 수준의 정책을 수립하여야 한다. 하위 수준의 정책들은 전사 수준의 정책들과 일관성이 있어야 한다. 이러한 하위 정책들은 개별 비즈니스 부서인 인력 및 해당 비즈니스 부서의 운영에 적용되며, 일반적으로 운영 수준에 초점이 맞추어 진다.

경영진은 모든 정책을 주기적으로 검토해야 한다. 이상적으로는 이들 정책서들은 검토일자를 명시하고 있어야 한다. 이 검토일자는 정보시스템 감사인이 정책의 현재성(최신 상태로의 유지여부)을 점검하기 위해서 확인해야하는 사항이다. 정책은 새로운 기술, 환경읭 변화 그리고 생산성 향상이나 경쟁우위를 확보하는데 있어 효율성과 효과성을 높이기 위해 정보 기술을 사용하는 과정에서 발생하는 중요한 비즈니스 프로세스의 변화를 반영하도록 생신될 필요가 있다. 비즈니스 목표를 달성하고 정보시스템 통제를 구축하는 것을 지원할 수 있도록 종책이 수립되어야 한다. 그러나 경영진은 고객의 요구에 민감하여야 하며, 구객의 만족이나 비즈니스 목표 달성에 필요한 조직의 역량에 부정적인 영향을 주는 정책을 변경하여야 한다. 고객의 편의를 거스를 수 있는 기밀성 및 정보보호와 관련된 사안을 다룰 때 이와 같은 점을 반드시 고려해야 한다. 상위 수준에서의 개괄적인 정책과 하위 수준에서의 상세한 정책은 비즈니스 목적과 상호 연계되어야 한다.

 

정보시스템 감사인은 정책들이 감사 범위의 한 부분임을 이해하고 정책의 준수여부를 테스트해야 한다. 정보시스템 통제는 회사의 정책에 근거하여야 하며 정보시스템 감사인은 준수여부를 평가하기 위해 정책을 비교기준으로 이용하여야 한다. 그러나, 비즈니스 목표 달성을 저해하는 정책잉 존재한다면, 이러한 정책들을 개선하기 위해 파악 및 보고되어야 한다.

 

정보시스템 감사인은 외주업체에 어느정도까지 회사의 정책을 준수하도록 할 것인지, 그리고 외주업체의 정책이 회사의 정책과 상충되지 않는지를 또한 고려해야 한다.

 

정보보호 정책(Information Security Policy)

정보보호정책은 사용자, 경영진, 기술 인력에게 일관성 있는 보안 기준을 전달한다. 정보 및 관련 기술에 대한 보안 정책은 기술 지향적 조직을 위한 보안 기반 구조를 수립하기 위한 첫번째 단계이다. 정책은 조직에 필요한 도구와 절차를 준비하도록 도와준다. 정보보호 정책은 통제수준과 생산성 수준 간의 균형이 이루어지도록 하여야 한다. 또한 통제 비용은 이를 통해 얻어지는 기대 효익을 절대 초과해서는 안된다. 이러한 정책을 설계하고 구현하는데 있어 주직문환는 매우 중용한 역할을 하게 된다. 정보보호 정책은 고위 경영진에 의해 승인을 받아야 하며, 문서화되고, 모든 고용자와 관련된 서비스 제공자, 비즈니스 파트너 (예, 공급업체)에게 전달되어야 한다. 정보시스템 감사인은 다양한 정보시스템 감사 업무를 수행하는데 있어 봉보보호정책을 참조 프레임워크로 이용하여야 한다. 보안정책의 적절성 도한 정보시스템 감사인의 검토 영역이 될 수 있다.

 

정보보호 정책서

정보보호 정책은 정보보호에 대한 경영진의 관심과 참여의 필요성을 명시하고 정보보호 관리에 대한 조직의 접근 방법을 설명하여야 한다. ISO 27002뿐만 아니라 ISO 27001(또는 이에 상응하는 국제표준)는 정보보호 정책서가 다루어야 할 내용에 대한 참고자료로 활용될 수 있다.

 

정책서는 다음 내용을 포함해야 한다.

- 정보보호의 정의, 정보보호의 전반적인 목표와 범위, 그리고 정보 공유를 가능하게 하는 매커니즘(개요부분 참조)으로서 보안의 중요성

- 비즈니스 전략과 목표에 연계하여 정보 보안의 목표와 원칙을 지원하려는 경영진의 취지를 밝힘.

- 위험평가 및 위험 관리 구조를 포함하는, 통제 목적과 통제 설정을 위한 프레임워크

- 조직에 특히 중요한 정보보호 정책, 원칙, 표준 그리고 준수요건에 대한 개괄적인 설명에는 다음이 포함된다.

