본문 바로가기
[AWS-FRF]/정보보안

[Executive-Level Policy Draft] 전사 정보보호 기본정책 초안 !!

by METAVERSE STORY 2025. 10. 28.
반응형

 

 

 

실제 기업에서 경영진 승인(대표이사·이사회 결재)을 받을 때 사용하는 **전사 정보보호 정책(Information Security Master Policy)**의 구조를 따릅니다.
ISO/IEC 27001, NIST CSF, 국내 개인정보보호법, ISMS-P 등의 핵심 요구사항을 반영했습니다.

📘 전사 정보보호 기본정책 (초안)

1. 문서 개요

  • 문서명: 전사 정보보호 기본정책 (Corporate Information Security Master Policy)
  • 버전: 1.0 (Draft)
  • 작성일: YYYY.MM.DD
  • 작성자: CISO (정보보호최고책임자)
  • 검토자: 법무팀 / 인사팀 / IT운영팀 / DPO
  • 승인자: 대표이사(CEO)

2. 목적(Purpose)

이 정책의 목적은 회사의 모든 정보자산을 보호하기 위한 기본 원칙과 방향을 제시하고,
정보의 기밀성(Confidentiality), 무결성(Integrity), **가용성(Availability)**을 유지함으로써
비즈니스 연속성과 고객 신뢰를 확보하는 데 있다.

3. 적용 범위(Scope)

이 정책은 회사의 전 임직원, 계약직, 외주 인력, 협력사, 그리고
회사가 관리하거나 처리하는 **모든 정보자산(데이터, 시스템, 네트워크, 문서, 하드웨어 등)**에 적용한다.

  • 본사 및 국내외 모든 지사 포함
  • 온프레미스, 클라우드, SaaS 환경 모두 포함
  • 내부 인프라뿐 아니라 제3자 위탁·협력업체 포함

4. 정보보호 목표(Objectives)

  1. 정보자산 보호 — 회사의 핵심 정보자산의 기밀성, 무결성, 가용성 유지
  2. 법규 및 규정 준수 — 개인정보보호법, 전자금융법, 정보통신망법, 계약상 보안의무 등 준수
  3. 비즈니스 연속성 확보 — 장애·사고 발생 시 신속한 복구 체계 유지
  4. 보안문화 정착 — 임직원의 보안 인식 제고 및 책임의식 강화
  5. 지속적 개선 — 보안 환경 변화에 따라 정책 및 통제 체계를 주기적으로 개선

5. 정보보호 원칙(Principles)

회사는 다음 다섯 가지 원칙을 기반으로 정보보호 활동을 수행한다.

원칙 설명
① 책임성(Accountability) 정보보호는 전 임직원의 책임이며, 각 부서장은 관리책임을 가진다.
② 최소권한(Least Privilege) 업무 수행에 필요한 최소 권한만 부여한다.
③ 보안내재화(Security by Design) 시스템·서비스 설계 시 보안을 고려한다.
④ 위험기반 접근(Risk-based Approach) 모든 보안 활동은 리스크 수준에 따라 우선순위를 설정한다.
⑤ 지속적 개선(Continuous Improvement) 기술·조직·위협 환경 변화에 맞춰 주기적으로 점검 및 개선한다.

6. 정보보호 관리체계(Governance Structure)

6.1 최고경영자(CEO)

  • 정보보호 정책 및 전략 최종 승인
  • 정보보호 투자 및 자원 배정
  • 전사 정보보호 책임 수행을 위한 리더십 제공

6.2 정보보호최고책임자(CISO)

  • 전사 정보보호 전략 수립 및 실행 총괄
  • 정책·표준·절차 제정 및 관리
  • 정보보호 교육, 사고대응, 감사 수행
  • 이사회 및 경영진에 정기 보고

6.3 개인정보보호책임자(DPO)

  • 개인정보 처리 관련 법규 준수 관리
  • 개인정보보호 정책 수립 및 유출 사고 대응

6.4 정보보호위원회(IS Committee)

  • 경영진, IT, 법무, 인사, 사업부 대표 등으로 구성
  • 정보보호 계획 승인 및 주요 의사결정 수행
  • 보안사고, 리스크, 예산 검토

6.5 각 부서장

  • 소속 직원의 정책 준수 책임
  • 부서 내 정보보호 점검 및 보고

7. 정보자산 및 리스크 관리(Asset & Risk Management)

  1. 회사의 모든 정보자산은 자산목록에 등록되어야 하며, 자산별 **소유자(Owner)**를 지정한다.
  2. 자산은 중요도에 따라 기밀, 내부, 공개 등급으로 분류한다.
  3. 각 자산에 대한 리스크 평가를 최소 연 1회 이상 수행하며, 결과에 따라 통제조치를 결정한다.
  4. 새로운 시스템·서비스 도입 시 반드시 **보안성 검토(Security Review)**를 실시한다.

8. 접근통제 정책(Access Control)

  1. 모든 정보시스템 접근은 식별(ID)과 인증(Authentication)을 거쳐야 한다.
  2. 업무상 필요한 최소한의 권한만 부여한다.
  3. 관리자 계정은 다중요소 인증(MFA)을 필수 적용한다.
  4. 퇴사자 및 인사이동자의 계정은 즉시 비활성화한다.
  5. 정기적으로 권한 검토를 수행하여 불필요한 접근을 제거한다.

9. 정보보호 기술 및 운영(Technical & Operational Control)

  1. 주요 시스템 및 데이터는 **암호화(AES-256, TLS1.2↑)**로 보호한다.
  2. 서버, 네트워크 장비, 단말은 보안패치 및 업데이트를 주기적으로 적용한다.
  3. 네트워크는 내부망·외부망·관리망으로 분리한다.
  4. 로그 및 감사기록은 중앙에서 수집·보관하며, 무결성을 유지한다.
  5. 백업은 주기적으로 수행하고, 복구 테스트를 정기 검증한다.

