감사받을때 제일먼저 질문받는 것 중에 하나가 “귀사에는 보안관리규정이 있습니까?”라는 것입니다. 문서가 있다는 것이 일단 출발점입니다. 문서조차도 없다면 이 회사는 아예 관리노력을 하고있지않고 또 관리되지도 않는다고 인식되어 지고 맙니다. 보안관리규정 문서들을 제출할수 없다면 그 결과는 ‘신뢰할수없음’ 판정을 받게 되겠죠.. 일단 문서는 모두 갖추어 놓고 보아야 합니다.
먼저 문서화된 규정들이 있는지 확인하고 그 다음에 그 문서대로 규정이 실제로 지켜지고 있는지 점검하는 작업을 하게 됩니다. 실제로 보안규정을 직원이 알고있는지,, 규정이 현장에서 제대로 지켜지는 설치된 시스템및 운영 기록물을 찾게 됩니다. 보안 관리 규정을 잘 만들어 놓는 다는 것은 회사가 신뢰할수있다고 평가받을 수 있는 첫걸음임을 인식해야 할 것 같습니다.
보안관리 규정은 기업의 정보자산을 보호하기위해 가장 기본이 되는 것입니다.
▶ 보안관리규정 작성 원칙
1. 내용이 모호해서는 안되며, 표현이 정확해야 함
2. 이해하기 쉬워야 함
3. 선언적이기보다는 구체적인 실행이 가능해야 함
4. 내용이 자세하게 언급되어 있어야 함
▶ 보안관리규정에 포함되어야 할 사항
1. 보안업무의 분류
2. 보안업무의 조직및 기능
3. 자산의 분류와 관리
4. 인적 자원관리
5. 시설관리및 침입방지
6. IT 보안관리
7. 보안규정 위반자 조치사항
위 사항들이 포함되어 있어야 합니다.
▶ 보안관리규정의 개정과 공지
1. 보안관리규정은 주기적으로 개정해야 함.
2. 보안관리규정이 개정되었을때 모든 임직원에게 그 내용을 공지해야함.
3. 보안규정을 적용함에 있어서 만들어지는 지침, 절차들도 임직원들이 그 내용을 인지할수있게 조치해야함
실재로 보안관리규정을 만들려고 하면 쉽지않다는 것을 많이 느낍니다. 뭔가 많이 정리해야할 것 같기는 한데 막상 정리하려면 정리가 잘 안됩니다. 어디엔가 좋은 템플릿이 있다면 하고 인터넷을 뒤지게 되죠.. 최근 중소기업청 주관으로 교육받은 내용중에 좋은 보안관리규정 샘플이 있어서 여기 소개합니다.
중소기업 기술유출 대응매뉴얼에 수록된 보안관리규정 샘플을 Microsoft Word버전으로 작성했습니다.
잘보고 갑니다 ^^