  - 법률, 규제 그리고 계약상의 요건에 대한 준수

  - 정보보호교육, 훈련 그리고 보안의식 강화를 위한 요건

  - 비즈니스 연속성 관리

  - 정보 보안 정책 위반의 결과

- 정보보호 사고의 보고를 포함한 정보보호 관리의 일반적인 책임과 구체적인 책임의 정의

- 정책을 지원하는 문서를 위한 참고자료, 예를 들면, 특정 정보시스템에 대한 보다 상세한 보안 정책, 표준, 그리고 절차 또는 사용자가 준수해야 할 보안 규칙

 

이 정보보호 정책은 대상이 되는 독자들에게 접근가능하고 이해핼 수 있는 형식으로 조직 전체적으로 전달되어야 한다. 정보보호 정책은 일반 정책 문서의 한 부분일 수 있으며, 조직의 민감한 정보가 노출되지 않도록만 주의한다 면 외주 업체에게도 배포될 수 있다. 정보자산에 접근 권한이 있는 모든 직원 또는 외주업체는 입사 시 그리고 시간이 지남에 따라 정책의 변경에 따르기 위해 정기적(예 1년) 으로 정보보호 정책을 이해하고 있으며 이를 준수하겠다는 서명을 하도록 해야 한다.

 

조직은 필요에 따라 여러 정책의 집합으로 정보보호 정책을 문서화 할 수 있다. 일반적으로, 다음의 정책들이 다루어진다.

- 상위수준 정보보호 정책 안에는 기밀성, 무결성, 가용성에 대한 설명을 포함해야 한다.

- 데이터 분류 정책은 데이터의 분류, 분류별 통제수준, 그리고 데이터 소유권을 포함한 모든 잠재적인 사용자의 책임을 기술하여야 한다.

- 허용된 사용 정책에는 모든 정보자원(하드웨어, 소프트웨어, 네트워크, 인터넷 등)에 대한 정보를 포함하고 IT 와 정보관련 자원의 사용에 대해 조직이 허용하는 사항을 기술한 정책이 마련되어 있어야 한다.

- 최종 사용자 컴퓨팅 정책은 사용자가 사용하는 데스크톱, 모바일 컴퓨팅 및 기타 툴을 설명한다.

- 접근 통제 정책은 사용자들이 다양한 IT 자원의 접근 권한을 정의하고 부여하는 방법을 설명한다.

 

허용된 사용 정책(Acceptable Use Policy)

사용자에 의한 IT 자원의 부적절한 이용은 회사를 바이러스 공격, 네트워크 시스템과 서비스의 취약, 법적 문제등을 포함한 위험에 노출 시킨다. 이를 위해 기업은 기업의 정보시스템 자원을 어떻게 사용할 것인가를 통제하기 위하여 사용되는 일련의 지침 혹은 규칙을 정의한다. 이러한 지침 혹은 규칙을 허용된 사용 정책(AUP : Acceptable Use Policy)이라고 한다. 기업의 새로운 구성원에게 정보시스템의 접근을 허가하기 이전에 서약서에 서명을 하도록 하는 것은 일반적인 관행이다.

 

AUP는 직원과 회사를 불법적인 활동으로 인한 나쁜 결과로 부터 보호하고자 하는 취지에서 회사가 허용하는 컴퓨터 사용이 무엇인지를 설명해야 한다. 이러한 이유로, AUP는 간결하고 명확해야 하면서도 그와 동시에 누구를 사용자로 볼 것이며, 사용자가 IS 시스템을 이용하여 어떤 작업을 수행하는 것이 허용되는지와 같은 가장 중요한 사항들을 다루어야 한다. AUP 는 사용자가 보다 포괄적인 보안 정책을 참조할 수 있게 해야 한다. AUP는 또한 사용자가 AUP를 위반하였을 때 사직을 포함하여 이에 상응하는 수준의 어떤 제재를 받을지에 대해서 명확하게 정의하여야 한다. 이 정책을 준수하는지에 대해서는 정기적인 감사를 통해서 평가되어야 한다. 이 정책은 회사가 직원의 프라이버시에 대한 권리를 침해하지 않으면서, 수작업 또는 자동화된 과학수사(포렌식 분석)를 수행하고 법적 효력이 있는 증거를 확보하기 위해 로그를 기록, 백업, 복사할 권한이 있음을 선언하여야 한다.

 

AUP의 가장 일반적인 형태는 허용된 인터넷 사용정책이다. 이 정책은 네트워크 / 인터넷에 연결되어 있는동안 사용자의 행동을 관리하는 행동강령을 기술하고 있다. 행동강령은 "네티켓" -온라인에서 사용하기 적절하도고 여겨지는 언어의 기술을 포함한다. 이 행동강령은 또한 무엇이 불법적이거나 혹은 지나친 개인적 행동인지를 설명해야 한다. 행동강령을 준수하는 것은 사용자들이 사작한 행동이 기업을 정보보호 위험에 노출시키지 않도록 하는데 도움이 된다.