10. 인시던트 대응(Incident Response)

  1. 모든 임직원은 보안사고 또는 이상 징후를 즉시 CISO에게 보고해야 한다.
  2. 보안사고 발생 시 ‘식별 → 격리 → 분석 → 복구 → 보고’ 절차에 따라 대응한다.
  3. 개인정보 유출 등 법적 의무사항이 발생하면 DPO와 협의하여 관계기관에 통보한다.
  4. 사고 후 **근본원인분석(RCA)**을 수행하고 재발방지 대책을 수립한다.

11. 교육 및 인식 제고(Security Awareness)

  1. 신입사원 및 전 임직원은 연 1회 이상 정보보호 교육을 이수해야 한다.
  2. 관리자는 정기적인 보안 워크숍을 통해 실무 대응 역량을 강화한다.
  3. 모의 피싱·훈련 등 실질적인 보안 인식 캠페인을 시행한다.

12. 외부자 및 협력업체 관리(Third Party Security)

  1. 협력업체·위탁사는 계약 시 보안 요구사항을 포함해야 한다.
  2. 외부자가 내부시스템에 접근할 경우 사전 승인 및 접근 통제가 필요하다.
  3. 협력사 보안수준은 정기적으로 평가하고 개선을 요구한다.

13. 법규 준수 및 감사(Compliance & Audit)

  1. 관련 법규 및 규제(개인정보보호법, 정보통신망법 등)를 준수한다.
  2. 내부 감사는 연 1회 이상 실시하며, 개선사항은 시정조치한다.
  3. 필요한 경우 외부 인증(ISO 27001, ISMS-P, SOC2 등)을 취득하여 신뢰성을 확보한다.

14. 비즈니스 연속성 및 재해복구(BCP/DR)

  1. 주요 시스템은 장애·재해 발생 시 지정된 RTO/RPO 내 복구되어야 한다.
  2. 재해복구계획은 연 1회 이상 모의훈련으로 검증한다.
  3. 백업 데이터는 별도 망 또는 안전한 외부 저장소에 보관한다.

15. 정책 위반 및 제재(Sanctions)

  1. 본 정책을 위반한 임직원은 인사징계, 법적 책임, 계약 해지 등의 조치를 받을 수 있다.
  2. 반복적·고의적 위반자는 경영진 보고 및 추가 보안교육 의무화 대상이 된다.

16. 정책 관리 및 개정(Review & Maintenance)

  1. 본 정책은 최소 연 1회 이상 검토하며, 경영환경·법규·기술 변화에 따라 개정한다.
  2. 개정 시 관련 부서 검토 후 대표이사 승인을 받아야 한다.
  3. 최신 버전은 사내 인트라넷 및 보안 포털에 게시한다.

17. 부칙(Addendum)

  • 시행일자: YYYY.MM.DD
  • 정기 검토일: YYYY+1.MM.DD
  • 정책 소유부서: 정보보호팀 (CISO Office)
  • 배포 등급: 내부(Internal Use Only)

📑 [부록] 정책 시행 체크리스트 (요약)

구분 주요 항목 담당부서 주기
정보자산 관리 자산 목록 및 등급 분류 IT보안팀 반기
접근권한 검토 관리자·시스템 권한 검토 각 부서장 분기
보안패치 관리 OS 및 애플리케이션 패치 적용 IT운영팀 월간
보안교육 전사 교육 및 모의 피싱 훈련 인사팀·보안팀 연간
인시던트 대응 사고보고·조치 훈련 보안팀 반기
DR 복구 훈련 주요 시스템 복구 검증 IT운영팀 연간

📈 [요약: 경영진 보고용 Key Point]

  • 전사 정보보호는 경영 리스크 관리의 일부로서, 단순 IT문제가 아님.
  • 본 정책은 ISO27001 기반, 법규 준수 중심, 리스크 기반 의사결정을 핵심으로 함.
  • 전 임직원 및 협력사가 동등하게 적용 대상.
  • 본 정책 승인 후, 세부 정책(Access Control, Data Classification, Incident Response 등) 단계적으로 수립 예정.
  • 승인 시, 연간 정보보호 예산 및 KPI(패치율, MFA 적용률 등) 연동 계획 수립.

✅ 제안: 경영진 결재를 위한 제출 흐름

  1. [CISO 작성] 정책 초안 →
  2. [법무/인사/IT 검토] →
  3. [대표이사 승인] →
  4. [전사 공표 + 교육 시행] →
  5. [정보보호위원회 정기 검토]

 

 

 

반응형
저작자표시 비영리 변경금지 (새창열림)

'[AWS-FRF] > 정보보안' 카테고리의 다른 글

[참고] ISMS vs ISMS-P의 관계 !!  (1) 2025.11.10
[정보보호 관리체계] ISMS, ISMS-P, ISO 비교 분석!!  (1) 2025.10.28
[보안 거버넌스] 기업 전사 정보보호 전략과 정책 수립방안 !!  (1) 2025.10.28
[WEB 3.0] 블록체인·암호자산·분산 프로토콜 기반!!  (1) 2025.10.28
[국내 주요 암호화폐 거래소] 업비트(Upbit) vs 빗썸(Bithumb) vs INEX(인엑스) !!  (0) 2025.10.28
[CISSP] Certified Information Systems Security Professional 완벽 정리!!  (1) 2025.10.26
[ISO/IEC 27001] 정보보호경영시스템 (ISMS, Information Security Management System)!!  (2) 2025.10.19
[KISA CSAP] 클라우드서비스 보안인증 체크리스트!!  (1) 2025.10.18

관련글

댓글

티스토리툴바