ISMS 이바구 01 - 보안 수준에 따른 정책 분리

보안 수준에 따른 정책 분리

방송사를 기반 시설로 지정한다니까 언론 사찰이라고 항의한 적이 있다.
기반시설로 지정여부를 떠나서...

방송국의 경우 내부 업무망과 방송망, 인터넷으로 구분되어 있다.
방송망의 경우 코덱과 함께 다양한 방송 장비가 연결되어 있다.

정보보호 관리 활동을 하다 보니 업무망에서 문서 보안을 위해 DRM을 도입하려고 하는데

방송망이나 인터넷에서는 너무 가혹하다고 난리 부르스를 친다.

사내 문서를 보안을 하기 위해 보안 수준을 높이자니 다른 망에는 적용되지 않고, 수준을 낮추자니 위험이 커지고..

어떻게 해야 할까?

----------------------------------------------------------------------------------------------------------

같은 조직이라고 해도 정보보호 대책의 수준이 동일할 수 없는 경우도 있다.
따라서 해당 정보시스템 환경에 맞게 정책을 다양하게 구분할 수 있다.

각 조직의 최소한 보안을 위해 공통적인 사항은 상위 정책을 수립하도록 하고 정하고,
변경될 수 있는 부분은 각 영역별로 달리 정책을 가져가는 것도 타당할 것이라고 본다.

다만 본사의 정책을 얼마나 가져갈 것인가는 조직마다 달라질 수 있다.

회계법인이나 금융기관의 경우는 원칙적으로 본사의 정책을 따라가되
각 국가의 법규인 경우 예외로 둘 수 있다.

예를 들어 국내 금융권은 엑티브 엑스 컨트롤을 사용하고 있는데 글로벌에서는 위험하기 때문에 사용을 금하고 있다.
이런 경우 관련 법령에 의해 따라가되 주기적인 모니터링을 통해 위험을 모니터링하도록 하고 있다.

 

* 본 의견은 심사원 개인 의견으로 법적 책임은 지지 않습니다.