 

정보보호 정책의 검토

정보보호 정책은 지속적인 적합성과 효과성을 보장하기 위해서 미리 정해진 기간(최소한 매년)마다 도는 사업 운영 및 내재하고 있는 정보보호 리스크 등 기업의 중요한 변화가 발생할 때 검토되어야 한다. 정보보호 정책은 정책의 개발, 검토 그리고 평가를 위한 경영진의 책임을 승인하는 책임자가 있어야 한다. 보안정책의 검토 범위에는 조직의 정보보호 정책의 개선 기회에 대한 평가와 조직의 환경, 비즈니스 상황, 법적인 상태 도는 기술 환경 등의 변화에 대응하는데 있어 정보보호 관리 접근방법에 대한 평가가 포함되어야 한다.

 

정보보호 정책의 유지관리 시 이러한 정보보호 정책의 검토 결과를 고려해야 한다. 검토를 위한 스케쥴과 기간을 포함한 경영진의 검토 절차가 정의되어야 한다.

 

경영자 검토를 위한 데이터는 다음을 포함해야 한다.

- 이해관계자의 피드백

- 독립적인 검토결과

- 예방, 적발 그리고 교정 조치의 현황

- 이전 경영진의 검토 결과

- 프로세스 성과와 정보보호 정책 준수

- 조직 환경, 비즈니스 상황, 자원의 가용성, 계약/규제/ 법적 조건 도는 기술환경에 대한 변화를 포함한 정보보호 관리에 대한 조직의 접근방법에 영향을 미칠 수 있는 변화들

- IT 기능 또는 비즈니스 기능을 제공하는 국내 또는 구외 외주업체의 활용

- 취약점 및 위협과 간련한 추세

- 보고된 정보 보안 사고

- 관계 당국에 의해 제공된 권고사항

 

경영진의 검토를 통한 결과로서 다음 사항과 관련된 의사 결정과 조치활동이 포함되어야 한다.

- 정보보호와 비즈니스 목표의 연계 개선

- 정보보호 및 보안 프로세스 관리에 대한 조직 접근방법의 개선

- 통제 목적과 통제의 개선

- 자원과 책임 할당의 개선

 

경영진이 검토한 기록은 유지되어야 하며, 수정된 정책에 대해서는 경영자 승인이 있어야 한다.

 

Note 이 검토는 환경적 요소들의 변화들을 인식하기 위해 경영진에 의해 수행된다.

 

정책을 검토하는 동안, 정보시스템 감사인은 다음에 대해 평가를 해야 한다.

- 정책이 정의된 근거, 일반적으로 보안 정책은 위험 관리 프로세스에 근거를 두고 있다.

- 정책 적절성

- 정책 예외사항 : 정책이 적용되지 않는 영역과 그 이유에 대해서 명확하기 기술(예: 보안 정책이 기존 애플리케이션에는 적용이 불가능할 수 있다.)

- 정책 승인 절차

- 정책 이행 프로세스

- 정책 이행의 효과성

- 보안의식 및 훈련

- 정기적인 검토 및 갱신 프로세스

 

2.7.2 절차(Procedures)

절차는 정책 목표를 달성하기 정의되고 문서화된 단계별 업무방법이다. 절차는 관련 정책으로부터 도출되어야 하며, 정책의 이념(의도)을 구현하여야 한다. 절차는 이르 준수해야 할 사람들이 이해할 수 있도록 명확하고 간결하게 작성되어야 한다. 절차는 (관리 및 운영) 업무 프로세스와 그 안에 내재된 통제를 문서화한다. 절차는 효과적인 정책의 번역물로서 프로세스 책임자에 의해서 공식화 된다.

일반적으로 절차는 관련 상위 정책에 배해서 더 역동적이다. 절차는 경영, 연관된 IT 주안점과 환경의 변화를 반영해야 한다. 따라서 절차가 적절하기 위해서는 절차를 자주 검토하고 갱신하는 것이 필수적이다. IS 감사인은 비즈니스와 연관된 IT 프로세스에 대한 통제를 식별하고 평가하여 이 후 통제를 테스트하기 위해 절차를 검토한다. 프로세스를 가능한 효율적이며 실용적으로 만드는 것과 동시에 필요한 통제목적을 수행하도록 절차에 포함된 통제가 평가된다. 운영 업무의 수행방법이 문서화된 절차와 상이하거나 문서화된 절차가 없는 경우, 경영진이나 감사인이 통제를 식별하고 통제가 지속적으로 운영되도록 하는 것은 어렵다.

 

절차와 관련하여 가장 중요한 측면 중 하나는 절차를 지켜야 할 사람들이 이를 잘 이해하고 있어야 한다는 점이다. 절차에 대해서 사람들이 완벽하게 알지 못하고 이를 사용해야하는 경우 이 절차는 반드시 비 효과적일 수 밖에 없다. 그러므로, IT 절차를 저장, 배포 그리고 관리하는 매커니즘을 자동화하는 것에 주의를 기울여야 한다.

 

종종 절차는 이러한 기업의 통합된 사례들을 발전시키기 위한 권장 사례들을 정보시스템에 포함한다.